Tracker di terze parti - Docs di MetricSpot

Q: I font sono davvero tracker?

Sì, quando serviti da una CDN di terze parti. fonts.googleapis.com logga l'IP richiedente. Un tribunale regionale di Monaco ha multato un proprietario di sito 100€ nel 2022 specificamente per aver incorporato Google Fonts senza consenso (LG München I, Urt. v. 20.01.2022, Az. 3 O 17493/20). Self-hosta i tuoi font e il problema sparisce.

Cosa verifica questo controllo

Registra ogni richiesta di rete fatta durante il rendering della pagina, le raggruppa per dominio registrabile e riporta il conteggio degli host di terze parti unici che spediscono JavaScript, pixel, beacon o iframe di tracciamento. I domini first-party (tu e i tuoi sottodomini) sono esclusi. Le CDN che servono i tuoi asset (cdn.yourdomain.com) sono escluse. Font e analytics che corrispondono a firme di tracker noti sono inclusi.

Offender comuni che appaiono nell’elenco:

Tag manager: googletagmanager.com
Analytics: google-analytics.com, analytics.google.com, mixpanel.com, segment.io, amplitude.com
Ad tech: doubleclick.net, googlesyndication.com, facebook.net, connect.facebook.net, bat.bing.com, ads.linkedin.com, t.co, analytics.tiktok.com
Session replay / heatmap: hotjar.com, static.hotjar.com, fullstory.com, clarity.ms
Widget di supporto: intercom.io, widget.intercom.io, drift.com, js.driftt.com, zendesk.com
Font e SDK: fonts.googleapis.com, fonts.gstatic.com, js.stripe.com, cdn.shopify.com (quando non è il tuo store)

Tre o meno è una baseline sana. Sopra sette, sei un tipico sito marketing — e hai del lavoro GDPR reale da fare.

Perché è importante

Ogni dominio di terze parti sulla tua pagina è tre problemi in uno.

Un hop privacy che devi divulgare. Sotto l’Articolo 13 GDPR e la Direttiva ePrivacy, ogni destinatario terzo non essenziale di dati personali va nominato nella tua privacy policy e consentito prima che il suo script si attivi. La CNIL ha multato siti specificamente per aver sotto-divulgato l’elenco dei destinatari.
Una tassa di performance che non puoi controllare del tutto. Il report third-party-web di HTTP Archive mostra costantemente che ad-tech, tag manager e widget di chat sono le terze parti più lente sul web — spesso spingendo Largest Contentful Paint oltre i 4 secondi e Interaction to Next Paint in fascia fallimentare. Ogni script che non spedisci è una tassa che non paghi.
Una superficie di consenso che si rompe facilmente. Se anche un singolo script nel tuo tag manager si attiva prima del consenso — perché è hardcoded fuori dal gate del consenso, o il listener del consenso carica tardi — sei in violazione indipendentemente da quanto è buono il tuo banner consenso cookie.

Sei tracker è circa la mediana per un sito di contenuti. Dodici-venti è normale per un sito marketing e-commerce o SaaS. Quaranta-più appare sui siti di notizie con ads programmatici — ed è anche dove cadono la maggior parte delle multe GDPR.

Come sistemarlo

Fai inventario di quello che hai. Apri la pagina in Chrome DevTools → tab Network → filtra per dominio. Raggruppa le richieste di terze parti per dominio registrabile e chiediti, per ognuno, “questo si sta ancora guadagnando il posto?”

# Audit veloce da riga di comando con curl + un parser a scelta
curl -s https://yourdomain.com/ \
  | grep -oE 'https?://[^"'"'"']+' \
  | awk -F/ '{print $3}' \
  | sort -u

Esegui un audit Lighthouse (DevTools → Lighthouse → Generate report) — la diagnostica “Reduce the impact of third-party code” elenca ogni dominio con il suo blocking time.

Taglia quello che non ti serve. Le vittorie più comuni:

Rimuovi Google Tag Manager e inlina GA4 direttamente. GTM è un’abitudine, non un requisito. Se gestisci solo GA + uno o due pixel, inlina gtag.js e cancella il container GTM.
Self-hosta i font. fonts.googleapis.com è un tracker sotto GDPR (un tribunale tedesco lo ha sancito nel 2022). Scarica i file WOFF2, servili dalla tua origin e rimuovi l’URL Google Fonts.
Sostituisci la chat di terze parti con email. I widget Intercom, Drift e Zendesk pesano ciascuno 100-300 KB e fanno richieste heartbeat continue. Un link mailto: no.
Rimuovi i pixel morti. I team marketing aggiungono pixel per campagne e si dimenticano di rimuoverli. Verifica l’età dei pixel e rimuovi qualsiasi cosa più vecchia del tuo ciclo tipico di campagna.

Gate ciò che devi tenere dietro il consenso. Ogni tracker non essenziale rimanente deve caricare solo dopo che l’utente garantisce il consenso nel tuo banner. Usa Google Consent Mode v2 + IAB TCF v2.2 o l’equivalente per il tuo stack. Vedi banner consenso cookie.

Lazy-load i widget di supporto. Non spedire Intercom su ogni pagina. Caricalo solo quando l’utente clicca un pulsante “Chatta con noi”:

<button id="open-chat">Chatta con noi</button>
<script>
  document.getElementById('open-chat').addEventListener('click', () => {
    const s = document.createElement('script');
    s.src = 'https://widget.intercom.io/widget/YOUR_APP_ID';
    document.head.appendChild(s);
  });
</script>

Sposta gli analytics server-side. Strumenti come Plausible, Fathom o un Matomo self-hosted eliminano del tutto il tracker client-side. Server-side GTM sposta lo stack di Google sul tuo dominio (sempre GA, sempre tracciabile, ma un solo dominio di terze parti nel pannello network).

Audita le dipendenze, non solo il tuo codice. Un plugin WordPress o un’app Shopify possono aggiungere silenziosamente tre o quattro tracker a tua insaputa. Dopo ogni installazione di plugin, ri-esegui l’audit.

Domande frequenti

Quanti sono troppi?

Dipende dal tipo di sito. Un sito marketing SaaS può di solito vivere con 4-6: GA4 + GTM + un pixel ads + Stripe + la tua CDN. Un sito di contenuti monetizzato con ads programmatici ne avrà 20+ e non c’è modo di evitarlo — ma quei siti hanno anche bisogno di un plumbing di banner consenso cookie blindato. Il numero in sé non è il problema; lo sono gli obblighi di consenso e divulgazione che vengono con esso.

I font sono davvero tracker?

Sì, quando serviti da una CDN di terze parti. fonts.googleapis.com logga l’IP richiedente. Un tribunale regionale di Monaco ha multato un proprietario di sito 100€ nel 2022 specificamente per aver incorporato Google Fonts senza consenso (LG München I, Urt. v. 20.01.2022, Az. 3 O 17493/20). Self-hosta i tuoi font e il problema sparisce.

Rimuovere i tracker danneggia i miei analytics?

Rimuovere tracker duplicati no — la maggior parte dei siti ha due strumenti di analytics che divergono del 30% comunque per via della perdita di consenso. Rimuovere un tracker che effettivamente usi ovviamente fermerà il flusso di dati; in quel caso, sostituiscilo con un equivalente privacy-friendly (Plausible, Fathom, Matomo self-hosted) piuttosto che cancellarlo e basta.