OpenClaw in azienda: il rischio che nessuno vi ha ancora spiegato
18 Aprile 2026
Parliamoci chiaro: quando senti “tracking pixel”, pensi subito alla newsletter promozionale. Al marketing. Al consenso per le comunicazioni commerciali. E ti senti a posto perché hai il form con la spunta, il double opt-in, tutto in regola.
Poi però mandi la conferma d’ordine. La fattura in PDF. L’avviso di spedizione. La comunicazione ai dipendenti sulla chiusura estiva.
Ecco, quelle mail stanno tracciando gli utenti esattamente come le newsletter. E no, non hai il consenso per farlo.
Il problema che nessuno ti ha spiegato
Il tracking pixel è un’immagine invisibile — un punto di 1×1 pixel, trasparente — che viene caricata quando il destinatario apre l’email. Nel momento in cui si carica, il server registra: apertura avvenuta, orario preciso, indirizzo IP, tipo di dispositivo, sistema operativo, client di posta.
Fin qui, niente di nuovo per chi mastica un po’ di marketing digitale.
Il punto è un altro: Mailchimp, HubSpot, Sendinblue, ActiveCampaign e praticamente ogni piattaforma di email marketing hanno il tracking pixel attivo di default. Anche quando le usi per mandare comunicazioni che con il marketing non c’entrano nulla.
La conferma d’ordine che parte automatica dal tuo e-commerce? Tracciata.
Il remind di pagamento al cliente? Tracciato.
La comunicazione interna ai dipendenti sulla nuova policy aziendale? Tracciata.
E qui nasce il problema: per le comunicazioni transazionali e di servizio, il GDPR non ti dà una base giuridica automatica per “tracciare” il comportamento del destinatario. L’esecuzione del contratto giustifica l’invio della mail, non la profilazione di quando e come viene letta.
Le Linee Guida del Garante: il consenso non è opzionale
Il Garante Privacy italiano ha ribadito con chiarezza che l’uso di tracciatori — inclusi i pixel di monitoraggio nelle email — richiede un consenso specifico, informato, preventivo. Non basta che l’utente abbia accettato di ricevere la mail. Deve sapere che verrà tracciato e deve poter dire di no.
Tradotto per le PMI: se usi una piattaforma di email marketing anche per le comunicazioni di servizio e non hai disabilitato manualmente il tracking, stai violando il GDPR ogni volta che un cliente apre una mail.
Le sanzioni? Le conosciamo già, e fanno tremare, ma prima ancora delle sanzioni, c’è il danno reputazionale: prova a spiegare al tuo cliente business che lo stavi “spiando” anche quando, come, dove, con cosa, apriva le tue fatture.
Il risvolto NIS2 che nessuno considera
Qui metto il cappello da “hacker” e ti dico una cosa che i giuristi puri non ti diranno.
I tracking pixel non sono solo un problema privacy. Sono un vettore di intelligence per attacchi mirati.
Pensa a cosa può scoprire un attaccante che compromette — o semplicemente interroga — i dati di tracking:
- Pattern temporali: il CFO apre le mail alle 7:15 prima che arrivi chiunque altro
- Dispositivi: usa un iPhone personale per leggere mail aziendali
- Geolocalizzazione: viaggia spesso, apre mail da IP di hotel
- Comportamento: non apre mai le mail il venerdì pomeriggio
Queste informazioni sono oro puro per il social engineering. Un attacco di spear phishing costruito su questi dati ha tassi di successo molto più alti.
Per i soggetti NIS2 — e ricordo che la direttiva amplia enormemente il perimetro delle aziende coinvolte — questo è un problema di governance della sicurezza, non solo di compliance privacy. Stai generando e conservando dati che aumentano la tua superficie d’attacco.
Cosa fare lunedì mattina
- Audit delle piattaforme email: verifica TUTTE le piattaforme che inviano mail per conto dell’azienda, non solo quelle del marketing
- Disabilita il tracking sulle mail transazionali: su Mailchimp è nelle impostazioni della campagna, su HubSpot nelle preferenze dell’account. Non è difficile, ma devi sapere che va fatto.
- Rivedi l’informativa privacy: se mantieni il tracking sulle comunicazioni marketing (legittimo, con consenso), devi dirlo chiaramente
- Segmenta i flussi: comunicazioni di servizio e comunicazioni marketing devono viaggiare su canali diversi con configurazioni diverse
- Per i soggetti NIS2: inserisci la gestione dei tracking pixel nella valutazione del rischio cyber e nelle policy di sicurezza delle comunicazioni
Questo è esattamente il tipo di zona grigia dove il confine tra GDPR, cybersecurity e rischio operativo si sovrappone. Ed è dove lavoro ogni giorno.
Se vuoi capire dove sono i pixel nascosti nella tua azienda — e come metterti in regola senza smantellare tutto — contattami. Una consulenza mirata adesso costa molto meno di una sanzione domani.
