Posts by Izac Cavalheiro
Il tuo script di analytics è il buco nella tua Content-Security-Policy
Una CSP rigorosa blocca l'XSS. Un tag di analytics di terze parti lo riapre. Ecco perché allowlist di host e SRI mancante minano la policy — e cosa risolve un tracker first-party.
Leggi di più →Privacy by Default a livello HTTP: gli header che riducono la tua superficie di tracciamento
Due header di risposta — Permissions-Policy e Referrer-Policy — decidono quanto le tue pagine possono trasmettere ad ad-tech e terze parti. Impostali una volta e la superficie di sorveglianza si chiude di default.
Leggi di più →L'INP Punisce l'Analytics Pesante: Perché il Tuo Tracker È sul Thread Principale
Interaction to Next Paint è il Core Web Vital che la maggior parte dei siti non supera, e i dati sul campo mostrano che gli script di tracciamento comportamentale sono una delle cause principali. La soluzione è inviare meno lavoro al thread principale.
Leggi di più →Il Digital Omnibus vuole esentare dal consenso l'analytics first-party
Il Digital Omnibus dell'UE, di novembre 2025, propone un'esenzione dal consenso per la misurazione dell'audience first-party a uso interno. Descrive il modello che l'analytics senza cookie già esegue.
Leggi di più →Quando un Hash È un Dato Personale? La Sentenza SRB della CGUE e l'Identità in Analytics
La sentenza EDPS contro SRB della CGUE ha reso l'identificabilità un test relativo e contestuale. Ecco cosa significa per l'analytics basato su hash, e perché un hash con salt che ruota ogni giorno regge sia alla lettura della corte sia a quella più rigida dell'EDPB.
Leggi di più →Consent Mode v2 e la Fine di Google Signals a Giugno 2026
Il 15 giugno 2026 ad_storage diventa l'unico controllo sui dati pubblicitari nello stack di Google. Ecco cosa cambia la fine di Google Signals per gli sviluppatori — e perché tutto questo macchinario è qualcosa che un'analytics senza cookie non ha mai dovuto costruire.
Leggi di più →La Limitazione della Conservazione È la Frontiera del Controllo 2026 per l'Analytics
Le autorità hanno smesso di chiedere se hai raccolto i dati in modo lecito e hanno iniziato a chiedere quando li hai cancellati. Dopo la sanzione da 42 M€ del CNIL a Free e l'azione di controllo sulla cancellazione dell'EDPB, la conservazione dei dati di analytics è il bersaglio dell'audit.
Leggi di più →Soft Navigations: misurare le prestazioni delle SPA come fa il browser
Le euristiche di soft navigation di Chrome permettono finalmente ai Core Web Vitals di agganciarsi ai cambi di rotta lato client. Ecco come funziona l'API e come misurarla senza sorveglianza.
Leggi di più →Global Privacy Control è ora un segnale di opt-out vincolante in dieci stati
GPC non è più un consiglio. Dopo l'accordo con Disney e un'azione di controllo in tre stati, l'header Sec-GPC è giuridicamente vincolante in dieci stati USA — e l'analitica senza cookie non ha nulla da rispettare.
Leggi di più →La Cookie Law Non Riguarda Più Solo i Cookie: Cosa Copre Ora l'Articolo 5(3)
Le Linee Guida 2/2023 dell'EDPB hanno esteso le regole di consenso ePrivacy a pixel, tracking via URL e identificazione tramite solo IP. Le recenti decisioni di CNIL e Garante confermano la lettura tecnologicamente neutrale. Ecco cosa cambia per gli sviluppatori.
Leggi di più →Integrare Analytics Rispettosi della Privacy in un Sito Astro
Le View Transitions di Astro rompono silenziosamente gli script di analytics standard. Ecco il pattern corretto per tracciare ogni cambio di route senza cookie né banner di consenso.
Leggi di più →Aggiungere Analytics Rispettosi della Privacy a un'App SvelteKit
SvelteKit 2 intercetta la navigazione lato client in modo diverso dagli altri framework. Ecco il pattern corretto per tracciare i cambi di route senza cookie né banner di consenso.
Leggi di più →Privacy Sandbox È Morto: Cosa Significa per il Tuo Stack di Analytics
Google ha dismesso Topics, Attribution Reporting e Protected Audience a ottobre 2025. Ecco cosa significa tecnicamente la chiusura, e perché l'analytics di prima parte è sempre stata la scelta giusta.
Leggi di più →I Banner di Consenso Inaccessibili Creano Ora Due Responsabilità Legali, Non Una
L'European Accessibility Act ha reso WCAG 2.2 esecutivo a giugno 2025. Un banner che uno screen reader non può navigare invalida il consenso GDPR. L'analytics senza cookie aggira entrambi i problemi.
Leggi di più →Google Ha Revocato il Divieto di Fingerprinting: Cosa Devono Sapere gli Sviluppatori
A febbraio 2025, Google ha revocato il proprio divieto sul fingerprinting dei dispositivi. Ecco cosa è cambiato, perché le autorità di regolamentazione sono allarmate e cosa significa per il tuo stack di analytics.
Leggi di più →Perché i Servizi ad Alto Tracking Ti Costano Più di Quanto Pensi
La maggior parte delle app raccoglie molto più di quanto serva per funzionare. Ecco cosa fa davvero quel dato, chi ne trae profitto, e perché il rischio non resta presso l'azienda che lo raccoglie.
Leggi di più →Cosa Significa Davvero 'Privacy-First' nel Tuo Stack di Analytics
La frase è ovunque, ma la maggior parte degli strumenti che la usano memorizza ancora identificatori, fingerprint o email hashate. Ecco come si presenta un modello dati privacy-first tecnicamente solido.
Leggi di più →Come un Tracker di Analytics da 2 KB Mantiene Verdi i Tuoi Core Web Vitals
Gli script di analytics tradizionali sono abbastanza pesanti da peggiorare il tuo punteggio Lighthouse. Ecco cosa fa diversamente un tracker leggero — e perché conta per gli utenti reali.
Leggi di più →Google Analytics È Eccessivo per la Maggior Parte dei Siti: Il Punto di Vista di uno Sviluppatore
Google Analytics raccoglie molto più di quanto la maggior parte dei siti abbia bisogno. Ecco perché un'alternativa leggera e orientata alla privacy cambia l'esperienza dello sviluppatore — e quella del visitatore.
Leggi di più →Aggiungere Analytics Rispettosi della Privacy a un'App Next.js
Una guida passo-passo per integrare Monoid in Next.js senza cookie, banner di consenso o grattacapi di conformità.
Leggi di più →Perché gli Analytics Senza Cookie Non Hanno Bisogno di un Banner di Consenso
La maggior parte degli strumenti di analytics richiede un popup di consenso per i cookie perché memorizza dati personali. Ecco la ragione tecnica per cui l'analytics privacy-first salta del tutto questo passaggio.
Leggi di più →