Pillar 2 of 4

Find the cookie set before the consent banner showed up

We load your page in a clean browser, capture every cookie set in the first 2.5 seconds, and tell you which ones are tracking users without consent.

Inizi una scansione gratuita Provi l’audit gratuito

The pre-consent problem regulators care about

GDPR and ePrivacy require that any non-essential cookie or tracker is blocked until the user actively opts in. A surprising number of sites get this wrong because their tag manager fires Google Analytics or Meta Pixel before the consent banner has rendered. Even with a Cookiebot or OneTrust banner installed, the underlying scripts are often loaded with the page rather than gated behind the consent decision. We simulate a fresh visitor with no prior consent state. Anything in the cookie jar after page load — that isn't strictly necessary — is a finding.

Security flags that quietly fail in production

Modern browsers reject cookies with SameSite=None unless the Secure flag is present. We flag these because they break silently — your auth might appear to work locally and fail for a percentage of users in the wild. Long-expiry cookies (over a year) are a soft GDPR signal: regulators have written guidance suggesting cookie lifetimes should be proportionate to purpose, and 13 months is the de-facto retention cap most DPAs accept.

Classification you can trust

Every cookie name is checked against an exact-match dictionary first, then a prefix list (so _ga_XXXX inherits Google Analytics's classification). Cookies we can't classify get a minor severity finding so a human can confirm them — better to surface the unknown than to silently call it 'necessary'.

Esempi di riscontri

serious

Tracciamento pre-consenso rilevato

Il cookie "_fbp" (Meta Pixel, marketing) è stato impostato prima che l’utente fornisse il consenso. Il cookie è stato emesso 1.2 secondi dopo il caricamento della pagina, mentre il banner di consenso era ancora in fase di montaggio. Per risolvere, metta il blocco dello script Meta Pixel dietro l’interruttore "marketing" della Sua piattaforma di gestione del consenso.

Cookie    : _fbp
Dominio   : .example.com
Categoria : marketing
Impostato : t=1.2s (banner non ancora interagito)
Scadenza  : 90 giorni

serious

SameSite=None senza flag Secure

Il cookie di sessione "sid" è impostato con SameSite=None ma senza flag Secure. I moderni Chromium e Firefox rifiutano silenziosamente questa combinazione, quindi una parte dei Suoi utenti — chiunque abbia aggiornato il browser negli ultimi tre anni — perderà lo stato in modo intermittente. Lo sviluppo locale nasconde il problema perché localhost viene trattato come Secure.

Set-Cookie: sid=abc123; Path=/; SameSite=None; HttpOnly

Correzione: aggiunga il flag Secure e assicuri che il cookie venga impostato solo tramite HTTPS:
Set-Cookie: sid=abc123; Path=/; SameSite=None; Secure; HttpOnly

moderate

Scadenza cookie oltre 13 mesi

Il cookie "_ga" (Google Analytics, analytics) è impostato con una scadenza di 24 mesi. La maggior parte delle autorità europee di protezione dei dati ha pubblicato indicazioni che trattano 13 mesi come massimo de-facto per i cookie di analytics, citando proporzionalità ePrivacy. Un audit del regolatore lo segnalerebbe come retention eccessiva.

Cookie  : _ga
Scadenza  : 24 mesi (730 giorni)
Cap DPA   : 13 mesi (CNIL, ICO, AEPD)

Correzione: nella Sua admin di GA4, imposti "Data retention" a 14 mesi o meno, oppure faccia self-hosting con una scadenza personalizzata.

Scansioni il Suo sito in 60 secondi

25 crediti gratis. Nessuna carta di credito. Riscontri reali sulla pagina che La interessa.

Crei il Suo account gratuito Vedi i prezzi