Riteniamo fondamentale informarti di due recenti e importanti aggiornamenti normativi e tecnici di aprile 2026, con significative implicazioni per la privacy, le campagne di marketing e la sicurezza informatica aziendale.
Da una parte, il Garante per la protezione dei dati personali ha adottato un nuovo provvedimento per regolamentare l'uso dei pixel di tracciamento nelle email; dall'altra, l'Agenzia per la Cybersicurezza Nazionale (ACN) ha pubblicato specifiche Linee Guida per rafforzare l'autenticazione dei mittenti di posta elettronica.
Cosa prevedono le nuove disposizioni?
Le due novità impattano direttamente il modo in cui la tua azienda invia le comunicazioni elettroniche:
- 👾Tracking pixel (Garante Privacy): I pixel sono minuscole immagini trasparenti, spesso invisibili all'utente, inserite nelle email per rilevarne l'apertura, il dispositivo usato, l'indirizzo IP e altre informazioni comportamentali. Essendo strumenti "occulti" che accedono al terminale dell'utente, il Garante ha stabilito che il loro utilizzo ordinario ricade sotto l'articolo 122 del Codice privacy e richiede un consenso preventivo, libero, specifico e informato.
Eccezioni al consenso:
a) comunicazioni strettamente istituzionali/di servizio,
b) per finalità di sicurezza,
c) per meri conteggi statistici anonimizzati a livello aggregato.
L'uso dei tracking pixel senza consapevolezza del destinatario configura ora una grave violazione dei principi di correttezza e trasparenza del GDPR.
Gli operatori hanno sei mesi di tempo (dalla pubblicazione in Gazzetta Ufficiale) per adeguarsi, pena il rischio di provvedimenti sanzionatori.
-✅ Autenticazione mittente (ACN): Poiché il protocollo di invio standard delle email (SMTP) non garantisce nativamente l'autenticità del mittente, l'ACN ha emanato delle raccomandazioni per l'implementazione congiunta di tre protocolli di sicurezza:
-SPF (che autorizza specifici indirizzi IP all'invio per conto del dominio),
-DKIM (che appone una firma digitale per garantire l'integrità del messaggio)
-DMARC (che indica ai server destinatari quali policy applicare, es. "quarantine" o "reject", se le verifiche falliscono).
🚩La mancata implementazione di questi protocolli espone l'azienda a minacce critiche come lo spoofing (falsificazione dell'indirizzo del mittente), il phishing e la manomissione dei contenuti. Questo non solo mette a rischio i destinatari delle email, ma può compromettere gravemente la reputazione e l'affidabilità del brand aziendale.🚩
Quali sono gli aspetti da considerare?
Se la tua Azienda effettua invii massivi (newsletter, DEM, comunicazioni automatiche) dovrai tenere conto almeno dei seguenti punti:
-🔄 Aggiornamento di informative e consensi: sarà obbligatorio aggiornare l'Informativa privacy spiegando in modo trasparente l'uso di questi marcatori. Se si inviano comunicazioni commerciali, bisognerà assicurarsi di raccogliere il consenso informato alla ricezione dei pixel (che può essere accorpato a quello per le comunicazioni promozionali, purché non forzato) e garantire un metodo semplice e granulare per la revoca, come un apposito link nel footer dell'email.
-👤 Valutazione di anonimizzazione e Privacy by Design: Per i fini puramente statistici volti a misurare l'apertura delle email (es. per limitare lo spam o migliorare la deliverability), si raccomanda l'uso di pixel univoci non differenziati per utente e l'anonimizzazione dei dati di contorno (es. l'indirizzo IP), in modo da operare in regime di esenzione del consenso.
- ⚙️Configurazione tecnica DNS e Criptografia: Occorrerà intervenire sui record DNS del proprio dominio di posta elettronica per dichiarare correttamente l'SPF e configurare sia le chiavi crittografiche per il DKIM sia le policy tramite DMARC. Tutti e tre i protocolli dovranno operare congiuntamente per respingere efficacemente i tentativi di falsificazione.
- 💻 Allineamento dei Fornitori IT e Marketing: Nel caso in cui la tua azienda si affidi a servizi Cloud, agenzie esterne o provider di marketing automation (es. per l'invio di newsletter), è vitale verificare che tali piattaforme siano adeguate alla nuova policy sui consensi e che utilizzino chiavi DKIM univoche o indirizzi IP formalmente inclusi nei record SPF aziendali.
Se ritieni di dover adeguare i tuoi attuali processi di email marketing e le comunicazioni aziendali alle nuove linee guida privacy, o se necessiti di blindare il dominio della tua azienda contro le truffe telematiche, contatta immediatamente il nostro team.
Sicurdata sarà a tua completa disposizione per consigliarti e supportare la tua organizzazione al fine di poter operare in totale sicurezza e nel pieno rispetto della normativa.
Per qualsiasi informazione potete contattarci all'indirizzo mail assistenza@opendata.it per approfondire insieme ai nostri consulenti.