Il pixel da cinquemila dollari ha bussato anche alla tua porta

Il tribunale ha stabilito che il consenso affermativo è obbligatorio per i pixel. Ogni visitatore californiano può valere 5.000 dollari.

Il pixel da cinquemila dollari ha bussato anche alla tua porta

La sentenza Camplisson contro Adidas ha ridefinito i confini del consenso per il tracciamento digitale

Il report del martedì mostra un calo del 15% nelle conversioni tracciate. I numeri non tornano, il ROAS si incrina. Poi arriva la mail: il team legale ha ricevuto una lettera di diffida per violazione del CIPA, il California Invasion of Privacy Act. Un pixel apparentemente innocuo, piazzato per ottimizzare le campagne, è diventato una potenziale causa da $5.000 a visitatore. Non è un’esercitazione: è lo scenario che si è materializzato per Adidas lo scorso novembre, quando la Corte Distrettuale del Sud della California ha respinto la mozione di archiviazione e ha dato il via libera a un’azione collettiva.

La sentenza Camplisson v. Adidas Am., Inc. del 18 novembre 2025 non è arrivata dal nulla. Ma per chi ogni giorno gestisce pixel di conversione, implementa CAPI (Conversion API) e monitora eventi lato server, il messaggio è chiaro: il confine tra tracciamento legittimo e intercettazione illecita si è spostato, e non a nostro favore.

Perché Adidas è solo la punta dell’iceberg

Fino alla scorsa estate respiravamo. Nel 2023 i tribunali californiani avevano iniziato ad archiviare regolarmente le cause per intercettazione telematica basate sul CIPA. A rendere l’ambiente ancora più favorevole per chi gestisce campagne era arrivata, nell’agosto 2025, la sentenza Popa v. Microsoft: il Nono Circuito aveva alzato l’asticella per la legittimazione attiva (standing) ai sensi dell’Articolo III, richiedendo un danno concreto oltre alla mera violazione statutaria. Un precedente che sembrava mettere al riparo da azioni collettive fondate solo su tecnicismi legali.

La sentenza Camplisson ha ribaltato questa traiettoria. Il tribunale ha respinto esplicitamente i precedenti che avevano escluso il TikTok Pixel e strumenti analoghi dall’ambito del CIPA § 638.51 — le sentenze Headspace, Royal Caribbean, Talkspace e CuriosityStream che fornivano una parvenza di protezione. Ha invece sposato la linea tracciata dalle decisioni Greenley v. Kochava (2023) e Moody v. C2 Educ. Sys. (2024), che avevano aperto le porte all’ondata attuale di class action. Il risultato: un tribunale federale ha stabilito che informare gli utenti della raccolta dati non basta — serve un consenso affermativo, esplicito.

La cifra che tiene svegli la notte è scolpita nella legge stessa: il CIPA prevede un risarcimento statutario di $5.000 per violazione, anche in assenza di danno effettivo, più le spese legali in determinate circostanze. Non serve dimostrare che qualcuno abbia subito un pregiudizio economico. Basta il pixel senza consenso. Nel 2025, mentre le cause sulla privacy biometrica rallentavano — complici l’emendamento del 2024 al BIPA che ha limitato i danni — abbiamo assistito a un’impennata di controversie sulle tecnologie di tracciamento internet basate proprio su leggi statali come il CIPA. I pixel sono diventati il nuovo fronte caldo.

La domanda ora è concreta: ti puoi permettere di tenere attivi tutti i pixel sapendo che ogni visitatore della California è una potenziale causa da $5.000?

La checklist per dormire (un po’) più tranquilli

Nessuno sta dicendo di spegnere tutto. Un advertiser senza dati di conversione è un advertiser che spara nel buio, e nessun CFO approverebbe budget basati sulla fiducia. Ma ignorare il rischio non è una strategia: è una scommessa che il team legale non può permettersi di fare per te. Ecco cosa va messo sotto la lente subito.

Primo: audit dei pixel attivi. Non limitarti a quelli che ricordi di aver implementato. Controlla ogni tag lato client — Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, pixel di retargeting di terze parti — e verifica quali raccolgono dati da utenti californiani. Il CIPA § 638.51 non fa distinzioni tra first-party e third-party: se il pixel intercetta comunicazioni senza consenso, il rischio c’è. La Corte ha ritenuto che la semplice informativa sulla raccolta dati non costituisca consenso affermativo.

Secondo: implementa un meccanismo di opt-in reale. Un banner cookie che presuppone il consenso finché l’utente non clicca su “rifiuta” non ti mette al riparo. Serve un’azione affermativa del visitatore prima che i pixel si attivino. Questo avrà un impatto misurabile sul volume di conversioni tracciabili: preparati a spiegare al CMO perché il CPA (costo per acquisizione) salirà e quante conversioni stai perdendo a causa del consenso mancante. È un trade-off tra performance e rischio legale, e va quantificato con precisione.

Terzo: sposta la logica di tracciamento lato server dove possibile. Se gestisci conversioni via CAPI (Conversion API) di Meta o tramite server-side tagging su Google Tag Manager, riduci l’esposizione diretta del pixel lato client. Non elimina il problema — anche i dati server-side devono rispettare il consenso — ma riduce la superficie d’attacco. Documenta ogni flusso di dati, traccia la base giuridica per ogni endpoint e preparati a giustificare ogni byte raccolto.

Prima che il team legale bussi alla tua porta con la prossima diffida, fai un audit dei pixel, documenta i consensi, e preparati a giustificare ogni byte raccolto. Perché in California, l’ignoranza costa $5.000 a botta. E i moltiplicatori delle class action non perdonano.