DATI PERSONALI
Condividi questo articolo:
Privacy

Soft spam: regole d’ingaggio senza consenso (solo email)

Soft spam senza consenso: quando è (davvero) possibile? Indicazioni operative dopo Cassazione n. 15881/2025 e Provvedimento Garante 27.2.2025 (doc. web n. 10114967)

Executive summary

Regola generale: per inviare comunicazioni promozionali tramite strumenti elettronici (email, SMS, MMS, messaggistica “di altro tipo”) serve consenso preventivo dell’interessato (“optin”). Lo prevede l’art. 130, commi 1-2, del Codice Privacy, in attuazione della direttiva eprivacy 2002/58/CE. La Cassazione lo ribadisce con l’ordinanza n. 15881/2025.

Eccezione “soft spam”: l’art. 130, comma 4, consente solo via email l’uso delle coordinate raccolte nel contesto di una vendita (propri prodotti/servizi) per promuovere prodotti/servizi analoghi, con optout sempre possibile e agevole, e previa informazione adeguata. È una deroga di stretta interpretazione. La Cassazione esclude che basti la mera iscrizione a una newsletter o l’uso di un portale “aggregatore di offerte”: serve un rapporto di vendita effettivo e oneroso.

Niente scorciatoie: moduli di consenso generici o “onnicomprensivi” (tipici dei lead marketplace) non neutralizzano l’opposizione esercitata via Registro Pubblico delle Opposizioni, né legittimano contatti promozionali. Il Garante ha sanzionato pratiche simili nel provvedimento 27.2.2025, rimarcando i requisiti di libertà, specificità e granularità del consenso e l’onere di governance sulla filiera.

Cosa fare in pratica: se invii email basate su “soft spam”, verifica tutti i presupposti (provenienza dell’indirizzo dal checkout, identità del titolare, “analogia” dell’offerta, informativa al momento della raccolta, optout chiaro in ogni messaggio e prova dell’origine). Se anche uno solo manca, torna il consenso optin.

Attenzione alle sanzioni: Cassazione n. 15881/2025 conferma l’illiceità dell’invio di newsletter promozionali senza consenso nel caso di piattaforma che funge da “aggregatore di offerte”; la causa è stata rinviata solo sulla misura della sanzione (speciale tenuità), non sulla regola di merito.

1) Il quadro normativo: optin come regola, soft spam come deroga tassativa

La disciplina italiana del marketing elettronico è contenuta nell’art. 130 del Codice privacy (d.lgs. 196/2003). La regola è chiara: serve il consenso per email e sistemi automatizzati. L’unica deroga rilevante è il “soft spam” (art. 130, comma 4):

  • email fornita nel contesto di una vendita;
  • per promuovere prodotti/servizi analoghi;
  • senza nuovo consenso, con informativa e optout agevole e gratuito in ogni messaggio.

2) Cassazione n. 15881/2025: la newsletter non “regge” senza vendita

I fatti: la Cassazione ha confermato la sanzione per una società che inviava newsletter senza una precedente vendita. L’iscrizione a un sito o ad aggregatori di offerte non costituisce “vendita”.

Principi ribaditi:

  • Il consenso è la regola; il soft spam è eccezione.
  • Serve una vendita effettiva a titolo oneroso.
  • La mera registrazione non basta.
  • L’optout deve essere sempre chiaro e immediato.

3) Provvedimento Garante 27.2.2025: consenso granulare e governance

  • I consensi “onnicomprensivi” dei portali sono invalidi.
  • Non superano l’optout via RPO.
  • Necessario il controllo sulla filiera (culpa in eligendo/vigilando).
  • Richieste misure organizzative e tecniche concrete (MFA, audit, check call).

4) Che cosa è (e che cosa non è) il soft spam

Cinque requisiti cumulativi: vendita, identità soggettiva, analogicità, informativa + optout, canale email. Se manca anche uno, torna il consenso.

Casi esclusi: newsletter senza vendita, lead marketplace, crossselling ampio, invii da terzi non titolari.

B2B: anche nelle relazioni business serve una vendita effettiva, limitata ad analoghi e con optout.

5) Come implementare bene il soft spam

  • Data lineage e prova dell’origine dell’indirizzo.
  • Definizione restrittiva di “analogicità”.
  • Optout oneclick sempre disponibile.
  • Informativa trasparente al momento della raccolta.
  • Liste separate da quelle di lead marketing.

6) Dieci casi d’uso

  • Ecommerce: sì per accessori, no per assicurazioni non correlate.
  • Marketplace: no, manca la vendita.
  • Gruppi societari: no, serve consenso.
  • Acquisto in negozio fisico: sì, se informativa e optout.
  • Lead da comparatore: no, consenso invalido.
  • B2B software: sì per moduli aggiuntivi analoghi, no per altri prodotti IT.
  • Cambio di brand: sì solo con continuità e trasparenza.
  • Programma fedeltà: no, manca la vendita.
  • Optout macchinoso: no, illecito.
  • Email transazionale con banner: attenzione, rischioso.

7) Checklist di conformità

Domande chiave da verificare prima di inviare in soft spam:

  • Email raccolta con vendita effettiva? Posso provarlo?
  • Prodotto promosso analogo?
  • Informativa e optout chiari?
  • Email inviata dallo stesso titolare?
  • Blacklist unificate?
  • Audit sulla filiera?

8) Errori ricorrenti

  • Confondere cliente con registrato.
  • Analogicità estesa troppo.
  • Optout complicato.
  • Lead marketplace spacciati per soft spam.
  • Delegare ai partner senza audit.

9) Documentazione & accountability

  • Prove di vendita associate a ciascun indirizzo.
  • Versioni informative rese.
  • Log invii e optout.
  • Matrice analogicità prodotti.
  • Audit e controlli di filiera.

10) Struttura “compliant” di una newsletter

Esempio: oggetto, mittente identico al titolare, contenuto solo su prodotti analoghi, footer con informativa, link disiscrizione oneclick, contatti DPO.

11) Il consenso come base imprescindibile

La Cassazione avverte: senza vendita, senza analogicità e senza optout → serve consenso. Strategicamente, il consenso amplia i canali, consente profilazioni e riduce rischi sanzionatori.

12) Governance della filiera: do & don’t

  • Do: procure precise, audit, tracciabilità, playbook incident response.
  • Don’t: acquistare liste preconsentite senza controlli, accettare elenchi partner indeterminati, mischiare basi, trascurare formazione.

13) FAQ

  • Soft spam via SMS? No, solo email.
  • Prodotti complementari (es. assicurazione)? Rischioso, meglio consenso.
  • Fornitore può inviare a nome suo? No, solo per conto del titolare.
  • Cliente disiscritto che ricompra? Sì, nuova vendita = nuova base.
  • Newsletter ibrida? No, serve consenso.

14) Confronto Cassazione e Garante

Cassazione n. 15881/2025: regole rigide sul soft spam, vendita vera come presupposto, optout obbligatorio.

Garante 27.2.2025: consensi non granulari invalidi, governance obbligatoria, sanzioni fino a 300.000 €.

15) Roadmap operativa 90 giorni

  • 0-30 giorni: mappatura basi, prove di vendita, aggiornamento informative, unsubscribe oneclick.
  • 31-60 giorni: policy analogicità, blacklist unificate, audit vendor, check call bloccanti.
  • 61-90 giorni: formazione, KPI di compliance, repermissioning, revisioni partner.

16) Conclusioni

  • Soft spam = deroga limitata, mai scorciatoia.
  • Vendita effettiva, non registrazione.
  • Optout “di ferro”.
  • Filiera sotto controllo.
  • Accountability documentata.

Se applicato correttamente, il soft spam è legittimo e utile. Se applicato male, espone a sanzioni. In caso di dubbio, torna al consenso: è la scelta più sicura.

Post correlati