InspectWP Logo
Glossario

Cos'è Gravatar?

8 febbraio 2026 Aggiornato il 19 apr 2026

Gravatar, abbreviazione di Globally Recognized Avatar, è un servizio gratuito di Automattic (l'azienda dietro WordPress.com) che collega immagini profilo a indirizzi email. Il concetto è semplice: carichi un avatar su gravatar.com una volta sola, e ti segue sul web. Ogni sito che supporta Gravatar può mostrare la tua foto profilo accanto al tuo nome, senza che tu debba ricaricarla.

WordPress ha il supporto Gravatar dalla versione 2.5 (2008), ed è abilitato di default in ogni installazione WordPress. Questo significa che, a meno che tu non lo disabiliti attivamente, il tuo sito WordPress invia dati ai server di Gravatar ogni volta che viene caricata una pagina con avatar. Per molti proprietari di siti, specialmente nell'Unione Europea, questo crea un problema di privacy significativo.

Come funziona Gravatar sotto il cofano

Il processo tecnico dietro Gravatar è diretto, ma ha importanti implicazioni sulla privacy. Quando WordPress deve visualizzare un avatar per un utente o commentatore, prende il loro indirizzo email, lo converte in minuscolo, rimuove gli spazi bianchi e genera un hash MD5. Ad esempio, l'indirizzo email user@example.com diventa qualcosa come b58996c504c5638798eb6b511e6f49af.

WordPress poi costruisce un URL immagine come questo:

https://secure.gravatar.com/avatar/b58996c504c5638798eb6b511e6f49af?s=96&d=mm

Il parametro s imposta la dimensione dell'immagine (in questo caso 96 pixel), e il parametro d indica un'immagine predefinita per il caso in cui non esista Gravatar per quell'hash. Quando il browser di un visitatore carica la pagina, esegue una richiesta HTTP a secure.gravatar.com per recuperare ogni avatar. Questa richiesta contiene l'indirizzo IP del visitatore (come ogni richiesta HTTP), e l'URL contiene l'hash MD5 dell'indirizzo email del commentatore.

Gli hash MD5 sono teoricamente unidirezionali, ma in pratica facili da invertire per indirizzi email comuni. Rainbow table e servizi di lookup hash possono spesso ricondurre un hash MD5 all'indirizzo email originale. Gli URL Gravatar non sono quindi realmente anonimizzati.

Dove WordPress usa Gravatar di default

Le immagini Gravatar appaiono in molti posti su un sito WordPress, non tutti ovvi:

  • Sezioni commenti: ogni commento mostra il Gravatar del commentatore accanto al nome. Su un post con 50 commenti, sono 50 richieste separate ai server di Gravatar.
  • Dashboard di amministrazione: l'area admin di WordPress mostra Gravatar per l'utente loggato, negli elenchi utenti e nel widget "A colpo d'occhio".
  • Blocchi bio autore: molti temi mostrano il Gravatar dell'autore nella sezione bio autore sotto i post.
  • Pagine profilo utente: nell'amministrazione WordPress, i profili utente usano Gravatar come fonte di avatar predefinita.
  • BuddyPress e bbPress: se usi questi plugin di community, i Gravatar appaiono nei forum, elenchi membri e flussi di attività.
  • Recensioni WooCommerce: le recensioni dei prodotti mostrano i Gravatar dei recensori come per i commenti del blog.

Il problema GDPR in dettaglio

Il General Data Protection Regulation (GDPR) richiede che i dati personali siano trattati solo su una base giuridica, tipicamente il consenso informato. Il comportamento predefinito di Gravatar in WordPress crea diversi problemi di conformità GDPR:

Trasmissione di indirizzi IP: quando il browser di un visitatore recupera un'immagine Gravatar, il suo indirizzo IP viene inviato ai server di Automattic (situati negli Stati Uniti). Gli indirizzi IP sono considerati dati personali ai sensi del GDPR. Questo trasferimento di dati avviene senza la conoscenza o il consenso del visitatore, e WordPress non ha alcun meccanismo per chiedere il consenso prima di caricare i Gravatar.

Esposizione degli hash email: l'hash MD5 dell'indirizzo email di ogni commentatore è incluso nell'URL Gravatar e visibile nel codice sorgente HTML della pagina. Sebbene si tratti di un hash piuttosto che di un'email in chiaro, è comunque considerato dato personale, perché può essere invertito o usato per tracciare la stessa persona su più siti web. Automattic riceve questi hash come parte di ogni richiesta di immagine.

Possibilità di tracciamento cross-site: poiché Gravatar usa lo stesso hash email su tutti i siti web, Automattic potrebbe teoricamente costruire un profilo dei siti su cui qualcuno commenta. Anche se non lo fanno attivamente, esiste la possibilità tecnica, ed è su questo che si concentra la conformità GDPR.

Trasferimento a un paese terzo: Automattic è un'azienda con sede negli USA. Dopo la sentenza Schrems II della Corte di Giustizia Europea del 2020, il trasferimento di dati personali agli USA richiede garanzie aggiuntive. Molti esperti legali considerano l'uso predefinito di Gravatar sui siti web europei come non conforme, perché non c'è un accordo di trattamento dei dati e nessun modo per ottenere un consenso adeguato prima che avvenga il trasferimento dei dati.

Le autorità tedesche per la protezione dei dati sono state particolarmente rigorose su questo punto. Diverse sentenze giudiziarie e pareri di vigilanza hanno concluso che il caricamento di immagini Gravatar senza consenso viola il GDPR. La situazione legale è molto simile alla nota sentenza Google Fonts, in cui un tribunale di Monaco ha imposto un risarcimento per il caricamento di Google Fonts da server esterni senza consenso.

Impatto sulle prestazioni del tuo sito WordPress

Oltre alla privacy, Gravatar influisce anche sulle prestazioni di caricamento del tuo sito. Ogni immagine Gravatar richiede una richiesta HTTP separata a un server esterno. Su un post del blog con molti commenti, può accumularsi rapidamente:

  • Ogni avatar richiede una lookup DNS per secure.gravatar.com (almeno alla prima richiesta).
  • Ogni immagine è una richiesta HTTP separata con la propria latenza.
  • Se i server di Gravatar sono lenti o non raggiungibili, il rendering della tua pagina si blocca mentre il browser aspetta le immagini.
  • Le immagini Gravatar non possono essere ottimizzate dai tuoi plugin di caching o ottimizzazione immagini locali.
  • I limiti di connessione del browser possono fare in modo che molte richieste Gravatar simultanee blocchino il caricamento delle tue risorse.

Su una pagina con 30 commenti, potresti aggiungere 30 richieste HTTP esterne che i browser dei tuoi visitatori devono eseguire prima che la pagina sia completamente caricata. Per i visitatori su connessioni mobili lente, è un ritardo notevole.

Alternative a Gravatar in WordPress

Ci sono diversi modi per sostituire Gravatar e mostrare comunque avatar sul tuo sito WordPress:

  • Disabilita completamente gli avatar: in Impostazioni > Discussione deseleziona "Mostra avatar". È la soluzione più semplice, ma rimuove l'identità visiva dai commenti.
  • Usa avatar generati localmente: plugin come "Simple Local Avatars" o "WP User Avatar" consentono agli utenti di caricare immagini profilo che vengono memorizzate sul tuo server. Nessuna richiesta esterna, nessuna preoccupazione sulla privacy.
  • Avatar predefiniti generati: WordPress può generare avatar geometrici semplici (come identicon o pattern retrò) basati sull'hash email, senza accedere ai server di Gravatar. Alcuni plugin lo implementano localmente.
  • Caching Gravatar locale: plugin come "Avatar Privacy" o "Cache Gravatar" scaricano le immagini Gravatar una volta e le servono dal tuo server. Questo preserva l'esperienza Gravatar ed elimina le richieste esterne a ogni caricamento di pagina. Il download iniziale invia comunque dati a Gravatar, quindi questo risolve solo parzialmente il problema GDPR.
  • Caricamento basato sul consenso: alcuni plugin di consenso ai cookie GDPR possono bloccare il caricamento di Gravatar fino a quando il visitatore non dà il consenso. È l'approccio più conforme se vuoi continuare a usare Gravatar, ma significa che gli avatar sono invisibili finché non viene dato il consenso.

Cosa controlla InspectWP

InspectWP scansiona il codice sorgente HTML e le richieste di rete del tuo sito WordPress per connessioni a gravatar.com o secure.gravatar.com. Se vengono rilevate immagini Gravatar, il report lo segnala come preoccupazione GDPR nella sezione privacy. Questa notifica indica che il tuo sito trasferisce dati personali (indirizzi IP dei visitatori e hash email) ai server di Automattic con sede negli USA senza un meccanismo di consenso esplicito. Il report consiglia di disabilitare completamente Gravatar, passare ad avatar ospitati localmente o implementare una soluzione di caricamento basata sul consenso.

Articolo precedente

Cos'è la WordPress REST API?

Articolo successivo

Cos'è HTTP/2?

Articoli correlati

Cos'è una meta description?

Cos'è il mixed content?

Cos'è il lazy loading?

Vedi tutti gli articoli

Controlla subito il tuo sito WordPress

InspectWP analizza il tuo sito WordPress per problemi di sicurezza, problemi SEO, conformità GDPR e prestazioni — gratuitamente.

Analizza gratis il tuo sito