Home / torna al blog
Click fraud Google Ads analizzata con log server, GCLID, IP e user agent

Click fraud Google Ads: cosa leggere in log, GCLID, IP e user agent

Tempo di lettura: 13 min

Quando sospetti click fraud su Google Ads, la cosa peggiore è ragionare solo a sensazione: "mi sembrano troppi click", "queste lead puzzano", "secondo me sono bot". Può essere vero, ma senza dati rischi di bloccare utenti reali, accusare il canale sbagliato o lasciare che il problema continui.

Il traffico non valido esiste. Google lo definisce come interazioni sugli annunci che non derivano da un interesse reale dell'utente, includendo click accidentali, duplicati, attività automatizzate e tentativi deliberati di aumentare i costi pubblicitari. Google filtra molto traffico prima della fatturazione e può applicare accrediti quando rileva attività non valida dopo l'addebito, ma questo non significa che un eCommerce o un'azienda lead generation possa smettere di controllare.

La differenza tra paranoia e audit sta nei dati: log server, GCLID, IP, user agent, timestamp, landing page, form, CRM e qualità commerciale. Da soli non dimostrano sempre una frode. Insieme possono raccontare una storia molto più chiara.

Questo articolo è la continuazione tecnica della guida su traffico fake, click fraud e lead false. Qui entriamo nella parte operativa: cosa salvare, cosa confrontare e quali pattern cercare prima di dire "è click fraud".

Prima regola: non tutti i click strani sono click fraud

Un picco di click può dipendere da molte cose: budget aumentato, keyword troppo generiche, nuova campagna Performance Max, cambiamento stagionale, competitor più aggressivi, annunci più larghi, targeting geografico impreciso, landing page non coerente o semplice curiosità degli utenti.

Anche un conversion rate basso non prova automaticamente una frode. Può indicare che l'offerta non convince, che il prezzo è fuori mercato, che il form chiede troppo, che la pagina è lenta o che le campagne stanno intercettando traffico freddo.

Per questo un audit serio parte da due domande:

  • il traffico è tecnicamente sospetto?
  • il traffico produce segnali commerciali peggiori rispetto al resto delle campagne?

Se entrambe le risposte iniziano a convergere, vale la pena andare in profondità. Se guardi solo IP o solo GA4, rischi di vedere fantasmi. Se guardi solo il costo per lead, rischi di non vedere i bot.

Cos'è il GCLID e perché va salvato

Il GCLID, Google Click Identifier, è il parametro che Google Ads può aggiungere automaticamente agli URL quando l'auto-tagging è attivo. Serve a collegare il click pubblicitario alla sessione, alle conversioni e all'attribuzione dentro gli strumenti Google.

Per un'analisi anti click fraud, il GCLID è prezioso perché permette di collegare un evento del sito a un click Ads specifico. Se un form arriva da Google Ads e salvi il GCLID insieme alla richiesta, puoi confrontare:

  • quando è avvenuto il click;
  • quale landing page ha ricevuto la visita;
  • quale form è stato compilato;
  • quale campagna o gruppo di annunci era coinvolto;
  • se il contatto è diventato lead qualificata, opportunità o cliente;
  • se lo stesso pattern compare molte volte.

Il punto non è usare il GCLID come prova magica. Il punto è evitare che form, CRM e campagne restino tre mondi separati. Se non salvi un identificatore del click, diventa molto più difficile distinguere traffico utile, rumore, errore di tracking e attività sospetta.

Quali dati salvare nei log

I log server sono spesso più noiosi dei report pubblicitari, ma quando i numeri non tornano diventano fondamentali. Google stessa consiglia di usare i log del server web quando si indaga su traffico sospetto, ricordando però che i log includono tutti i visitatori del sito, non solo quelli arrivati da Ads.

Per rendere i log utili, bisogna salvare abbastanza contesto. Una base ragionevole include:

  • timestamp preciso: data, ora e fuso coerente con Google Ads e CRM;
  • IP: indirizzo sorgente o IP reale se c'è CDN/proxy configurato correttamente;
  • user agent: browser, sistema operativo e dispositivo dichiarati;
  • URL completa: path, query string, GCLID, GBRAID, WBRAID o parametri UTM;
  • referrer: quando disponibile e affidabile;
  • metodo e status code: GET/POST, 200, 302, 403, 404 e simili;
  • landing page: prima pagina della sessione;
  • sequenza di pagine: prodotto, categoria, checkout, form, thank you page;
  • tempo tra click e azione: per capire se il comportamento è plausibile;
  • ID form o ordine: collegamento a CRM, gestionale o database;
  • esito commerciale: lead valida, spam, fuori target, vendita, annullata.

Se usi Cloudflare, un reverse proxy, un bilanciatore o un server-side Tag Manager, va controllato che l'IP reale venga preservato correttamente. Altrimenti nei log potresti vedere solo l'IP del proxy e perdere il dato più utile.

Log utili, ma non raccolta selvaggia

Quando si parla di log anti frode, qualcuno passa da un estremo all'altro: o non salva niente, oppure vuole conservare ogni dato possibile per sempre. Entrambe le strade sono deboli.

Per difendere campagne e form servono dati tecnici sufficienti, ma raccolti con criterio: finalità chiara, accessi limitati, conservazione proporzionata, documentazione interna e attenzione ai dati personali. IP, user agent, identificatori click, email, telefono e stato CRM non vanno trattati come dettagli innocui.

In pratica, prima di attivare un logging più profondo, chiediti:

  • quali dati servono davvero per distinguere traffico utile, rumore e abuso?
  • per quanto tempo ha senso conservarli?
  • chi può leggerli?
  • sono collegati a lead, ordini o clienti identificabili?
  • il banner, la privacy policy e le procedure interne sono coerenti con quello che viene raccolto?

Un audit serio non è "salviamo tutto e poi vediamo". È progettare una traccia tecnica abbastanza ricca da proteggere il budget, ma abbastanza ordinata da non creare un nuovo problema di compliance.

IP sospetti: utili, ma facili da interpretare male

L'IP è il dato che tutti vogliono bloccare per primo. È comprensibile: se vedi molti click dallo stesso indirizzo, l'istinto è inserirlo subito tra le esclusioni.

Ma gli IP vanno letti con prudenza. Un singolo IP può rappresentare:

  • un utente reale;
  • un ufficio con molte persone;
  • una rete aziendale;
  • un provider mobile;
  • una VPN;
  • un proxy;
  • un servizio cloud;
  • un bot;
  • un competitor;
  • un sistema di sicurezza o anteprima.

Google ricorda che click multipli da uno stesso IP possono anche dipendere da IP condivisi assegnati da provider o reti aziendali. Quindi l'IP da solo non basta per condannare una visita.

Diventa più interessante quando si unisce ad altri segnali: stesso IP, molti GCLID diversi, tempi di permanenza bassissimi, user agent ripetuto, area geografica incoerente, form compilati con dati falsi, nessuna lead qualificata, pattern concentrato su keyword costose.

User agent: cosa può dirti e cosa non può dirti

Lo user agent è la stringa con cui il browser dichiara chi è: Chrome, Safari, Android, iPhone, sistema operativo, versione e altri dettagli. Nei log può aiutare a capire se molte visite arrivano con combinazioni identiche o improbabili.

Segnali da guardare:

  • centinaia di visite con user agent identico e comportamento identico;
  • browser molto vecchi o incoerenti con il pubblico atteso;
  • user agent vuoto o palesemente automatizzato;
  • combinazioni strane tra dispositivo, risoluzione e comportamento;
  • stesso user agent su IP diversi con sequenze di pagine uguali;
  • click da mobile con compilazioni form troppo rapide e perfette.

Anche qui serve cautela. Alcuni browser riducono o standardizzano le informazioni dello user agent per motivi di privacy. Alcune app e ambienti mobile possono generare stringhe simili tra molti utenti. Quindi lo user agent è un indizio, non una sentenza.

Pattern sospetti da cercare

Un audit anti click fraud diventa utile quando cerca pattern, non singole anomalie isolate. Alcuni segnali meritano attenzione:

  • molti click, poche sessioni reali: Google Ads registra click, ma il sito vede poche visite caricate correttamente;
  • molte sessioni brevissime: utenti che entrano ed escono in pochi secondi senza leggere nulla;
  • percorsi troppo uguali: stessa landing, stesso scroll, stesso form, stessi tempi;
  • GCLID senza interazione: visite Ads che non generano eventi coerenti;
  • form troppo veloci: compilazioni in tempi incompatibili con lettura e decisione umana;
  • email e telefoni deboli: domini temporanei, numeri inesistenti, richieste generiche o incoerenti;
  • geografia fuori target: click da aree che non dovrebbero vedere gli annunci;
  • keyword costose colpite: anomalie concentrate sulle query più care;
  • picchi a orari strani: attività intensa quando il pubblico reale di solito non converte;
  • lead che non diventano mai vendite: tanta conversione di superficie, zero qualità commerciale.

Il pattern più pericoloso è quello che sembra una buona notizia: più form, costo per lead più basso, dashboard in crescita. Se però il CRM dice che quelle lead non rispondono, sono fuori target o hanno dati falsi, Google Ads sta ricevendo un segnale che non dovrebbe guidare le offerte.

Frode, tracking rotto o targeting sbagliato?

Prima di parlare di click fraud bisogna separare tre scenari che nei report possono somigliarsi molto.

  • Possibile frode o traffico non valido: pattern tecnici ripetuti, IP o user agent sospetti, form troppo veloci, picchi anomali su keyword costose, lead senza qualità commerciale.
  • Tracking rotto: click reali ma conversioni mancanti, eventi duplicati, GCLID non salvato, consenso non passato correttamente, thank you page che non si carica o checkout non tracciato.
  • Targeting o offerta sbagliata: traffico tecnicamente umano, ma query troppo larghe, pubblico poco qualificato, promessa dell'annuncio debole, pagina non coerente, prezzo o proposta non competitivi.

La cura cambia completamente. Nel primo caso lavori su prove, filtri, richiesta a Google e protezione form. Nel secondo sistemi tracking, Tag Manager, consenso e conversioni. Nel terzo devi rivedere strategia Ads, feed, landing page e qualità dell'offerta.

Molti audit falliscono perché saltano subito alla conclusione più comoda. Invece la domanda giusta è: quale pezzo della catena sta producendo il segnale sbagliato?

Le colonne Google Ads da controllare

Dentro Google Ads conviene aggiungere e leggere le colonne legate al traffico non valido, come click non validi e tasso di click non validi. Servono a capire cosa Google ha già identificato e filtrato.

Ma queste colonne non bastano. Vanno confrontate con:

  • spesa per campagna, gruppo annunci e keyword;
  • query di ricerca;
  • posizionamenti, quando disponibili;
  • segmenti geografici;
  • fasce orarie;
  • dispositivi;
  • conversioni primarie e secondarie;
  • qualità lead nel CRM;
  • ordini reali, resi e annullamenti negli eCommerce.

Se Google segnala pochi click non validi ma il CRM segnala una marea di lead inutili, non significa per forza che Google stia sbagliando. Può significare che il problema non è il click, ma il targeting, la landing, la promessa dell'annuncio o il tipo di conversione usata per ottimizzare.

Form e CRM: dove la frode diventa costo reale

Il click sprecato fa male, ma spesso il danno più grande arriva dopo. Ogni lead falsa consuma tempo commerciale, sporca il CRM e può insegnare all'algoritmo a cercare altri utenti simili.

Per questo i form dovrebbero salvare dati tecnici e dati commerciali nello stesso flusso:

  • GCLID o identificatore Ads disponibile;
  • campagna o landing di ingresso;
  • IP e user agent associati alla richiesta;
  • tempo tra prima visita e invio form;
  • campi compilati;
  • esito anti-spam;
  • stato nel CRM;
  • qualifica commerciale;
  • eventuale valore opportunità o vendita.

Questo si collega direttamente alle conversioni offline Google Ads: se rimandi a Google solo le lead qualificate, l'account impara da clienti veri o almeno da contatti verificati, non da ogni compilazione grezza.

Limiti delle esclusioni IP

Bloccare IP può essere utile quando hai prove solide: click ripetuti, comportamento anomalo, nessuna qualità commerciale, IP non compatibile con il pubblico, attività concentrata su campagne costose.

Però l'esclusione IP ha limiti evidenti:

  • molti IP sono dinamici e cambiano;
  • reti mobile e aziendali possono essere condivise;
  • bloccare un IP può escludere utenti reali;
  • i servizi più sofisticati usano IP residenziali distribuiti;
  • un attacco può spostarsi appena viene bloccato un indirizzo;
  • l'IP non risolve lead false generate da targeting sbagliato.

Meglio pensare alle esclusioni IP come a una medicazione locale, non come alla cura. La difesa vera combina tracking pulito, validazione dei form, CRM, import offline e controllo dei pattern.

Quando chiedere un'indagine a Google

Se sospetti traffico non valido non filtrato, puoi richiedere un'indagine a Google Ads. Per farlo bene non basta scrivere "secondo noi sono click fraudolenti". Servono dati ordinati.

Prepara almeno:

  • Customer ID dell'account Google Ads;
  • campagne e gruppi annunci coinvolti;
  • periodo preciso dell'anomalia;
  • keyword, annunci o posizionamenti sospetti;
  • andamento di click, impression, costo e conversioni;
  • log server con timestamp, IP, user agent e URL;
  • GCLID o identificatori click disponibili;
  • esempi di form sospetti e loro esito nel CRM;
  • spiegazione chiara del pattern anomalo.

Più il materiale è ordinato, più la richiesta ha senso. Un file pieno di righe senza contesto serve poco. Una ricostruzione con date, pattern e impatto commerciale è molto più utile.

Cosa chiedere alla tua agenzia

Se gestisci Google Ads e temi traffico sospetto, queste domande aiutano a separare impressioni e fatti.

  • L'auto-tagging Google Ads è attivo?
  • Il sito conserva GCLID, GBRAID o WBRAID quando arrivano lead o ordini?
  • I form salvano IP, user agent, timestamp e landing page?
  • Il CRM distingue lead inviata, lead valida, opportunità e vendita?
  • Le conversioni primarie sono form grezzi o risultati qualificati?
  • Avete controllato le colonne click non validi in Google Ads?
  • Avete confrontato Google Ads, GA4, log server e CRM?
  • Ci sono keyword, orari, aree o dispositivi con pattern strani?
  • Le esclusioni IP sono basate su prove o su sensazioni?
  • Gli script di tracking sono configurati correttamente con il consenso?
  • Esiste un report che separa traffico, lead, lead qualificate e clienti?
  • Se serve, avete preparato materiale sufficiente per chiedere un'indagine a Google?

Se la risposta è "guardiamo Analytics e basta", l'audit è troppo debole. Analytics è utile, ma non vede tutto il percorso e non sostituisce log e CRM.

Come lo gestiamo noi in BitHub

In BitHub guardiamo il problema come una catena: campagna, click, landing, consenso, form, CRM, vendita e qualità del dato.

Il lavoro può includere:

  • audit Google Ads su click non validi, campagne, query, posizionamenti e conversioni;
  • controllo auto-tagging e salvataggio GCLID nei form;
  • verifica dei log server su IP, user agent, timestamp e URL;
  • analisi dei pattern sospetti per campagna, area, dispositivo e fascia oraria;
  • controllo anti-spam e validazione server-side dei form;
  • collegamento tra lead, CRM e qualità commerciale;
  • separazione tra conversioni grezze e conversioni qualificate;
  • import delle conversioni offline quando serve insegnare a Google il valore reale;
  • documentazione tecnica utile anche per eventuali richieste di indagine.

Questo lavoro si collega alle nostre attività su SEO e Google Ads, strategie digitali orientate ai dati, CRM e piattaforme digitali e compliance, cookie e tracking.

L'obiettivo non è vedere bot ovunque. È capire quali click hanno valore, quali generano solo rumore e quali segnali non devono guidare il budget.

Fonti utili

Per approfondire, parti dalla documentazione Google su traffico non valido in Google Ads e dalla guida ufficiale sull'auto-tagging e GCLID. Sono utili anche le pagine Google sui click non validi nei report e sulle esclusioni IP.

FAQ

Il GCLID basta per dimostrare click fraud?

No. Il GCLID collega un click Google Ads a una visita o a una conversione, ma non dimostra da solo che il click sia fraudolento. Va letto insieme a log, IP, user agent, comportamento, form e qualità CRM.

Se vedo molti click dallo stesso IP devo bloccarlo subito?

Non sempre. Un IP può essere condiviso da provider, reti aziendali o connessioni mobile. Conviene bloccarlo solo quando altri segnali confermano un pattern sospetto e il rischio di escludere clienti reali è basso.

Google Ads filtra automaticamente i click fraudolenti?

Google filtra molte interazioni non valide e può applicare crediti quando rileva attività non valida dopo la fatturazione. Però un'azienda deve comunque monitorare qualità traffico, form, CRM e conversioni reali.

Quali dati devo salvare nei form?

Oltre ai campi compilati dall'utente, conviene salvare timestamp, landing page, GCLID o identificatore Ads disponibile, IP, user agent, esito anti-spam e stato commerciale nel CRM.

Posso salvare log dettagliati senza problemi privacy?

Non automaticamente. IP, identificatori click e dati form possono diventare dati personali o comunque informazioni sensibili per l'azienda. Vanno raccolti con una finalità chiara, accessi limitati, tempi di conservazione proporzionati e documentazione coerente.

Le lead false sono sempre causate da click fraud?

No. Possono dipendere anche da targeting sbagliato, promessa dell'annuncio poco chiara, landing page debole, form troppo generico o offerta fuori mercato. Per questo serve confrontare dati tecnici e qualità commerciale.

Come proteggo Performance Max dalle lead false?

La cosa più importante è non usare ogni form grezzo come unico obiettivo primario. Meglio distinguere micro-conversioni, lead qualificate, opportunità e vendite, importando a Google Ads segnali più vicini al valore reale.

Vuoi capire se stai pagando click reali o rumore?

Possiamo analizzare Google Ads, log server, GCLID, form, CRM e qualità lead per capire se il problema è click fraud, tracking, targeting o conversioni configurate male.

Richiedi un audit su Google Ads e traffico sospetto

Approfondimenti collegati

Servizi utili