DATO SORGENTELa cold email B2B è legale in Italia e in tutta Europa quando rispetti tre regole base: identifichi chi sei, scrivi a un indirizzo professionale per un motivo professionale, offri un opt-out chiaro. Non è illegale di default. Ma il Garante italiano, la CNIL francese e le DPA europee hanno già emesso multe da 26,5 milioni di euro (Enel Energia, 2022) per cold outreach fatto male. La regola non è "non scrivere", la regola è "scrivi giusto".
Questa guida copre quello che ti serve davvero quando vendi B2B dall'Italia: il quadro GDPR, la specificità del Codice Privacy italiano, le differenze quando scrivi in Francia, Germania, Spagna, UK, USA e Canada. E un mini-checklist a fine articolo che puoi passare al tuo team commerciale domani mattina.
Disclaimer: non siamo avvocati e questo articolo non sostituisce una consulenza legale. È la sintesi operativa di come noi di Overloop gestiamo oltre 1,2 milioni di sequenze cold email all'anno per clienti europei.
Cold email contro spam: la differenza che la legge riconosce
Cold email e spam non sono la stessa cosa, e i regolatori lo sanno. Una cold email è un messaggio uno-a-uno, mirato, mandato a una persona specifica per un motivo professionale concreto. Identifica il mittente, ha contenuto rilevante, contiene un opt-out funzionante. [CNIL]
Lo spam è l'opposto: invio massivo, mittente nascosto, contenuto irrilevante, nessuna via d'uscita. Tutte le leggi che vedrai qui sotto regolano la cold email commerciale, ma nessuna la vieta. Vietano i comportamenti dello spammer: ingannare il destinatario, nascondere chi sei, ignorare le richieste di cancellazione, scrivere a indirizzi raschiati a strascico.
Quadro Europa: GDPR + ePrivacy
Il GDPR è dove la maggior parte dei team outbound si confonde. Versione corta: la cold email B2B è legale nell'UE sotto la base giuridica del "legittimo interesse" (Articolo 6(1)(f)). La cold email B2C richiede consenso preventivo. Ma i dettagli cambiano da paese a paese. [CNIL]
Le 5 condizioni per il legittimo interesse B2B
- Hai una ragione commerciale autentica per contattarli (non invio random)
- L'email è rilevante per il loro ruolo professionale
- Usi l'indirizzo professionale (mario.rossi@azienda.it), non quello personale
- Offri un opt-out chiaro e funzionante in ogni email
- Documenti la tua valutazione del legittimo interesse (LIA, Legitimate Interest Assessment)
La LIA non deve essere un trattato. Una pagina basta: chi è il target, perché è rilevante, perché il vantaggio commerciale tuo non sovrasta i diritti del destinatario. Tienila in archivio. Se il Garante chiama, la tiri fuori.
Sanzioni
Fino a 20 milioni di euro o il 4% del fatturato globale annuo, prendi il valore più alto. In pratica le multe per cold email vanno dai 10.000 ai 500.000 euro, ma i casi più seri arrivano molto più in alto. Le DPA europee hanno emesso oltre 3 miliardi di euro in multe GDPR nella sola prima metà del 2026.
Italia: il Codice Privacy e il Garante
L'Italia è uno dei paesi più severi d'Europa sul cold outreach. Il Garante per la protezione dei dati personali ha una storia lunga di sanzioni a chi fa marketing aggressivo senza basi giuridiche solide.
Tre cose da sapere quando mandi cold email da o verso l'Italia:
- Per il B2C serve consenso esplicito. Punto. Inviare email commerciali a consumatori senza opt-in è una violazione diretta del Codice Privacy (D.Lgs. 196/2003 aggiornato) e dell'ePrivacy.
- Per il B2B il legittimo interesse funziona, ma il Garante richiede di poter dimostrare il nesso tra il tuo business e il ruolo del destinatario. Scrivere a un CFO per un tool da CMO non passa.
- Le richieste di cancellazione vanno onorate immediatamente. Non entro 10 giorni, immediatamente. E devi conservare la prova di averle gestite.
Caso Enel Energia (2022): 26,5 milioni di euro
Il Garante ha multato Enel Energia per 26,5 milioni di euro per campagne di telemarketing ed email senza consenso valido. Il punto non è che facevano outbound, il punto è che non potevano dimostrare la base giuridica per i contatti raccolti. Lezione: la documentazione vale quanto l'invio.
Francia: il regime più morbido d'Europa per il B2B
La Francia, sotto la guida CNIL, applica una regola pragmatica per il B2B: puoi scrivere a un indirizzo professionale (mario@azienda.fr) senza opt-in preventivo, purché il messaggio sia coerente con il ruolo della persona. Per il B2C serve consenso. Le multe massime restano quelle GDPR (20 milioni o 4%), ma in pratica la CNIL ha multato Orange SA per 50 milioni di euro nel 2024 per messaggi promozionali camuffati da email normali.
Germania: niente cold email senza opt-in. Punto.
La Germania ha le regole più severe d'Europa. Sotto la legge UWG Sezione 7, anche il B2B richiede consenso preventivo. Doppio opt-in raccomandato. Se vendi in Germania, la cold email pura non è la strategia: usa il telefono per chiedere il permesso (una sola volta, e solo se l'offerta è pertinente al business del destinatario), oppure parti da LinkedIn outreach e arrivi all'email solo dopo la prima risposta.
Spagna, UK e altri mercati europei
| Paese | B2B opt-in richiesto? | Legge nazionale | Note |
|---|---|---|---|
| Italia | No (legittimo interesse) | D.Lgs. 196/2003 | Garante attivo. Documenta sempre la LIA. |
| Francia | No | LCEN + linee guida CNIL | Indirizzo aziendale + opt-out + identificazione mittente. |
| Germania | Sì (doppio) | UWG Sezione 7 | Il regime più severo. Consenso preventivo anche B2B. |
| Spagna | Sì | LSSI-CE | AEPD molto attiva. Consenso esplicito richiesto. |
| Paesi Bassi | No | Telecommunicatiewet | B2B verso indirizzi pubblici aziendali permesso. |
| Belgio | Sì (singolo opt-in) | WER | Più rilassato della Germania, più severo della Francia. |
| Regno Unito | No (corporate) | PECR + UK GDPR | Persone giuridiche permesse, persone fisiche richiedono consenso. |
| Irlanda | No | SI 336/2011 | Approccio simile al Regno Unito. |
| Polonia | Sì | Legge sulle Telecomunicazioni | Consenso preventivo per ogni messaggio commerciale. |
| Austria | Sì | TKG 2003 | Approccio tedesco. Opt-in B2B richiesto. |
USA e Canada: due mondi opposti
Stati Uniti: CAN-SPAM, la più permissiva al mondo
Il CAN-SPAM Act non richiede consenso preventivo. Puoi scrivere a chiunque, B2B o B2C, se rispetti queste regole:
- Header veritieri (campo "From" reale, non camuffato)
- Oggetto coerente con il contenuto (niente "Re:" su prima email)
- Indirizzo postale fisico nel footer
- Meccanismo di disiscrizione funzionante, onorato entro 10 giorni lavorativi
- Se appalti l'invio a un terzo, sei comunque responsabile
Sanzione: fino a 53.088 dollari per email che viola la legge (cifra aggiornata FTC, gennaio 2026). Lo Stato di Washington aggiunge il CEMA che permette cause private da 500 dollari per email con oggetto fuorviante. Quindi: se scrivi a target USA, niente "Re:" o "Fwd:" sui primi tocchi.
Canada: CASL, la più severa al mondo
Il CASL (Canadian Anti-Spam Legislation) richiede consenso esplicito o implicito documentato per ogni email commerciale. Le sanzioni arrivano a 10 milioni di dollari canadesi. Se vendi in Canada e non hai un consenso solido, telefono prima, email dopo.
Le 6 regole universali che tengono la tua casella sicura
Indipendentemente dal paese, queste regole valgono ovunque e ti tengono fuori dai guai nel 95% dei casi:
- Mittente reale. Nome e cognome veri, dominio professionale, niente alias o domini comprati la settimana scorsa.
- Oggetto onesto. Riflette il contenuto. Niente "Re:" su prima email, niente clickbait.
- Indirizzo postale fisico in footer. Anche solo "Overloop, Rue Royale 100, 1000 Bruxelles, Belgio".
- Opt-out one-click. Link diretto, non form a tre passaggi. Onorato entro 24 ore (immediatamente in Italia).
- Niente liste comprate. Database raschiato uguale base giuridica zero, uguale multa probabile. Su Overloop la nostra base dati è gated da credits proprio per evitare l'abuso (500 lookup al mese su Starter, 1000 su Pro). Verifica sempre l'email prima di inviare con un waterfall (qualità Overloop: 93% di accuracy verificata).
- Documenta tutto. Ogni LIA, ogni opt-out, ogni richiesta di accesso ai dati. Se il Garante chiama, vinci con la documentazione.
Come mandare cold email nel modo giusto, dall'Italia
Ecco il processo che usano i team che fanno outbound serio in Europa:
- Definisci l'ICP stretto. Più stretto è, più solido è il legittimo interesse. "CFO di SaaS B2B 50-200 dipendenti in Italia e Francia" è difendibile. "Tutti i C-level in Europa" non lo è.
- Trova le email dalle fonti giuste. LinkedIn aziendali, siti pubblici, database GDPR-compliant. Mai liste rivendute.
- Verifica con waterfall. Riduci il bounce rate sotto il 2% prima di inviare. Bounce alti, reputazione dominio rovinata in due giorni.
- Riscalda il dominio. Se è nuovo, parti da 20 email al giorno e cresci a 50 in 4 settimane. Strumenti come Overloop fanno warmup automatico.
- Personalizza il primo tocco. Una variabile dinamica vera (azienda, ruolo, segnale recente) batte 10 token generici.
- Sequenze brevi, max 4 tocchi. Dopo il quarto, sei in zona spam comportamentale anche se sei legalmente a posto.
- Footer chiaro. Indirizzo, nome legale dell'azienda, link di disiscrizione, motivo per cui scrivi.
In sintesi
La cold email B2B è legale in Italia e in Europa. Quello che cambia tutto è il "come". Identifica te stesso, scrivi a indirizzi professionali per motivi professionali, rispetta l'opt-out, documenta le decisioni. Se segui queste quattro cose, sei in regola in 13 dei 14 paesi che contano per il tuo outbound europeo (la Germania resta a parte: lì serve consenso esplicito, telefono o LinkedIn prima).
Su Overloop processiamo oltre 1,2 milioni di sequenze cold email all'anno per team B2B europei. La piattaforma è costruita su infrastruttura europea (sede Bruxelles), conforme GDPR by design, con opt-out automatico, footer dinamico, warmup integrato e verifica email al 93% di accuracy. Se vuoi vedere come si fa cold email seria in Europa nel 2026, prova Overloop gratis.
Aggiornato il 23 aprile 2026.
