Verifica email : la guida completa 2026

È l'obiettivo numero 1 storicamente. Imponendo una verifica email, un sito rende costosa la creazione automatizzata di account : un bot può generare 10.000 account in pochi secondi, ma deve poi gestire 10.000 caselle email attive per validarli. Il rapporto costo/beneficio rende l'attacco non redditizio nella maggior parte dei casi.

È anche per questo che i siti bloccano le email usa e getta : un'email usa e getta è per definizione gratuita e illimitata, quindi non costituisce una barriera. Servizi come Akismet, FraudLabs, o Cloudflare mantengono blacklist aggiornate ogni ora per identificare i domini usa e getta noti.

Più subdolo : la verifica email serve anche a iniziare immediatamente il marketing diretto. Una volta catturato il tuo vero indirizzo, riceverai : email di benvenuto, serie di onboarding (da 5 a 12 email in 2 settimane), notifiche di nuove funzionalità, solleciti commerciali, newsletter, avvisi "promo ultima possibilità"...

Secondo uno studio HubSpot (2024), l'utente medio riceve 287 email di marketing al mese di cui il 60% proviene da siti a cui si è iscritto volontariamente a un certo punto. Il pulsante "annulla iscrizione" obbligatorio (articolo L34-5 del Codice postale in Francia) non funziona sempre e alcuni siti lo aggirano con dark pattern.

Alcuni settori sono obbligati a verificare l'email per ragioni normative : banca (KYC europeo, USA Patriot Act), enti pubblici (tasse, previdenza sociale), salute (GDPR articolo 9 sui dati sensibili), gambling (regolamentazione scommesse online). In questi casi, aggirare la verifica = frode, cosa che non è l'oggetto di questa guida.

Per questi siti, usa sempre il tuo vero indirizzo email — e probabilmente il tuo vero nome, la tua vera data di nascita, il tuo vero giustificativo di residenza. L'email usa e getta non ha posto in questi percorsi.

Infine, la verifica email serve a stabilire un'identità minima tracciabile. Combinata con il tuo IP, il tuo browser, il tuo comportamento del mouse (sì, è tracciato), la tua email forma un "fingerprint" che permette :

• Di riconoscerti tra siti partner (incrocio pubblicitario)
• Di bloccarti se sei in blacklist (pagamento fallito, frode precedente)
• Di personalizzare la tua esperienza (prezzo dinamico : sì, lo stesso biglietto aereo può costare il 20% in più a seconda del tuo profilo)
• Di rivendere l'identificativo a broker di dati

Per limitare questi 4 usi, l'email usa e getta è efficace per gli usi 2 e 4 (engagement marketing e rivendita), parzialmente efficace per l'uso 1 (il sito può bloccare il dominio), e inefficace per l'uso 3 (i siti legali non accettano gli usa e getta).

L'API analizza il contenuto HTML e testo dell'email ricevuta per identificare i pattern comuni dei codici OTP :

• Codici numerici di 4-8 cifre (il più comune : 6 cifre)
• Codici alfanumerici di 6-10 caratteri
• Codici formattati XX-XX o XXX-XXX (TikTok, Discord)
• Token nei magic link (estratto dal parametro token= o code= dell'URL)

Viene applicata un'euristica di scoring per distinguere un codice OTP da un'altra cifra (numero di riferimento, data, ecc.) basandosi sul contesto del testo circostante (parole come "code", "OTP", "vérification", "verification", "código", ecc.).

Per gli sviluppatori che fanno test E2E automatizzati con Playwright, Cypress, Puppeteer, ecc :

1. Il tuo script crea un account con username@mail123.fr
2. Il sito invia il codice OTP
3. Il tuo script chiama GET /api/v1/messages/{box} sull'API
4. Recupera l'ultimo messaggio, legge il suo campo otp_code
5. Inserisce il codice nel modulo web
6. Continua il test E2E senza intervento umano

Workflow completo in meno di 5 secondi. Vedi la documentazione API per i dettagli.

Netflix, Spotify Premium, Amazon Prime, Steam (giochi acquistati), Adobe Creative Cloud, abbonamenti SaaS. Se la casella scade e hai un problema di pagamento (carta scaduta, rifiuto della banca), non potrai più contattare l'assistenza. Conseguenze tipiche :

• Account sospeso impossibile da riattivare
• Addebiti che continuano senza poter disdire in self-service
• Perdita di acquisti (giochi Steam = persi definitivamente)

Da usare al suo posto : il tuo vero indirizzo OPPURE un alias permanente (Apple Hide My Email, SimpleLogin) che non scompare mai.

Banche (Société Générale, BNP, Boursorama, Revolut, N26), assicurazione, crowdfunding, broker online (Trade Republic, eToro), piattaforme crypto. Questi servizi richiedono il KYC (Tipo 8) e l'email usa e getta non vi è comunque mai accettata — ma anche se funzionasse, sarebbe pericoloso : la perdita di accesso alle notifiche di frode può costare caro.

Doctolib, Maiia, Qare, piattaforme di teleconsulto, assicurazione sanitaria, applicazioni di tracciamento medico (glicemia, pressione, fertilità). Questi dati sono protetti dal GDPR articolo 9 (categoria speciale). La perdita di accesso = perdita della cronologia medica = potenzialmente pericolosa.

LinkedIn, Stack Overflow, GitHub (se professionale), Slack workspace, strumenti SaaS aziendali. La tua carriera dipende dalla continuità di questi account. Anche se LinkedIn non accetta le email usa e getta (Tipo 7), sarebbe una cattiva idea anche se le accettasse.

Impôts.gouv, FranceConnect, Pôle Emploi, Ameli, previdenza sociale, Caf, prefettura, Urssaf. Questi servizi richiedono comunque la tua vera identità, e la perdita di accesso può avere conseguenze amministrative pesanti (perdita di diritti, ritardi di pagamento, accertamenti).

Il GDPR (articolo 5.1.c) impone il principio di minimizzazione dei dati : un servizio deve raccogliere solo i dati strettamente necessari alla sua finalità. La CNIL ha pubblicamente incoraggiato l'uso di email usa e getta e di alias nelle sue raccomandazioni "Padroneggiare i propri dati personali" pubblicate nel 2023.

L'uso di un'email usa e getta non costituisce mai un reato penale. È al massimo una violazione dei Termini e Condizioni di un servizio, cosa che rientra nel diritto contrattuale (sanzione massima : eliminazione dell'account da parte del servizio, mai sanzione penale).

L'email usa e getta diventa problematica legalmente solo in questi casi precisi :

• Frode alla sottoscrizione : creare un conto bancario o assicurativo con una falsa identità (l'email è solo un segnale, il reato è la falsa dichiarazione di identità)
• Evasione fiscale : creare un'impresa con email/identità fittizie per sottrarsi alla tassazione
• Cybercriminalità : phishing, ransomware, molestie, doxxing — dove l'email usa e getta serve a nascondere l'autore
• Aggiramento di sanzioni : per esempio, creare un account su un servizio con cui sei in contenzioso giudiziario

In questi 4 casi, non è l'email usa e getta a essere illegale — è l'atto criminale che essa aiuta a commettere. Il servizio mail123 non fornisce alcuna informazione né alcun servizio a questo tipo di uso.

Negli USA, la situazione è simile ma con alcune specificità : il CAN-SPAM Act (2003) regola l'invio di email pubblicitarie ma non vieta l'uso di email usa e getta lato utente. Il COPPA (Children's Online Privacy Protection Act) impone regole per i minori di 13 anni, e l'email usa e getta può paradossalmente aiutare a PROTEGGERE la privacy dei minori.

Endpoint principali per i test E2E :

• POST /api/v1/inboxes — creare una casella temporanea
• GET /api/v1/messages/{{box}} — elencare i messaggi ricevuti
• GET /api/v1/messages/{{box}}/{{id}} — dettagli di un messaggio con campo otp_code
• DELETE /api/v1/inboxes/{{box}} — pulire la casella dopo il test

Senza autenticazione né chiave API. CORS aperto. Rate limit : 30 richieste all'ora per IP (ampiamente sufficiente per 100 test E2E).

test('signup with OTP', async ({ page }) => {
  const username = `test-${Date.now()}`;
  const email = `${username}@mail123.fr`;

  // Registrazione
  await page.goto('https://exemple.com/signup');
  await page.fill('[name=email]', email);
  await page.click('button[type=submit]');

  // Recupero OTP
  await page.waitForTimeout(3000); // attendere la consegna
  const res = await fetch(`https://mail123.fr/api/v1/messages/${username}`);
  const messages = await res.json();
  const otp = messages[0].otp_code;

  // Validazione
  await page.fill('[name=otp]', otp);
  await page.click('button[type=submit]');
  await expect(page).toHaveURL(/dashboard/);
});

Per Cypress / Puppeteer / Selenium, il pattern è identico : creare una casella unica, attendere la consegna, fare il fetch dell'API, estrarre l'OTP, validare.

Per integrare questi test in una pipeline CI (GitHub Actions, GitLab CI, Jenkins) :

• Nessuna gestione di credenziali : niente chiavi API, niente password da memorizzare
• Nessun side-effect : ogni test usa una casella unica, nessun inquinamento
• Reset automatico : le caselle scadono dopo 7 giorni, nessuna necessità di cleanup esplicito
• Test paralleli : 30 req/h per IP bastano per 50+ test paralleli con timesharing

Costo : 0 €. È uno dei pochi servizi di email temporanea davvero utilizzabile in CI senza pagare (vs servizi concorrenti a 30-100 €/mese per lo stesso volume).