Sono trent'anni che progetto sistemi di distribuzione, e venti che lo faccio nell'automotive. Quello che ho scoperto otto maggio scorso, in un'ora di lavoro al terminale, vale la pena di essere raccontato.

Negli ultimi quattordici mesi ho sviluppato DealerMAX, una piattaforma SaaS B2B per concessionari italiani indipendenti. È stato un lavoro denso — fondazioni infrastrutturali, modulo per modulo, decine di rilasci. A fine ciclo, prima di buttarmi sul prossimo, mi sono fatto la domanda di sempre, quella che è anche un dovere quando costruisci qualcosa che vendi: dove il sistema deve migliorare? Cosa posso ancora imparare? Per colmare i buchi, cosa posso fare di meglio che guardare i big?

Non parlo di «guardare» come faresti tu davanti a un sito, da utente. Parlo di guardare sotto al cofano. Quando metti un'infrastruttura tecnologica sul mercato, la cortesia che ti devi è ipotizzare che chi è arrivato prima di te abbia capito qualcosa che tu non hai capito ancora. Forse il loro stack ha scelte architetturali che spiegano perché loro hanno migliaia di clienti e tu, dopo quattordici mesi, ne hai qualche decina.

Ho passato quel mattino prendendo appunti, scelta architetturale per scelta architetturale.

Quello che ho imparato l'ho messo per iscritto qui.

Lo strumento

Lo strumento che ho usato si chiama curl. Esiste dal 1996, è gratuito, è installato di default su ogni Mac e su ogni macchina Linux; su Windows si scarica in trenta secondi. Quando digiti curl -I seguito da un dominio, il programma chiede al server una cosa sola: dimmi solo le intestazioni della tua risposta, niente contenuto. Si presenta alla porta del sito e domanda chi è.

Fra le intestazioni che il server rimanda c'è una riga che si chiama Server. Quel valore lo sceglie chi configura il sito. È pubblico per definizione: il sito stesso lo dichiara a chiunque lo interroghi. Si scrive in zero secondi, si legge in zero secondi, e racconta quasi tutto quello che bisogna sapere su cosa gira sotto.

Cinque shell aperte, cinque comandi curl -I, cinque risposte. Una per ogni grande nome del software per concessionari italiani indipendenti. Ho letto le risposte e sono ancora qui che ci penso.

Il colosso quotato in Borsa

Il primo nome era ovvio. MotorK Plc. Quotata sulla Borsa di Amsterdam dal dicembre 2021, ticker AMS:MTRK. Sede legale a Londra. Trentasei milioni di euro di Annual Recurring Revenue dichiarati a settembre 2025; oltre quattrocento dipendenti; undici uffici in otto Paesi. La corporate communications scrive che il gruppo è «leading SaaS provider to the automotive retail industry in the EMEA region». Per chi vende software ai concessionari italiani, è il benchmark. Punto.

Ho preso un cliente loro — una vetrina di supercar a Zibido San Giacomo, qui in zona Milano — e ho lanciato il comando.

Quando il terminale ha restituito la risposta, ho letto due volte. Poi ho aperto il sorgente HTML nel browser per capire l'architettura.

Generator: "Elementor 3.34.4"

Elementor è il page builder visuale per WordPress: lo strumento drag-and-drop che permette di comporre pagine senza scrivere codice. Nel sorgente di quel sito la stringa wp-content — la cartella standard di ogni installazione WordPress — compariva centonovantuno volte: il segno che, sotto, gira un impianto WordPress con un tema distribuito centralmente.

Mi sono chiesto se fosse un caso isolato — magari una migrazione vecchia mai portata sull'impianto nuovo. Sono andato a confrontarlo con altri siti serviti dalla stessa piattaforma.

Su un secondo dominio servito dallo stesso impianto, il Generator nel meta riportava parola per parola la stessa stringa del primo sito: Elementor 3.34.4. Stessa identica versione.

Per avere un terzo punto di osservazione ho preso un cliente completamente diverso: il Gruppo Biasotti, dealer Mercedes-Benz, BMW e Volkswagen su Genova, Asti, Alessandria. Un cliente strutturato, multi-brand, multi-provincia. Generator: Elementor 3.34.4. La stringa di configurazione del page builder — features: additional_custom_breakpoints; settings: css_print_method-external, google_font-enabled, font_display-auto — era identica al carattere a quella della demo ufficiale. Tre installazioni indipendenti non possono avere la stessa identica configurazione del page builder se non perché sono lo stesso prodotto distribuito centralmente.

Per chiudere ho cercato la conferma istituzionale. È un fatto pubblico, annunciato da anni: nel maggio 2020 MotorK ha comunicato un accordo con A.C.I.B. — l'Associazione Concessionari Italia BMW — per portare la propria piattaforma SaaS ai dealer BMW italiani, descritta nei loro materiali come «ready-to-use SaaS web platform tailored for car dealerships». Quello che conta qui non è il nome del prodotto, ma la coerenza dell'impianto: una piattaforma standard distribuita centralmente, scelta legittima e diffusissima — semplicemente, è bene saperlo.

Non era un cliente isolato. Era l'impostazione di prodotto.

A scanso di equivoci sulla mia metodologia, ho ricontrollato gli stessi quattro URL con Wappalyzer — lo strumento commerciale di technology detection usato da agenzie e venture capitalist per qualifiche tecniche su milioni di siti. Su quei siti la detection è coerente con un impianto della generazione precedente: WordPress, PHP, MySQL, Nginx. Su DealerMAX, sullo stesso strumento, la detection è un'altra cosa: Nuxt.js, Vue.js, Cloudflare, HTTP/3 + QUIC, PWA. Due fonti indipendenti — il mio curl e lo strumento commerciale terzo — convergono sulla stessa lettura tecnica.

Il fornitore italiano dal 2004

Il secondo nome era anch'esso ovvio. GestionaleAuto.com, fondata a Bassano del Grappa nel 2004, è — come si presenta sul proprio sito istituzionale — il «punto di riferimento in Italia per oltre 2.500 operatori del settore automotive». Ricavi 2022 attorno ai due milioni di euro, crescita a doppia cifra. Acquisita proprio da MotorK Plc nel giugno 2023, dopo un annuncio del 15 maggio dello stesso anno. Comunicato congiunto: «strategic and complementary addition». Strategia dichiarata nel press release del gruppo madre: cross-selling della propria piattaforma SaaS sulla base clienti del fornitore italiano.

Restando sul piano tecnico — e su un piano del tutto separato dai nomi qui sopra — un singolo sito-dealer milanese tra i tanti del comparto, achillimotors.it, in via Giacomo Antonini 31, risponde alla richiesta curl -I con l'header seguente, riportato letteralmente (l'header non dichiara quale fornitore ci sia dietro):

Server: Apache/2.4.54 (IUS) OpenSSL/1.0.2k-fips PHP/5.6.40

Tre informazioni. La più rilevante delle tre è la terza.

PHP 5.6 è stato rilasciato ad agosto 2014. La fase di supporto attivo si è chiusa a gennaio 2017. La fase di sole patch di sicurezza si è chiusa il 31 dicembre 2018. Dal 1° gennaio 2019, la versione 5.6.x non riceve più alcun aggiornamento di sicurezza dal team ufficiale di PHP. Sono passati sette anni e quattro mesi. La fonte di queste date non è un'opinione: è la sezione Supported Versions del sito ufficiale php.net, accessibile a chiunque.

Il logo del concessionario, dentro al path delle immagini caricate, sta in /wp-content/uploads/sites/2535/2017/04/achilli.png. WordPress multi-site, sito numero 2535, immagine caricata ad aprile 2017. Nove anni fa. Su questo specifico sito la verifica trova: meta description vuota, zero security headers, zero dati strutturati Schema.org, e quel runtime PHP ormai a fine vita. È la fotografia di una singola installazione, non un giudizio su un fornitore: capita, nei parchi installati storici, che singoli siti restino indietro rispetto alle versioni più recenti dell'impianto.

I due nuovi player

Restano due nomi recenti del settore.

Labycar si presenta come software per concessionari italiani, e nel mercato è un nome relativamente nuovo. Su un piano tecnico distinto — e senza attribuire l'impianto a nessuno dei nomi citati — vale la pena osservare una scelta di categoria ancora frequente nei gestionali tradizionali. Un singolo sito-dealer tra i tanti del comparto, newcarshop.it, espone nei tag script una signature riconoscibile: ScriptResource.axd. Quel file, con quella sintassi, è tipico di un'applicazione ASP.NET WebForms. WebForms è il framework che Microsoft ha rilasciato nel 2002 e per cui dal 2016 indirizza i nuovi sviluppi verso ASP.NET Core. È una tecnologia matura, tuttora supportata dalla retro-compatibilità di Windows Server e ancora largamente diffusa nei gestionali tradizionali.

Su quello stesso sito un controllo di pochi secondi rileva alcuni dettagli rifinibili: il title della homepage è vuoto, il viewport dichiara maximum-scale=1.0, user-scalable=0 — un'impostazione che il criterio di accessibilità WCAG 2.5.5 sconsiglia, perché impedisce all'utente di zoomare il contenuto su mobile. La sitemap.xml esiste, restituisce codice 200, ma contiene zero URL. I file di scoperta per agent AI — /llms.txt, /ai-plugin.json — rispondono con codice 200, ma servono HTML al posto di TXT/JSON: il content-type è text/html, l'effetto tipico di un catch-all di routing che rinvia tutto alla homepage. Sono i classici dettagli che da fuori paiono presenti e che un giro di rifinitura sistema.

L'ultimo nome è Carmove.io, un nuovo player con uno stack credibile per il 2026: SPA con bundler Vite-class, edge CloudFront, reverse proxy Caddy, AWS Elastic Load Balancer. Su un piano separato, e senza pinnare l'impianto a un nome, un singolo sito campione del comparto — achillimilano.it — versiona esplicitamente il prodotto: meta version="2.9.5". Su quel campione mancano HSTS, X-Frame-Options e gli altri security headers. E i dati strutturati Schema.org non sono presenti nello shell HTML — quando una SPA li renderizza in JavaScript, i crawler non-JS, cioè ancora gran parte del web crawling commerciale, vedono zero. Sono i tipici dettagli di rifinitura su cui un impianto moderno cresce in fretta: un punto di partenza onesto.

Cosa significa, per i dealer

Ognuno dei fornitori che ho descritto offre un prodotto serio e una scelta tecnologica legittima. WordPress è un CMS legittimo, ASP.NET WebForms è un framework legittimo, una SPA su AWS è uno stack moderno, PHP con backporting privato è un'infrastruttura tecnicamente operabile — con qualche attenzione in più sul piano della compliance. La questione non è la serietà dei fornitori, che do per scontata. La questione è la distanza fra il linguaggio di marketing comune a tutto il settore e l'infrastruttura concreta, e quanto il dealer è in condizione di leggerla da sé.

La distanza tecnica fra i fornitori non è un dato accademico. Si traduce in tre conseguenze operative dirette per il dealer che paga il canone.

La prima è la sicurezza dei dati. Una piattaforma che gira su PHP 5.6.40 EOL gestisce, per il dealer, i moduli di richiesta informazioni dei clienti, il modulo di permuta, l'eventuale CRM lead. Quei moduli accettano dati personali. Ogni vulnerabilità di sicurezza scoperta nel runtime PHP dopo dicembre 2018 — e ce ne sono state, anche critiche — non riceve patch ufficiale. La copertura dipende interamente dalla volontà del fornitore di backportare manualmente la patch. Per il dealer questa è un'incognita non quantificata. Per la sua compliance al GDPR articolo 32 — sicurezza del trattamento — è un problema legale documentabile.

La seconda è la visibilità commerciale. Sui campioni esaminati, tre delle cinque piattaforme producono siti senza dati strutturati Schema.org: due non espongono blocchi JSON-LD; una terza, su base SPA, li renderizza solo lato client, e i crawler non-JS — gran parte del web crawling commerciale — vedono zero. Pubblicano veicoli che i motori di ricerca leggono come testo libero, non come oggetti commerciali. Con dati strutturati, il singolo annuncio veicolo può comparire nei risultati di Google con prezzo, chilometraggio, anno e immagine direttamente nello snippet. Senza, no. L'effetto sul click-through rate è documentato dalla letteratura SEO da quasi un decennio.

La terza riguarda i protocolli emergenti per gli agent AI, e qui mi serve onestà. Su llms.txt, ai-plugin.json, MCP server e allowlist LLM nel robots.txt, l'adozione globale è ferma intorno al 10%, non esistono studi pubblicati che documentino lift commerciali per chi li implementa, e Google continua a privilegiare i segnali SEO tradizionali. È letteralmente una scommessa sul prossimo biennio: se la ricerca conversazionale dentro ChatGPT, Claude, Gemini e Perplexity continuerà a guadagnare quota, questi protocolli passeranno da curiosità a infrastruttura standard. Se non la guadagnerà, resteranno una nicchia. Penalizzare oggi una piattaforma per non averli sarebbe scorretto verso chi è arrivato prima della sperimentazione. È un'osservazione, non una pagella.

Su una sola dimensione AI invece la scadenza c'è e ha una data nera-su-bianco: il Regolamento UE 2024/1689 — l'AI Act europeo — entra in piena applicazione il 2 agosto 2026. L'articolo 50 impone obblighi di trasparenza per i contenuti generati o modificati da intelligenza artificiale: chi pubblica contenuti sintetici dovrà dichiararne la natura in modo machine-readable. Il C2PA Content Credentials è esplicitamente riconosciuto, attraverso il suo AI assertion type, come tecnologia che soddisfa direttamente l'obbligo. Da oggi alla scadenza mancano ottantasei giorni. Chi non avrà implementato C2PA arriverà alla scadenza senza copertura — e ogni dealer che pubblica testi e immagini AI-generated sul proprio sito sarà esposto in prima persona sul piano della conformità. È un fatto, non un'opinione, e ha una data.

Trasparenza tecnica e mercati pubblici

Vale una nota di contesto, valida per qualunque vendor del settore che sia quotato e pubblichi trimestralmente i propri risultati: nel caso di MotorK Plc, il gruppo si presenta come «leading EMEA SaaS provider for automotive retail», con un Committed ARR che a settembre 2025 era di 36 milioni di euro — dati pubblici e meritori. Sul piano tecnico, i siti-dealer campionati risultano basati su WordPress + Elementor con un tema multi-tenant proprietario: una scelta del tutto legittima, WordPress è un CMS solido e diffusissimo. Il punto generale, non specifico di nessuno, è che la composizione tecnologica di un prodotto SaaS è oggi verificabile da chiunque con strumenti standard: più le superfici pubbliche raccontano con precisione l'infrastruttura reale, più è facile per tutti — clienti e mercati — leggerne il valore. È un invito alla trasparenza tecnica, non un giudizio.

E adesso

Sono tornato dal terminale a fine mattinata con una risposta molto diversa da quella che mi aspettavo.

L'idea era stata semplice: forse i big sanno qualcosa che io non vedo. Forse la mia piattaforma, dopo quattordici mesi di sviluppo, ha buchi che chi è qui da vent'anni ha capito di chiudere meglio. Forse i loro migliaia di clienti contro le mie qualche decina indicano che hanno capito qualcosa di fondamentale. Era una posizione di umiltà, e l'avevo presa sul serio.

Quello che ho trovato è più semplice e meno drammatico: scelte architetturali diverse dalle mie, ciascuna con la sua storia. Page builder visuali maturi, runtime e framework di generazioni precedenti, siti che un giro di rifinitura migliorerebbe. Niente di sbagliato in sé — è la fisiologia di un'industria con parchi installati lunghi, dove la distanza fra il linguaggio di marketing e l'infrastruttura concreta è oggi semplicemente più leggibile, perché basta un comando da diciassette caratteri per misurarla. Da concorrente, la mia risposta non poteva essere puntare il dito: doveva essere fare scelte diverse e renderle altrettanto verificabili.

Della quinta piattaforma di questa rassegna non ho parlato. È quella che ho costruito io. Su matareseautomobili.it, che è il sito che produce per un dealer milanese suo cliente, chi è arrivato fin qui può fare la stessa cosa che io ho fatto sui quattro fornitori sopra: aprire un terminale, digitare curl -I https://matareseautomobili.it, leggere quello che il server restituisce.

Sono ottantasei giorni alla scadenza dell'AI Act articolo 50. Quello che curl restituirà sono le decisioni infrastrutturali con cui ho pensato di rispondere alla domanda iniziale: cosa fare di meglio che guardare i big. La risposta che ho trovato quel mattino non era far finta di non averli guardati. Era costruire qualcosa che, sotto al cofano, fosse quello che il marketing dei big dice di essere.