Cos'è il back button hijacking?

Il back button hijacking è una pratica manipolativa che impedisce all'utente di tornare alla pagina precedente usando il tasto Indietro del browser. Il sito manipola lo stack della cronologia del browser tramite la HTML5 History API per trattenere l'utente all'interno del dominio, reindirizzandolo verso pagine mai visitate, pop-up, annunci o semplicemente ricaricando la stessa pagina.

Dal quando Google penalizza il back button hijacking?

Google penalizza il back button hijacking a partire dal 15 giugno 2026. L'annuncio ufficiale è stato pubblicato il 13 aprile 2026 da Chris Nelson su Google Search Central, con circa 60 giorni di anticipo per consentire ai webmaster di correggere il problema prima dell'entrata in vigore delle penalizzazioni.

Come viene classificato il back button hijacking nella Google spam policy?

Google classifica il back button hijacking come malicious practice, nella stessa categoria di phishing, cloaking e redirect ingannevoli. Non si tratta quindi di una penalizzazione di qualità generica, ma di una violazione strutturale della Google spam policy, con conseguenti penalizzazioni dirette sulla visibilità organica del sito.

Come funziona tecnicamente il back button hijacking?

Il back button hijacking si implementa principalmente in tre modi: 1) Manipolando la HTML5 History API tramite history.pushState() o history.replaceState() per iniettare voci false nella cronologia del browser; 2) Intercettando l'evento popstate per dirottare l'utente verso pagine diverse al click del tasto Indietro; 3) Moltiplicando le voci duplicate nella cronologia per costringere l'utente a premere ripetutamente Indietro senza riuscire a uscire dal sito.

Come verificare se il mio sito pratica back button hijacking?

Il test pratico si chiama 'one-click rule': apri una pagina del tuo sito simulando l'arrivo da una SERP di Google, premi una sola volta il tasto Indietro e verifica di tornare ai risultati di ricerca. Se non succede, il sito potrebbe essere affetto da browser navigation manipulation. Verifica anche il codice JavaScript alla ricerca di chiamate a history.pushState(), history.replaceState() o event listener su popstate non giustificati da logiche di navigazione SPA. Usa Chrome DevTools per monitorare le chiamate alla History API in tempo reale.

Quali penalizzazioni prevede Google per il back button hijacking?

Google può applicare due tipi di penalizzazione: la manual spam action, applicata da un revisore umano del team Google Search Quality che può comportare la rimozione parziale o totale delle pagine dai risultati di ricerca; e l'automated demotion, una penalizzazione algoritmica automatica che abbassa il ranking del sito in modo proporzionale alla gravità della violazione.

Come risolvere il back button hijacking e inviare una reconsideration request?

Per risolvere il problema: rimuovi o disabilita gli script che manipolano history.pushState() o intercettano popstate con finalità ingannevoli; aggiorna le librerie di terze parti coinvolte; riconfigura le piattaforme pubblicitarie; valuta exit-intent popup come alternativa lecita. Se hai già ricevuto una manual spam action, dopo aver corretto tutte le violazioni invia una reconsideration request tramite Google Search Console, nella sezione 'Sicurezza e azioni manuali', descrivendo nel dettaglio gli interventi effettuati.

Cos'è il pogo-sticking e come si collega al back button hijacking?

Il pogo-sticking è un segnale comportamentale negativo registrato da Google quando un utente torna rapidamente alla SERP dopo aver visitato una pagina, indicando insoddisfazione. Il back button hijacking amplifica artificialmente questo segnale: quando l'utente tenta ripetutamente di uscire dal sito senza riuscirci, Google interpreta il comportamento come forte insoddisfazione verso il contenuto, peggiorando il ranking del sito nel modello long-click/short-click.

Il back button hijacking può derivare anche da reti pubblicitarie o plugin?

Sì. Reti pubblicitarie programmatiche, recommendation widget e plugin di engagement sono tra le fonti più comuni di back button hijacking involontario. Google non distingue tra implementazione intenzionale e accidentale: in entrambi i casi la penalizzazione si applica al dominio ospitante. È fondamentale testare su browser reali il comportamento del tasto Indietro dopo aver integrato qualsiasi script o piattaforma di terze parti.

Back button hijacking - Google spam policy

Q: La responsabilità del back button hijacking vale anche per codice di terze parti?

Sì. Google ha chiarito che la responsabilità ricade interamente sul proprietario del dominio, anche quando il comportamento è causato da librerie JavaScript di terze parti, recommendation widget, affiliate lander, popup di engagement o piattaforme pubblicitarie programmatiche integrate nel sito. Il proprietario è tenuto a identificare e rimuovere qualsiasi codice che produca questo comportamento.

Articolo aggiornato il: 23 Aprile 2026

In questo articolo tratteremo i seguenti temi:

Cos’è, come funziona e la penalizzazione Google dal 15 giugno 2026

Il back button hijacking è una pratica manipolativa che impedisce all’utente di tornare alla pagina precedente usando il tasto “Indietro” del browser. Dal 15 giugno 2026, Google la classifica ufficialmente come violazione della propria Google spam policy, nella categoria delle malicious practices, con conseguenti penalizzazioni dirette sul ranking organico.

L’annuncio è stato pubblicato il 13 aprile 2026 su Google Search Central da Chris Nelson, del team Google Search Quality.

Sono Matteo Dalla Vecchia, consulente SEO e digital marketing.
Il tuo sito non cresce? Richiedi una consulenza SEO e scopri le priorità per aumentare traffico e lead, anche dalle AI!

Cosa si intende per back button hijacking

Ogni volta che un utente clicca il pulsante “Indietro” del browser, si aspetta un’azione precisa: tornare alla pagina da cui è venuto. Questa aspettativa è un principio fondamentale di usabilità del web, consolidato da decenni di navigazione digitale.

Il back button hijacking viola deliberatamente questa aspettativa, manipolando lo stack della cronologia del browser per intrappolare l’utente all’interno di un sito. Invece di uscire dal dominio, il visitatore viene rimandato a pagine mai visitate, mostra pop-up di engagement, annunci pubblicitari, quiz o semplicemente la stessa pagina ricaricata. Il risultato concreto è una navigazione distorta e un’esperienza utente compromessa.

Un test pratico immediato per verificare se un sito è affetto da questo problema si chiama “one-click rule”: se premendo una sola volta il tasto “Indietro” non si esce dal dominio corrente, il sito molto probabilmente sta implementando una forma di browser navigation manipulation.

Perché Google ha introdotto questa Google spam policy nel 2026

Chris Nelson ha spiegato nell’annuncio ufficiale su Google Search Central che negli ultimi mesi si è registrato un aumento significativo di questo comportamento, al punto da rendere necessaria una risposta normativa esplicita all’interno del framework della Google spam policy.

Il back button hijacking è classificato nella stessa categoria di phishing, cloaking e redirect ingannevoli, ovvero le malicious practices: non si tratta quindi di una semplice penalizzazione di qualità, ma di una violazione di tipo strutturale equiparata a pratiche fraudolente. Google sottolinea che questa tecnica compromette la fiducia degli utenti nel web aperto: le persone si sentono manipolate, diventano più diffidenti verso i siti sconosciuti e la qualità complessiva dell’ecosistema di navigazione si deteriora nel tempo.

La scelta di annunciare il Google Search update 2026 con circa 60 giorni di anticipo rispetto all’entrata in vigore del 15 giugno è una mossa deliberata per dare ai webmaster il tempo tecnico di correggere il problema prima che le penalizzazioni diventino operative.

Come funziona tecnicamente il dirottamento del pulsante Indietro

Per capire perché questa tecnica sia così diffusa, è utile analizzarne i metodi di implementazione.

Manipolazione della History API (pushState e replaceState)

Il metodo più comune sfrutta l’HTML5 History API, in particolare history.pushState() e history.replaceState(). Le applicazioni a pagina singola (SPA) le usano legittimamente per aggiornare l’URL senza ricaricare la pagina. I siti che praticano il hijacking, invece, le usano per iniettare voci false nello stack della cronologia: quando l’utente clicca “Indietro”, il browser naviga verso una voce fittizia restando di fatto sullo stesso dominio.

Intercettazione dell’evento popstate

Un secondo approccio sfrutta l’evento popstate, che si attiva ogni volta che l’utente naviga attraverso la cronologia del browser. Uno script in ascolto su questo evento può intercettare il click sul tasto “Indietro” e dirottare il visitatore verso una pagina diversa, come un’inserzione pubblicitaria o una landing page promozionale, senza che l’utente se ne accorga fino a quando non è già avvenuto il redirect.

Moltiplicazione delle voci nella cronologia

Alcune implementazioni più aggressive inseriscono decine di voci duplicate nella cronologia del browser: per uscire davvero dal sito, l’utente è costretto a premere ripetutamente il tasto “Indietro”, spesso rinunciando e restando sulla pagina. Questo fenomeno è strettamente connesso al pogo-sticking: quando l’utente tenta di tornare alla SERP ma viene trattenuto artificialmente, Google registra un segnale comportamentale fortemente negativo, interpretando il tentativo ripetuto di uscita come insoddisfazione nei confronti del contenuto.

I tre comportamenti che la Google spam policy considera una violazione

Google ha delineato con precisione i comportamenti che configurano una violazione della nuova policy. Un sito viene penalizzato quando:

Inserisce pagine ingannevoli nella cronologia del browser, impedendo il ritorno immediato alla pagina di provenienza (tipicamente una SERP di Google)
Reindirizza l’utente verso contenuti non richiesti, come pagine pubblicitarie, sondaggi, quiz o sezioni del sito non pertinenti al percorso originale
Sostituisce la pagina precedente nella cronologia con un’altra, creando un’esperienza di navigazione falsata e una violazione diretta del modello long-click/short-click utilizzato da Google per valutare la soddisfazione dell’utente

Penalizzazione Google per back button hijacking: manual action e demotion automatica

Google può penalizzare i siti che praticano back button hijacking in due modi distinti, entrambi con impatto diretto sulla visibilità organica:

Manual spam action: un revisore umano del team Google Search Quality identifica la violazione e applica manualmente la penalizzazione, che può comportare la rimozione completa o parziale delle pagine dai risultati di ricerca. Un fenomeno che si inserisce nel contesto più ampio della deindicizzazione delle pagine da parte di Google, un tema sempre più rilevante per chi gestisce siti web.
Automated demotion: sistemi algoritmici automatici rilevano il comportamento e abbassano il ranking del sito in modo proporzionale alla gravità della violazione, senza intervento umano

La portata della responsabilità è estesa e non ammette eccezioni: Google ha chiarito che la violazione può derivare anche da librerie JavaScript di terze parti, recommendation widget, affiliate lander, popup di engagement o piattaforme pubblicitarie programmatiche integrate nel sito. In tutti questi casi, la responsabilità ricade interamente sul proprietario del dominio, che è tenuto a verificare e rimuovere qualsiasi codice che produca questo comportamento, indipendentemente dalla sua origine. Per evitare di trovarsi in questa situazione, è utile conoscere le regole di indicizzazione su Google e i principali errori tecnici che compromettono la visibilità organica.

Come risolvere il problema e proteggere il ranking

Una volta identificato il codice responsabile, il percorso di rimedio segue una sequenza precisa:

Rimuovere o disabilitare qualsiasi script che manipola history.pushState() o intercetta popstate con finalità di retention ingannevole
Aggiornare o sostituire le librerie di terze parti che implementano questo comportamento, contattando i fornitori se necessario
Riconfigurare le piattaforme pubblicitarie eventualmente coinvolte, disattivando le opzioni che iniettano voci nella cronologia o intercettano la navigazione “Indietro”
Valutare alternative lecite come gli exit-intent popup, che si attivano quando il cursore si sposta verso la barra del browser senza alterare la cronologia di navigazione, rispettando quindi la Google spam policy
Ripetere il test su tutti i browser dopo ogni modifica, prima del 15 giugno 2026

Se il sito ha già ricevuto una manual spam action, dopo aver corretto il problema è possibile inviare una reconsideration request tramite Google Search Console: accedere alla sezione Sicurezza e azioni manuali, verificare il dettaglio dell’azione applicata, correggere tutte le violazioni segnalate e inviare la richiesta di revisione con una descrizione dettagliata degli interventi effettuati. Google notificherà via email l’esito della revisione.

Il modello comportamentale che Google usa per rilevare il problema

Comprendere come Google rilevi il back button hijacking aiuta a capire perché la penalizzazione sia così strutturale. Google utilizza un modello basato su long-click e short-click: quando un utente clicca su un risultato di ricerca e vi resta a lungo prima di tornare alla SERP (long-click), è un segnale di soddisfazione; quando torna quasi subito (short-click) o, peggio, compie tentativi ripetuti di uscita senza riuscirci, il sistema registra un segnale di pogo-sticking fortemente negativo.

Il back button hijacking amplifica artificialmente il tempo di permanenza sulla pagina senza che l’utente lo voglia, falsando i segnali comportamentali che Google usa per valutare la qualità di un contenuto. È questo il motivo per cui la pratica è stata categorizzata come malicious: non si limita a essere una cattiva esperienza utente, ma inquina attivamente i dati di qualità che Google raccoglie per ordinare i risultati di ricerca.

Google spam policy 2026: il quadro completo

Il back button hijacking non è un caso isolato, ma rientra in un percorso coerente di aggiornamento della Google spam policy. La policy anti-spam di Google si divide in violazioni di tipo content-based (contenuti di scarsa qualità, testo nascosto, keyword stuffing) e behavior-based (redirect ingannevoli, cloaking, manipolazione del browser).

Con il Google Search update del 15 giugno 2026, il browser navigation hijacking entra ufficialmente nella seconda categoria, affiancandosi a pratiche come il cloaking (mostrare contenuti diversi a Google e agli utenti) e i redirect ingannevoli (indirizzare l’utente verso una pagina diversa da quella indicizzata).

Il segnale per i webmaster e i SEO è inequivocabile: la user experience è ormai un fattore di ranking strutturale, e qualsiasi tecnica che comprima la libertà di navigazione dell’utente è destinata a essere sanzionata. Rientra in questo filone l’attenzione crescente di Google verso le pratiche SEO nocive, con criteri sempre più severi per garantire qualità e originalità dei contenuti.

Sono Matteo Dalla Vecchia, consulente SEO e digital marketing.
Il tuo sito non cresce? Richiedi una consulenza SEO e scopri le priorità per aumentare traffico e lead, anche dalle AI!