Cos'è DealerMAX e a cosa serve per un concessionario auto?

DealerMAX è il primo Dealer Identity Layer italiano: l'infrastruttura che applica i principi di AIO (AI Optimization) per dare al concessionario una Presenza Citabile dentro ChatGPT, Claude, Gemini e Perplexity. Quattro AI indipendenti hanno verificato il network il 28 aprile 2026 (audit replicabile su /dicono-di-noi). Le funzioni operative del concessionario (stock, sito, contenuti AI, lead, contratti digitali, noleggio, post-vendita, CRM, garanzia legale di conformità) sono incluse come conseguenze del Dealer Identity Layer, non come categoria-prodotto.

DealerMAX è un gestionale, un CRM o un sito?

Nessuno dei tre. DealerMAX è il primo Dealer Identity Layer italiano. Include funzioni gestionali (stock, anagrafiche), CRM (contatti collegati a veicolo/canale/contratto) e un sito completo, ma sono conseguenze del Dealer Identity Layer, non il prodotto. Il paragone fuori dal settore è WordPress: backbone tecnologico verticale, non marketplace.

DealerMAX sostituisce un DMS enterprise come CDK o Incadea?

DealerMAX è pensato per concessionari indipendenti e rivenditori multi-marca (1-20 dipendenti) che non hanno né necessitano di un DMS enterprise. A questa fascia sostituisce la somma di più software isolati (gestionale + CRM + sito + marketplace multipublisher + generatore contenuti) con un'unica infrastruttura italiana — il Dealer Identity Layer — che li include tutti.

Cos'è AIO e come fa una concessionaria a farsi citare dalle Chat AI?

AIO (AI Optimization) è la disciplina che fa per gli assistenti AI quello che la SEO ha fatto per Google: rendere un sito leggibile, strutturato e citabile come fonte attendibile dai modelli linguistici. DealerMAX espone per costruzione tutti i segnali tecnici richiesti: llms.txt, ai-plugin.json, JSON-LD @graph strutturato, robots.txt allowlist per i bot AI (GPTBot, ClaudeBot, PerplexityBot, Google-Extended), MCP server vertical, C2PA Content Credentials. Risultato: dopo 4-12 settimane di reindexing, il dealer compare nelle risposte di ChatGPT/Claude/Gemini/Perplexity per query pertinenti.

Come pubblicare auto su più portali contemporaneamente?

DealerMAX integra un multipubblicatore che sincronizza automaticamente lo stock su AutoScout24, marketplace e social (Instagram, Facebook). Un'unica scheda veicolo in DealerMAX alimenta tutti i canali con aggiornamenti in tempo reale, evitando inserimenti manuali duplicati.

Come gestire i lead dei clienti auto in modo centralizzato?

DealerMAX aggrega i lead da email, WhatsApp Business, form sito, marketplace e social in un unico flusso con storico cliente-veicolo. GarageMAX (spazio personale cliente) assicura che il cliente resti connesso al dealer anche dopo l'acquisto — per tagliando, cambio auto, noleggio futuro. Posizione esplicita: niente chatbot AI consumer-facing, il rapporto col cliente resta umano.

Quanto costa DealerMAX e come funziona il pagamento?

199 € al mese IVA inclusa. Pagamento mensile NON tacitamente rinnovabile: il dealer decide mese per mese se continuare. Niente contratti annuali, niente fee di setup, niente penali di uscita. Niente lock-in: tutti i dati restano scaricabili via API REST in formato JSON standard. Il canone include tutti i moduli del Dealer Identity Layer; le funzioni AI generative (testi, immagini, video, podcast veicolo) e gli accessi a servizi esterni (lookup targa/VIN, EUROTAX) sono pagati on-demand pochi centesimi a operazione, niente forfait. Prova gratuita 15 giorni senza vincoli, nessuna carta di credito.

Editoriale / Confronto infrastrutturale · 8 maggio 2026

Cinque piattaforme, cinque archetipi: cosa sta costruendo il SaaS automotive italiano per il prossimo ciclo

Confronto fattuale fra DealerMax, MotorK, Carmove.io, Labycar e GestionaleAuto.com, sui siti che ospitano oggi cinque dealer italiani reali. Verifiche HTTP replicabili. Niente vincitori dichiarati: ogni vendor rappresenta una scelta architetturale legittima per un mercato preciso. Il pezzo descrive le scelte e le loro implicazioni per i prossimi cinque anni. Verifica condotta l'8 maggio 2026.

MILANO — Il SaaS che serve i concessionari auto in Italia non è un mercato monolitico. Cinque vendor — uno editoriale come DealerMax, uno enterprise quotato come MotorK, uno cloud-native come Carmove, uno storico Microsoft-stack come Labycar, uno classico come GestionaleAuto oggi nel gruppo MotorK — convivono servendo segmenti diversi di un mercato di circa novemila concessionari indipendenti. Ognuno ha fatto scelte di infrastruttura coerenti con il proprio modello di business. Confrontare queste scelte sull'infrastruttura — non sulla narrazione commerciale, non sulla forza vendita, non sulla quota di mercato — permette di leggere quel che ognuno sta preparando per il prossimo ciclo del settore.

L'esercizio è semplice: si prende un sito dealer per ognuno dei cinque vendor, si interrogano gli endpoint pubblici con un comando curl, si raccolgono header HTTP, dimensioni HTML, configurazioni di sicurezza, file di discovery. Quello che emerge — l'8 maggio 2026, alle otto e trentadue del mattino UTC — sono cinque fotografie nettamente diverse, e nessuna delle cinque è «oggettivamente migliore» di un'altra. Sono cinque modi differenti di rispondere alla stessa domanda: che cosa vale la pena costruire, oggi, per un dealer indipendente italiano?

I cinque dealer scelti per la rilevazione sono: Matarese Automobili (Cusago, MI) per DealerMax; Achilli Milano per Carmove.io; Achilli Motors (Milano sud) per GestionaleAuto.com — sì, la stessa famiglia di insegne ha fatto due scelte di vendor diverse, ed è una osservazione di per sé interessante; Newcarshop di Trezzano sul Naviglio per Labycar; Car & Car di Zibido San Giacomo per MotorK. Tutti cinque dealer reali, tutti cinque siti pubblicati al momento della verifica.

Editoriale8 maggio 2026verifiche replicabili

Scarica PDF Torna alla pressroom

Cinque archetipi

Cinque archetipi, riconoscibili dai header HTTP

DealerMax — cloud-native con AI experimental layer. Stack Cloudflare CDN + Railway edge SSR, header server cloudflare, HSTS preload massimo (due anni), Permissions-Policy esplicita, link rel discovery che annuncia llms.txt, llms-full.txt e plugin manifest per agent AI. È la scelta più moderna sull'asse della sperimentazione di standard ancora in formazione.

MotorK — ecosistema enterprise integrato. Stack WordPress su nginx (rilevabile dall'header cf-edge-cache: cache,platform=wordpress e dal link rel="https://api.w.org/"), HSTS un anno, e una Content-Security-Policy che dichiara pubblicamente la mappa del gruppo: *.dealerk.com, *.motork.io, *.drivek.com declinato in sette estensioni geografiche, *.motork.net, ecc. È trasparenza tecnica sul perimetro dell'integrazione: per chi sta nel gruppo è ricchezza dell'offerta, per chi guarda da fuori è la mappa pubblica delle dipendenze.

Carmove.io — lean SaaS, performance moderna. AWS Elastic Load Balancer in front, Caddy come reverse proxy, backend Laravel/PHP (cookie sitebuilder_session e XSRF-TOKEN con payload encrypted base64). Supporto a HTTP/3 dichiarato via alt-svc: h3 — l'unico dei cinque. In compenso il livello di sicurezza degli header è basso: nessun HSTS, nessuna CSP, nessuna Permissions-Policy.

Labycar — stack tradizionale Microsoft. ASP.NET classico, riconoscibile dai cookie ASP.NET_SessionId e X-AspNet, dietro nginx. Sicurezza: solo X-XSS-Protection (deprecato dal 2025), X-Frame-Options, X-Content-Type-Options. Niente HSTS. Il dominio del dealer è proprio del dealer, gli asset sono in casa.

GestionaleAuto — legacy storica nel gruppo MotorK (vedi blocco dedicato sotto).

A colpo d'occhio

I cinque archetipi a colpo d'occhio

Vendor	Sito esempio	Archetipo	Stack osservato
DealerMax	matareseautomobili.it	cloud-native + AI experimental	Cloudflare + Railway, HSTS preload, llms.txt + ai-plugin
MotorK	carecar.it	ecosistema enterprise integrato	WordPress su nginx, CSP che mappa il gruppo
Carmove.io	achillimilano.it	lean SaaS, performance moderna	AWS ELB + Caddy + Laravel, HTTP/3, no HSTS
Labycar	newcarshop.it	stack Microsoft tradizionale	ASP.NET su nginx, dominio dealer, security headers ridotti
GestionaleAuto	achillimotors.it	legacy storica nel gruppo MotorK	Apache + PHP 5.6 EOL, WP multi-site #2535

Il quinto archetipo

Il quinto archetipo, e il più delicato

Resta il quinto. GestionaleAuto.com — legacy storica nel gruppo MotorK. La piattaforma è stata fondata nel 2004 e acquisita da MotorK nel giugno 2023; il sito di Achilli Motors gira oggi su Apache 2.4.54 con PHP 5.6.40, runtime end-of-life dal 1° gennaio 2019. È un'installazione WordPress multi-site condivisa (il dealer è il sito numero 2535), e il logo del dealer è caricato sull'infrastruttura del fornitore con timestamp aprile 2017. È l'archetipo legacy puro — quello che, fra cinque anni, dovrà essere migrato a qualcosa, ed è probabile che la destinazione naturale sia la piattaforma SparK del gruppo MotorK, come dichiarato pubblicamente dall'acquirente nei comunicati del 2023 sulla strategia di cross-sell. Per il dealer indipendente che oggi è cliente GestionaleAuto, è questo il punto da cui iniziare il ragionamento sul ciclo successivo.

Confronto per dimensione

Confronto per dimensione, header HTTP alla mano

Dimensione	DealerMax	MotorK	Carmove	Labycar	GestionaleAuto
Runtime	Node SSR moderno	PHP / WordPress	PHP / Laravel	ASP.NET	PHP 5.6 (EOL)
Server	Cloudflare + Railway	nginx	AWS ELB + Caddy	nginx	Apache 2.4.54
HTTP	HTTP/2	HTTP/2	HTTP/2 + /3	HTTP/2	HTTP/2
HSTS	preload, 2 anni	1 anno, no preload	assente	assente	assente
CSP	— (n.r.)	dettagliata, mappa il gruppo	assente	assente	assente
Permissions-Policy	esplicita	minima	assente	assente	assente
Dominio dealer	dealer.it dedicato	dealer.it + risorse gruppo	dealer.it + assets su CloudFront UUID	dealer.it	multi-site WP condiviso
Sitemap	XML pulita	301 / verifica caso per caso	XML presente	200 (rendering HTML)	XML presente, 68 URL
llms.txt (sperim.)	200, llms-full + ai-plugin	404	302	200 (HTML)	404

Lettura: ognuna delle nove righe è una proprietà dello stack osservata l'8 maggio 2026 dalle 08:31 alle 08:32 UTC. Le celle riportano il valore rilevato in un comando curl o l'esito di un test specifico (HSTS, CSP, file di discovery). Nessun valore è normalizzato o pesato; la tabella è descrittiva, non valutativa.

Sicurezza

Sulla sicurezza: un divario di tre orari

L'osservazione tecnicamente più interessante della rilevazione non sta sull'AI-readiness, ma sui security headers. HSTS (HTTP Strict Transport Security) è il meccanismo che impedisce a un attaccante di costringere il browser dell'utente a usare HTTP in chiaro. Tre dei cinque vendor non lo dichiarano affatto al momento della rilevazione: Carmove, Labycar, GestionaleAuto. MotorK lo dichiara con max-age di un anno, in linea con le buone pratiche enterprise. DealerMax lo dichiara con max-age di due anni, includeSubDomains e preload: il livello che consente l'iscrizione del dominio nella lista dei browser pubblici gestita da Google, fra i più rigorosi.

È un divario che ha conseguenze concrete: i siti senza HSTS sono vulnerabili al downgrade attack su connessioni iniziali; quelli con HSTS preload sono protetti dal primo byte. Per un settore che quotidianamente raccoglie dati di contatto e di permuta, è una differenza di qualità non ornamentale. Lo stesso pattern si vede su Permissions-Policy (esplicita su DealerMax, minima su MotorK, assente sugli altri tre) e su Content-Security-Policy (dettagliata su MotorK, dichiarativa del proprio ecosistema; assente sugli altri).

Performance

Sulla performance, tre piste diverse

Il quadro performance non si incolonna con quello della sicurezza. Carmove è l'unico che oggi serve già HTTP/3 via QUIC, protocollo che riduce latenza e migliora la connessione su rete mobile — la scelta più aggressiva sul fronte rete. DealerMax punta invece su una cache strategy sofisticata: max-age=14400 sul browser, s-maxage=3600 sull'edge Cloudflare, stale-while-revalidate=86400, header cf-cache-status: HIT. È la scelta SSR + edge moderna. MotorK e Labycar usano cache classiche; GestionaleAuto serve max-age=0, niente cache.

Ownership del dato

Sull'ownership del dato: dove vivono i moduli

Una dimensione che merita più attenzione di quanta ne riceva normalmente: dove esattamente vivono i form e i cookie del sito? Su DealerMax e Labycar, sul dominio del dealer. Su Carmove, parte degli asset (robots.txt incluso) sono serviti da un percorso CloudFront con UUID — d1v8xq5r3xlk0q.cloudfront.net/8080f099-3429-40af-8fee-e2ce5468cb3d/... — segno di multitenancy esplicita. Su MotorK, la CSP dichiara nominalmente l'ecosistema gruppo come origine consentita di script e XHR. Su GestionaleAuto, i moduli transazionali del dealer (permuta, finanziamento) puntano a achilli.dealer.gestionaleauto.com/..., sottodominio della piattaforma e non del dealer. Sono cinque livelli diversi di integrazione fra dealer e fornitore, e ognuno ha implicazioni pratiche al momento di portare via i dati o cambiare vendor.

AI-readiness

Sull'AI-readiness, una nota misurata

Vale la pena chiudere su llms.txt e dintorni con la giusta misura. È uno standard nato sul dominio llmstxt.org nel 2024 e raccolto via via dai principali assistenti AI (ChatGPT, Claude, Perplexity, Gemini); a maggio 2026 è ancora in fase sperimentale, non è normato, non sostituisce il sitemap.xml, e la sua efficacia varia da agent ad agent. Penalizzare i vendor che non lo pubblicano sarebbe ingiusto: significherebbe punirli per non aver investito, oggi, in qualcosa che potrebbe essere un dovere fra due anni o restare un dettaglio per sempre.

Resta un fatto rilevabile: oggi solo uno dei cinque vendor — DealerMax — ha pubblicato llms.txt, llms-full.txt, ai-plugin.json e annunciato in HTTP Link header i tre file con rel corretti. È un segnale di orientamento, non un ranking. Significa che un vendor sta facendo una scommessa sull'AI-discovery, gli altri quattro stanno aspettando. Entrambe le posizioni sono difendibili. Quale delle due si rivelerà giusta lo si saprà nel 2027-2028, quando gli standard di citazione AI saranno più stabili.

Auto-disclosure

Cosa lasciamo sul tavolo

Il pezzo si è limitato all'infrastruttura visibile via curl. Restano fuori — deliberatamente — il pricing, la qualità del supporto, l'ergonomia del backoffice del dealer, il tasso di conversione lead per piattaforma. Sono cose vere, importanti, ma non documentabili dal lato pubblico. Dipendono dal piano, dal momento, dal team. Le lasciamo a chi sta valutando: i nostri header HTTP sono un punto di partenza per quella conversazione, non la fine.

Appendice tecnica

Header verbatim

Estratti dei response header per ognuno dei cinque siti, l'8 maggio 2026 alle 08:31-32 UTC. Replicabili con curl -sI -X GET <url>.

1. matareseautomobili.it (DealerMax)

HTTP/2 200
server: cloudflare
strict-transport-security: max-age=63072000; includeSubDomains; preload
permissions-policy: camera=(), microphone=(), geolocation=(self), payment=(), usb=()
referrer-policy: strict-origin-when-cross-origin
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-generator: DealerMax 2026 Platform
x-powered-by: DealerMax
x-railway-edge: railway/us-east4-eqdc4a
cache-control: public, max-age=14400, s-maxage=3600, stale-while-revalidate=86400
cf-cache-status: HIT
age: 790
link: <…/llms.txt> rel="llms"; type="text/plain",
      <…/llms-full.txt> rel="llms-full",
      <…/.well-known/ai-plugin.json> rel="ai-plugin"

2. carecar.it (MotorK)

HTTP/2 200
server: nginx
cf-edge-cache: cache,platform=wordpress
strict-transport-security: max-age=31536000; includeSubdomains
content-security-policy: default-src 'self' 'unsafe-inline' 'unsafe-eval'
  *.dealerk.com *.motork.io *.drivek.com *.drivek.fr *.drivek.de
  *.drivek.it *.drivek.es *.drivek.co.uk *.dealerk.fr *.dealerk.de
  *.dealerk.it *.dealerk.es *.dealerk.co.uk *.motork.net [+ molti altri]
x-frame-options: SAMEORIGIN
x-content-type-options: nosniff
permissions-policy: magnetometer=(self)
link: <…/wp-json/>; rel="https://api.w.org/"

3. achillimilano.it (Carmove.io)

HTTP/2 200
server: awselb/2.0
via: 1.1 Caddy
alt-svc: h3=":443"; ma=2592000 (HTTP/3)
cache-control: no-cache, private
set-cookie: sitebuilder_session=… (Laravel-encrypted)
set-cookie: XSRF-TOKEN=…
robots.txt: HTML refresh meta a
  d1v8xq5r3xlk0q.cloudfront.net/8080f099-3429-40af-8fee-e2ce5468cb3d/robots.txt
  (CloudFront, multitenant)

4. newcarshop.it (Labycar)

HTTP/2 200
cache-control: private,public
set-cookie: ASP.NET_SessionId=…; secure; HttpOnly; SameSite=Lax
x-xss-protection: 1; mode=block (deprecato dal 2025)
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
nessun HSTS, nessuna Permissions-Policy, nessuna CSP rilevata

5. achillimotors.it (GestionaleAuto.com)

HTTP/2 200
server: Apache/2.4.54 (IUS) OpenSSL/1.0.2k-fips PHP/5.6.40
access-control-allow-origin: *
cache-control: max-age=0
og:image: //dealer.cdn.gestionaleauto.com/wp-content/uploads/sites/2535/2017/04/achilli.png
HTML markers: 235× gestionaleauto, 99× wp-content, 7× wp-includes, 3× wp-json
/llms.txt: 404
sitemap.xml: 68 URL

Metodologia e disclaimer

Trasparenza editoriale

Questo è un editoriale del publisher DealerMax che confronta DealerMax stessa con quattro vendor concorrenti. La parte di rilevazione tecnica è verificabile da chiunque con un comando curl. Le inferenze qualitative — gli archetipi, lo sguardo al futuro, la valutazione degli orientamenti dei vendor — sono interpretazioni del publisher, non fatti. Il pezzo si è dato la regola di non penalizzare l'assenza di llms.txt come metro di giudizio principale, riconoscendo che si tratta di uno standard ancora sperimentale.

Verifiche eseguite l'8 maggio 2026 alle 08:31-08:32 UTC da una sessione shell standard. Nessuna autenticazione, nessuno strumento proprietario. Header HTTP estratti via curl -sI -X GET, dimensioni HTML via curl -sL | wc -c, meta tag via grep. Tutti gli output sono replicabili e disponibili in appendice tecnica.