Технический аудит · 2026-06-15

agid.gov.it

Агентство по цифровизации Италии

Сайт Агентства по цифровизации Италии — органа, который сам пишет правила оформления для всех госсайтов страны и рекомендует им государственную аналитику. 52 запроса, 4 домена. Cookie-политика здесь образцовая: каждый cookie назван по имени, со сроком и назначением, и всё сходится с замером. Единственная дыра — шрифты Google, которые передают IP посетителя в США вопреки прямому обещанию политики никуда за пределы ЕС данные не передавать.

Хронология утечки

+0–294 мс · загрузка портала

Портал на Drupal. Весь свой код и стили — со своего домена, без сторонних подключений.

не применимо — баннера нет, и это правомерно

Баннера согласия на сайте нет, и в данном случае он не требуется: используются только технические cookie и государственная аналитика, приравненная к техническим. Политика честно перечисляет каждый такой cookie по имени, сроку и назначению. Отсутствие баннера здесь — не нарушение, а следствие того, что просить согласия не на что.

+295–361 мс · аналитика и шрифты Google

Государственная аналитика (+340 мс) и замер посещения (+357 мс) — полностью соответствуют тому, что описано в политике. А вот шрифты с серверов Google (+295–361 мс) в политике не упомянуты вовсе — и именно они уносят IP посетителя за пределы ЕС.

Декларация против факта

✓ Аналитика Web Analytics Italia: _pk_id (13 мес.), _pk_ses (30 мин.) — заявлен

✓ Сессия редактора Drupal (SSESShash) — заявлен

✓ Балансировщик нагрузки AWS (AWSALB / AWSALBCORS) — заявлен

+ Google Fonts (передача IP-адреса в США при каждой загрузке страницы) — не заявлен

Зафиксированные трекеры

Государственная аналитика Web Analytics Italia (Matomo) — точно задекларирована
Google Fonts — незадекларированы, передают IP посетителя в США

Зафиксированные нарушения

Art. 13(1)(f) и Art. 44 GDPR — передача данных в США через шрифты

Политика прямо заявляет, что данные не передаются в третьи страны, а в списке получателей данных названы только сотрудники агентства и технические подрядчики. При этом три семейства шрифтов (Noto Sans, Roboto Mono, Titillium Web) подгружаются напрямую с серверов Google в США, а не из локальной поставки. Каждая такая загрузка передаёт IP-адрес посетителя в Google — то есть и трансфер за пределы ЕС, который политика отрицает, и получатель данных, которого в политике нет. Суды в ЕС уже признавали ровно эту практику — подгрузку шрифтов Google с серверов Google — неправомерной передачей IP-адреса.

Контекст

www.agid.gov.it — сайт Агентства по цифровизации Италии. Это не рядовое ведомство: именно AgID пишет правила оформления и приватности для всех государственных сайтов страны и именно оно рекомендует остальным государственную аналитику вместо иностранной. То есть по этому сайту разумно судить, насколько сам автор правил их соблюдает.

Живую политику я прочитал целиком — она открыта и доступна, последнее обновление помечено маем 2024 года. Документ заявляет две вещи, важные для разбора: что используются исключительно перечисленные технические cookie и что никакой передачи данных в третьи страны или международным организациям не предусмотрено. Сайт сделан на Drupal, в замере 52 обращения к четырём доменам.

Был ли баннер согласия

Баннера нет — и это тот редкий случай, когда его отсутствие правомерно. На сайте используются только технические cookie и государственная аналитика, которая по итальянским правилам приравнена к техническим средствам и согласия не требует. Спрашивать согласие попросту не на что, поэтому и баннера нет. Это важно проговорить прямо: пустое место на месте баннера здесь — не упущение, а закономерность.

Образцовая часть — отдать должное

Прежде чем говорить о дыре, честно о том, что сделано правильно, потому что на фоне других сайтов это выделяется. Политика называет каждый cookie поимённо, с точным сроком жизни и назначением: идентификатор повторных визитов на 13 месяцев, идентификатор сессии на 30 минут, служебный cookie редактора и cookie балансировщика нагрузки. Всё перечисленное сходится с тем, что видно в замере один в один. Никакой записи сессий, никаких скрытых модулей, ничего за пределами государственной инфраструктуры по части аналитики. Это самая аккуратная и честная cookie-политика во всей серии разобранных сайтов.

Единственная дыра — шрифты Google

И на этом безупречном фоне тем заметнее единственный разрыв. Три семейства шрифтов — Noto Sans, Roboto Mono и Titillium Web — подгружаются не из локальной поставки сайта, а напрямую с серверов Google. А любое обращение к серверу Google автоматически передаёт ему IP-адрес посетителя, и серверы эти — в США.

Тут сходятся сразу два расхождения с политикой. Во-первых, документ прямо обещает, что данные за пределы ЕС не уходят, — а они уходят, в Google, при каждой загрузке страницы. Во-вторых, в списке тех, кто получает данные, политика называет только сотрудников агентства и технических подрядчиков; Google там нет вовсе. И это не теоретическая придирка: суды в ЕС уже выносили решения, что именно такая подгрузка шрифтов Google с серверов Google — это неправомерная передача IP-адреса пользователя. Чинится она элементарно — шрифты просто кладут на свой сервер, и обращения в Google исчезают.

Почему именно здесь это не мелочь

Технически дыра крошечная — всего лишь шрифты. Но место, где она найдена, придаёт ей вес. AgID — это орган, который пишет дизайн-стандарт и правила приватности для всех остальных госсайтов, и многие из них наследуют один и тот же шаблон и одну и ту же тему оформления. Показательно, что дословно та же фраза «данные в третьи страны не передаются» стоит на десятках сайтов всей экосистемы AgID. Если общий шаблон тянет шрифты Google с их серверов, то ровно та же утечка и ровно то же ложное обещание тиражируются по всей цепочке зависимых сайтов — и тогда это уже не единичная оплошность, а дефект стандарта.

Есть и прямой регуляторный штрих. Когда итальянский регулятор в своё время одобрял дизайн-правила AgID, он отдельно напомнил: в отношениях с поставщиками, расположенными в третьих странах, нужно соблюдать правила трансфера данных. То есть автора стандарта прямо предупреждали именно об этом классе проблем — а на собственном сайте он на нём же и споткнулся.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Замер охватывает только главную страницу. Сроки жизни cookie указаны в самой политике, но в замере их подтвердить нельзя — эти cookie ставятся скриптом на стороне браузера, а не приходят в заголовках. И отдельно: сама государственная аналитика, которую AgID рекомендует как «европейскую» альтернативу, в этом замере отвечает с адреса из диапазона облака Amazon; европейские регионы Amazon находятся в пределах ЕС, и точный регион по замеру не виден, поэтому отдельной претензии по трансферу здесь я не выдвигаю — отмечаю лишь как наблюдение.

Вывод

Это лучший сайт серии по уровню честности политики — и именно поэтому единственная дыра в нём так показательна. Cookie-политика образцовая, согласие не требуется и обоснованно отсутствует, аналитика государственная и точно описана. Но шрифты Google передают IP посетителя в США при каждом визите — прямо вопреки обещанию никуда за пределы ЕС данные не отдавать, и в обход списка получателей, где Google не значится. Чинится это одним движением — переносом шрифтов на свой сервер. Главное, что должен вынести читатель: ошибается даже автор правил, и поскольку его шаблон наследуют десятки других госсайтов, эта мелочь почти наверняка не только его.

Доказательство

Оригинал (разбор)

HAR-файл: it/www-agid-gov-it-2026-06-15.har

SHA-256: 8a062754617f2966c80aae725ebb0df5c128cbea5f5d80ef92a53d842fef32bd

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом agid.gov.it.

2. Обстоятельства
Я посетил сайт agid.gov.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика прямо заявляет, что данные не передаются в третьи страны, а в списке получателей данных названы только сотрудники агентства и технические подрядчики. При этом три семейства шрифтов (Noto Sans, Roboto Mono, Titillium Web) подгружаются напрямую с серверов Google в США, а не из локальной поставки. Каждая такая загрузка передаёт IP-адрес посетителя в Google — то есть и трансфер за пределы ЕС, который политика отрицает, и получатель данных, которого в политике нет. Суды в ЕС уже признавали ровно эту практику — подгрузку шрифтов Google с серверов Google — неправомерной передачей IP-адреса.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/agid-gov-it/

3. Нарушенные положения
Art. 13(1)(f) и Art. 44 GDPR — передача данных в США через шрифты

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]