Технический аудит · 2026-05-31

aise.it

Международное агентство зарубежной прессы

Итальянское пресс-агентство для зарубежных СМИ, диппредставительств и избранных за границей депутатов. 123 запроса, 14 доменов — самый тяжёлый стек серии, и здесь все пять трекеров реально отработали. Facebook получил хешированный идентификатор посетителя ещё до согласия, Google Analytics стоит на давно отключённой версии, а политика 2018 года знает лишь один трекер из пяти, обещает анонимность и называет ответственным стороннюю фирму.

Хронология утечки

+0–297 мс · загрузка сайта

Основа сайта, библиотеки и шрифты грузятся со своего домена. На +277 мс приходит оформление баннера согласия, на +298 мс — его скрипт.

+299–4951 мс · все пять трекеров отрабатывают

Google Analytics и его замер посещения (+323–377 мс); Facebook — загрузка пикселя, передача хешированного идентификатора (+424 мс) и событие просмотра (+511 мс); Embedly (+740 мс); рекламный пиксель brznetwork (+778 мс); ShinyStat пятью обращениями, часть из которых добивает аж на 4,8–4,95 секунды. Все ответы успешные — трекеры реально сработали.

Декларация против факта

✓ Google Analytics — заявлен

+ Facebook Pixel с хешированным идентификатором (Advanced Matching) — не заявлен

+ ShinyStat (пять адресов) — не заявлен

+ Embedly — не заявлен

+ Рекламный пиксель brznetwork — не заявлен

Зафиксированные трекеры

Google Analytics (на устаревшей версии Universal Analytics, отключённой Google в 2023)
Facebook Pixel с Advanced Matching (передан хешированный идентификатор)
ShinyStat (пять разных endpoint-ов)
Embedly
Рекламный пиксель brznetwork

Зафиксированные нарушения

Art. 5(1)(a) GDPR — обещана анонимность, передан идентификатор

Политика утверждает, что собираемые данные «полностью анонимны и не позволяют опознать отдельных посетителей». На той же странице Facebook Pixel передаёт в Meta хешированный идентификатор посетителя (64-значный SHA-256) по технике Advanced Matching, которая как раз и служит для сопоставления посетителя с его профилем в Meta. Идентификатор посетителя — это противоположность анонимности. ShinyStat также работает по отдельным посетителям, а не агрегированно.
Art. 13(1)(e) GDPR — назван один трекер из пяти

В политике упомянут только Google Analytics. Facebook Pixel, ShinyStat (пять адресов), Embedly и рекламный пиксель сети brznetwork не названы вообще — ни по имени, ни как категории получателей данных.
Рекомендации итальянского регулятора по cookie — трекеры выше согласия

Скрипт баннера согласия загружается на +298 мс, а первый внешний трекер — на +299 мс, через одну миллисекунду, без всякой паузы на выбор пользователя. Далее в первую же секунду отрабатывают Google, Facebook, ShinyStat, Embedly и рекламный пиксель. Никакого следа зафиксированного согласия в замере нет. При этом сама политика отдельно оговаривает, что маркетинг требует явного согласия, — а маркетинговый пиксель Facebook срабатывает безусловно.
Art. 13(1)(a) GDPR — указан чужой титуляр

Документ датирован 2018 годом и называет ответственным за обработку данных не само агентство AISE, а стороннюю компанию Sogedi srl, с контактным адресом на чужом домене. Посетитель не может понять, кто на самом деле отвечает за его данные.

Контекст

AISE (Agenzia Internazionale Stampa Estero) — итальянское пресс-агентство, основанное в 1975 году. Его аудитория специфична: итальянские СМИ за рубежом, дипломатические представительства и избранные за границей итальянские депутаты. Это не госорган, а частное информационное агентство с базой подписчиков. В замере 123 обращения к 14 доменам — самый насыщенный трекинг-стек из всех разобранных сайтов серии.

И сразу важное отличие от похожих случаев: здесь трекеры не просто были вызваны — они реально отработали. Все внешние запросы вернулись успешно, скрипты загрузились и выполнились. Так что речь не о намерении, а о состоявшейся слежке.

Был ли баннер согласия

Баннер есть, но он декоративный. Его скрипт загружается на +298 мс — а уже на +299 мс, ровно через миллисекунду, стартует первый внешний трекер. Между появлением механизма согласия и началом слежки нет даже паузы на то, чтобы пользователь успел что-то нажать. Никакого следа зафиксированного решения в замере нет. Иначе говоря, баннер на сайте присутствует только для вида: задержать трекеры до выбора пользователя — его единственная задача — он не выполняет.

Пять трекеров — и все реально сработали

В первую же секунду на странице оживает целый набор: государственная для Италии было бы привычно, но здесь всё иностранное и коммерческое. Google Analytics со своим замером посещения. Facebook Pixel. Рекламный пиксель сети brznetwork. Сервис Embedly. И итальянский счётчик ShinyStat — сразу пятью отдельными обращениями, причём часть из них добивает спустя почти пять секунд после открытия. Пять независимых внешних сервисов, и ни один в этом замере не дал сбоя — в отличие от некоторых других сайтов, где трекеры срывались на ошибке, здесь они отработали полностью.

Facebook получил хешированный идентификатор посетителя

Это самая серьёзная находка. В запросе к Facebook передан параметр с 64-значным значением — это хешированный идентификатор посетителя (как правило, хешированный адрес электронной почты), отправленный по технике, которую Meta называет Advanced Matching. Смысл этой техники ровно один: сопоставить анонимного на первый взгляд посетителя сайта с его конкретным профилем в Facebook и Instagram.

И вот здесь принципиальное расхождение с политикой. Документ обещает, что собираемые данные «полностью анонимны и не позволяют опознать отдельных посетителей». Но передача идентификатора, привязанного к человеку, — это противоположность анонимности. То, что он хеширован, ничего не меняет по сути: хеш необратим для постороннего, но для Meta это рабочий ключ к опознанию пользователя. И всё это уходит на +424 мс — задолго до любого согласия. Facebook в политике не упомянут ни словом.

Google Analytics стоит — но он уже мёртвый

Любопытная деталь, которую видно только при внимательном чтении. Google Analytics здесь работает на старой версии — так называемой Universal Analytics. А её сам Google отключил ещё в середине 2023 года: эти счётчики больше не обрабатывают данные. Что это означает на практике: запрос в Google по-прежнему уходит, и IP-адрес посетителя вместе с ним, — но полезной аналитики он уже не собирает, данные попадают в никуда. То есть утечка IP в США сохраняется, а смысл слежки давно утерян. Это лишнее свидетельство, что стек на сайте никто не сопровождает: его просто оставили висеть.

Рекламный пиксель brznetwork

Ещё один незаявленный гость — обращение к рекламной сети brznetwork, оформленное как загрузка крошечной картинки. Это классический рекламный трекинг-пиксель: сам по себе он ничего не показывает, его задача — зафиксировать факт визита для рекламной сети. В политике он, разумеется, тоже не упомянут.

Политика — чужая, старая и обещает лишнее

Документ датирован 2018 годом. Ответственным за обработку данных он называет не само агентство AISE, а стороннюю компанию Sogedi srl, с контактами на чужом домене, — так что посетитель в принципе не понимает, кто отвечает за его данные. Из пяти реально работающих трекеров политика знает ровно один — Google Analytics, — и именно про него обещает полную анонимность.

Справедливости ради, одну вещь эта политика не нарушает: в отличие от ряда других сайтов, она не утверждает ложно, будто данные за рубеж не передаются, — напротив, передачу за границу она прямо допускает. Так что претензии о «ложном обещании не передавать за рубеж» здесь нет. Зато есть другое внутреннее противоречие: документ отдельно оговаривает, что маркетинг требует явного согласия, — а маркетинговый пиксель Facebook срабатывает безо всякого согласия, в первую же секунду.

Почему «низкой» чувствительности здесь мало

Стоит объяснить, почему я поднял оценку чувствительности по сравнению с первичной. Дело не в самом сайте, а в его аудитории. Это агентство читают дипломатические миссии и избранные за рубежом депутаты — то есть среди отслеживаемых посетителей с высокой вероятностью оказываются люди, чьё профилирование в рекламной системе Meta куда чувствительнее, чем профилирование случайного читателя новостей. Передача хешированного идентификатора такого посетителя в Meta — это не безобидный счётчик. Поэтому я считаю «низкую» оценку заниженной и ставлю среднюю.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Хеш в запросе к Facebook необратим — по нему я не могу восстановить исходный адрес и не утверждаю, чей именно это идентификатор; я фиксирую сам факт передачи привязанного к посетителю значения. Замер охватывает только главную страницу. В этой облегчённой выгрузке не сохранены IP-адреса серверов, поэтому географию я беру по принадлежности доменов. И я не вижу, что именно сконфигурировано внутри счётчиков сверх переданных параметров.

Вывод

Это самый тяжёлый случай серии. Пять разных внешних трекеров, и все они в этом замере реально отработали, а не сорвались. Facebook получил привязанный к посетителю хешированный идентификатор ещё до согласия — прямо вопреки обещанию политики о полной анонимности. Google Analytics висит на давно отключённой версии и теперь лишь впустую утекает IP в США. Рекламный пиксель и итальянский счётчик не названы вовсе. Баннер согласия чисто декоративный и ничего не задерживает. А сама политика — 2018 года, с чужим титуляром, знающая один трекер из пяти. Главное, что должен вынести читатель: агентство, которое читают дипломаты и депутаты за рубежом, отдаёт их в рекламную машину Meta с первой же секунды — и обещает им при этом анонимность, которой нет.

Доказательство

Оригинал (разбор)

HAR-файл: it/aise-it-2026-05-31.har

SHA-256: d6a19703139c74da2737ddb4fe1abeb30928f8059791e1c8fc913be01e27bc28

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом aise.it.

2. Обстоятельства
Я посетил сайт aise.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 31.05.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика утверждает, что собираемые данные «полностью анонимны и не позволяют опознать отдельных посетителей». На той же странице Facebook Pixel передаёт в Meta хешированный идентификатор посетителя (64-значный SHA-256) по технике Advanced Matching, которая как раз и служит для сопоставления посетителя с его профилем в Meta. Идентификатор посетителя — это противоположность анонимности. ShinyStat также работает по отдельным посетителям, а не агрегированно.

2) В политике упомянут только Google Analytics. Facebook Pixel, ShinyStat (пять адресов), Embedly и рекламный пиксель сети brznetwork не названы вообще — ни по имени, ни как категории получателей данных.

3) Скрипт баннера согласия загружается на +298 мс, а первый внешний трекер — на +299 мс, через одну миллисекунду, без всякой паузы на выбор пользователя. Далее в первую же секунду отрабатывают Google, Facebook, ShinyStat, Embedly и рекламный пиксель. Никакого следа зафиксированного согласия в замере нет. При этом сама политика отдельно оговаривает, что маркетинг требует явного согласия, — а маркетинговый пиксель Facebook срабатывает безусловно.

4) Документ датирован 2018 годом и называет ответственным за обработку данных не само агентство AISE, а стороннюю компанию Sogedi srl, с контактным адресом на чужом домене. Посетитель не может понять, кто на самом деле отвечает за его данные.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/aise-it/

3. Нарушенные положения
Art. 5(1)(a) GDPR — обещана анонимность, передан идентификатор; Art. 13(1)(e) GDPR — назван один трекер из пяти; Рекомендации итальянского регулятора по cookie — трекеры выше согласия; Art. 13(1)(a) GDPR — указан чужой титуляр

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]