Технический аудит · 2026-06-20

amazon.it

Маркетплейс Amazon в Италии

Amazon.it — итальянская версия маркетплейса Amazon. Замер главной страницы: 264 обращения, 9 доменов. Здесь принципиальное отличие от коммерческих сайтов с россыпью чужих трекеров: почти всё — первая сторона, домены самого Amazon. Ни Google Analytics, ни Meta, ни сторонних рекламных сетей: Amazon не нуждается в чужих, потому что сам является огромной рекламно-аналитической экосистемой. Но чище от этого не становится. Ещё до загрузки баннера настроек приватности собственная служба логирования Amazon шлёт события с идентификатором сессии; затем отрабатывают поведенческая телеметрия и рекламная биржа Amazon — причём рекламный таргетинг включён по умолчанию. Данные при этом не уходят вовне — они остаются у Amazon, — но обработка для рекламы и аналитики начинается до согласия, а именно за установку рекламных трекеров до согласия Amazon уже штрафовали в ЕС.

Хронология утечки

177 мс · логирование Amazon до баннера

Собственная служба логирования Amazon (fls-eu) отправляет события с идентификатором сессии. Это происходит ещё до того, как загружается баннер настроек приватности.

1521 мс · баннер настроек приватности

Загружается баннер настроек приватности Amazon. То есть к моменту его появления логирование уже отработало — раньше любого выбора пользователя.

2089 мс · поведенческая телеметрия

Отрабатывает собственная поведенческая телеметрия Amazon — события взаимодействия со страницей. Эти данные остаются в инфраструктуре Amazon, но собираются до согласия.

2642 мс · рекламная биржа Amazon, таргетинг по умолчанию

Обращается рекламная биржа Amazon. Параметр запроса означает, что отказ от рекламного таргетинга по умолчанию выключен — то есть интересная реклама включена изначально, без согласия.

4622–5302 мс · пиксели экспериментов и профилирования

Срабатывают служебные пиксели A/B-экспериментов и профилирования на инфраструктуре Amazon. По-прежнему до согласия.

баннер есть, но согласие не предшествует сбору

Баннер настроек приватности на сайте присутствует, но собственная аналитика, логирование и рекламная биржа Amazon стартуют до выбора пользователя. Cookie через заголовки за сеанс не выставлено — идентификация идёт через собственные телеметрические службы.

Зафиксированные трекеры

Собственная телеметрия Amazon (unagi/CSM)
Логирование Amazon (fls-eu)
Рекламная биржа Amazon (adsystem)
Пиксели экспериментов (CloudFront)

Зафиксированные нарушения

Art. 6(1)(a) GDPR — собственная аналитика и реклама Amazon работают до согласия, таргетинг включён по умолчанию

На сайте есть баннер настроек приватности, но в чистом сеансе, ещё до его загрузки и без какого-либо решения пользователя, собственная служба логирования Amazon (fls-eu) уже отправляет события с идентификатором сессии — на 177-й миллисекунде, тогда как баннер подгружается лишь к 1,5 секундам. Затем отрабатывает поведенческая телеметрия Amazon (события взаимодействия со страницей) и обращается рекламная биржа Amazon, причём с параметром, означающим, что отказ от рекламного таргетинга по умолчанию выключен — то есть интересная реклама включена изначально, до согласия. Дополнительно срабатывают пиксели экспериментов и профилирования. Особенность Amazon в том, что всё это — первая сторона: данные не уходят к Google, Meta или иным внешним получателям, а остаются внутри собственной экосистемы Amazon. Но Amazon сам по себе крупная рекламная платформа, и обработка для аналитики и рекламы до согласия, с таргетингом по умолчанию, — это именно то, за что французский регулятор уже штрафовал Amazon: установка рекламных трекеров до получения согласия несовместима с требованиями ЕС.

Контекст

www.amazon.it — итальянская версия маркетплейса Amazon, один из крупнейших коммерческих сайтов страны. Контролёр данных — Amazon (европейское подразделение). Сайт — полноценный магазин с поиском, рекомендациями, рекламой товаров, личным кабинетом и программой Prime.

Замер: 264 обращения к 9 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте есть баннер настроек приватности. Принципиальная особенность: почти все домены — собственные домены Amazon.

Кто получает данные

Внешних, сторонних получателей нет — и это ключевое отличие Amazon от других коммерческих сайтов.

На большинстве коммерческих площадок данные растекаются по десяткам чужих компаний — Google, Meta, рекламные биржи. У Amazon иначе: он самодостаточен. Логирование (fls-eu), поведенческая телеметрия (unagi), рекламная биржа (amazon-adsystem) и пиксели экспериментов — всё это собственные службы Amazon. Данные не уходят к Google или Meta, они остаются внутри экосистемы Amazon. Но Amazon сам по себе — одна из крупнейших рекламных платформ мира, поэтому «всё своё» здесь не означает «не для рекламы».

Был ли баннер согласия

Да, баннер настроек приватности на сайте есть, он загружается примерно к 1,5 секундам. Решение в этом визите не делалось — замер снят в чистом сеансе.

И именно тайминг показывает проблему: собственная служба логирования Amazon отправляет события с идентификатором сессии уже на 177-й миллисекунде — то есть раньше, чем баннер вообще загрузился. А рекламная биржа обращается с таргетингом, включённым по умолчанию.

Что срабатывает до согласия

До выбора пользователя успевает отработать:

логирование Amazon (fls-eu) с идентификатором сессии — раньше загрузки баннера;
поведенческая телеметрия Amazon (события взаимодействия со страницей);
рекламная биржа Amazon с рекламным таргетингом, включённым по умолчанию;
пиксели A/B-экспериментов и профилирования.

Здесь нет сторонней утечки, но есть обработка для рекламы и аналитики до согласия. По правилам ЕС нетехнические трекеры — аналитика и реклама — требуют согласия до их запуска; если они стартуют на открытии страницы, а баннер появляется позже, согласие уже недействительно.

Почему «первая сторона» — не индульгенция

Это важный для понимания пункт. То, что Amazon не передаёт данные Google или Meta, действительно лучше, чем россыпь сторонних трекеров. Но юридически вопрос не в том, кому уходят данные, а в том, на каком основании они собираются. Рекламный таргетинг и поведенческая аналитика — нетехнические цели, требующие согласия. Включённый по умолчанию таргетинг (отказ выключен изначально) и логирование до баннера означают, что обработка для этих целей начинается без согласия. Именно за установку рекламных трекеров до получения согласия на своей европейской площадке Amazon уже получал крупный штраф от французского регулятора — то есть это не теоретическая придирка, а ровно та практика, которую регулятор признал нарушением.

Вывод

Amazon.it — образцовый пример того, что замкнутость экосистемы не равна приватности. Сторонних трекеров здесь нет, и данные не растекаются по чужим компаниям — но это потому, что Amazon сам себе и аналитика, и рекламная биржа. Собственное логирование с идентификатором сессии стартует раньше баннера, поведенческая телеметрия и рекламный таргетинг включены до согласия и по умолчанию. Главное, что должен вынести читатель: отсутствие сторонних получателей не отменяет требования согласия — реклама и аналитика, даже полностью первичные, должны дожидаться выбора пользователя, а включённый по умолчанию таргетинг этому требованию прямо противоречит. И это не абстракция: именно за сбор рекламных трекеров до согласия Amazon уже штрафовали в ЕС.

Доказательство

Оригинал (разбор)

HAR-файл: it/amazon-it-2026-06-20.har

SHA-256: b6e5942b73b169951c9a0654540de7791141c1615ecc643d687d0e995f63319d

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом amazon.it.

2. Обстоятельства
Я посетил сайт amazon.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте есть баннер настроек приватности, но в чистом сеансе, ещё до его загрузки и без какого-либо решения пользователя, собственная служба логирования Amazon (fls-eu) уже отправляет события с идентификатором сессии — на 177-й миллисекунде, тогда как баннер подгружается лишь к 1,5 секундам. Затем отрабатывает поведенческая телеметрия Amazon (события взаимодействия со страницей) и обращается рекламная биржа Amazon, причём с параметром, означающим, что отказ от рекламного таргетинга по умолчанию выключен — то есть интересная реклама включена изначально, до согласия. Дополнительно срабатывают пиксели экспериментов и профилирования. Особенность Amazon в том, что всё это — первая сторона: данные не уходят к Google, Meta или иным внешним получателям, а остаются внутри собственной экосистемы Amazon. Но Amazon сам по себе крупная рекламная платформа, и обработка для аналитики и рекламы до согласия, с таргетингом по умолчанию, — это именно то, за что французский регулятор уже штрафовал Amazon: установка рекламных трекеров до получения согласия несовместима с требованиями ЕС.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/amazon-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — собственная аналитика и реклама Amazon работают до согласия, таргетинг включён по умолчанию

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]