Технический аудит · 2026-06-20

autoscout24.it

Автомобильный маркетплейс

Autoscout24.it — крупный автомобильный маркетплейс. Замер главной страницы: 155 обращений, 27 доменов — полноценная программатик-реклама. Данные о визите расходятся по двум десяткам внешних рекламных компаний — Google Ad Manager, Criteo, PubMatic, OpenX, ID5, RTB House, Integral Ad Science, DoubleClick.На сайте есть платформа сбора согласия по стандарту IAB, и в чистом сеансе она формирует строку согласия, которая при декодировании означает «согласия нет ни по одной цели». Но рекламные вендоры всё равно отрабатывают: синхронизируют cookie, сопоставляют сквозные идентификаторы, запрашивают рекламу и фиксируют показы. Одно из обращений PubMatic и вовсе уходит так, будто правила GDPR не применяются. То есть сигнал согласия говорит «нет», а реклама работает.

Хронология утечки

287–868 мс · платформа согласия (TCF)

Загружается собственная платформа сбора согласия AutoScout24 по стандарту IAB. В чистом сеансе она формирует строку согласия, которая при декодировании означает: согласия не дано ни по одной цели.

1055–1080 мс · система тегов и DoubleClick

Подключаются Google Tag Manager и рекламный домен DoubleClick — менеджер тегов и рекламная инфраструктура Google.

1526–1531 мс · синхронизация рекламных идентификаторов

Практически одновременно подключаются ID5, PubMatic, OpenX, Criteo и RTB House — рекламные вендоры начинают синхронизацию идентификаторов. Сигнал согласия при этом — «нет».

1709 мс · запрос рекламы Google Ad Manager

Google Ad Manager запрашивает рекламу. Запрос уходит с приложенной строкой согласия, которая означает отсутствие согласия.

1885 мс · синхронизация cookie Criteo

Criteo выполняет синхронизацию cookie через свой кадр-синхронизатор — сопоставление рекламного идентификатора, по-прежнему без согласия.

2524 мс · PubMatic с отключённым признаком GDPR

PubMatic выполняет установку cookie-сопоставления, причём обращение уходит с признаком, будто правила GDPR не применяются — хотя пользователь находится в Италии.

баннер есть, согласие не дано — реклама работает

Платформа согласия на сайте присутствует и формирует сигнал «нет согласия», но рекламные вендоры его игнорируют и ведут синхронизацию идентификаторов и трекинг. Cookie через заголовки за сеанс не выставлено — сопоставление идёт через сами рекламные обращения.

Декларация против факта

✓ ID5 — заявлен

+ Criteo — не заявлен

+ PubMatic — не заявлен

+ OpenX — не заявлен

+ RTB House — не заявлен

Зафиксированные трекеры

Google Ad Manager
Criteo
PubMatic
OpenX
ID5
RTB House
Integral Ad Science
DoubleClick

Зафиксированные нарушения

Art. 6(1)(a) GDPR — программатик-реклама срабатывает вопреки прямому сигналу «согласие не дано»

На сайте стоит собственная платформа сбора согласия по стандарту IAB (TCF). В чистом сеансе она формирует строку согласия, которую и передаёт рекламным вендорам, — и эта строка при декодировании показывает, что согласия не дано ни по одной цели обработки (все цели обнулены, дополнительные функции отключены). То есть сигнал однозначен: пользователь ничего не разрешал. Тем не менее целый набор рекламных вендоров отрабатывает несмотря на этот сигнал: Criteo и PubMatic выполняют синхронизацию cookie, ID5 сопоставляет сквозной рекламный идентификатор, OpenX и RTB House подключаются, Google Ad Manager запрашивает рекламу, DoubleClick фиксирует показ, Integral Ad Science проверяет показы. Отдельно показательно, что одно из обращений PubMatic уходит с признаком, будто правила GDPR вообще не применяются (хотя пользователь в Италии). Это не путаница сигнала согласия — здесь сигнал верный и говорит «нет», а рекламная инфраструктура его игнорирует и всё равно ведёт синхронизацию идентификаторов и трекинг. По правилам ЕС хранение и чтение рекламных идентификаторов требует именно предварительного согласия, поэтому ссылки на иные основания этого не покрывают.

Контекст

www.autoscout24.it — крупный онлайн-маркетплейс по продаже новых и подержанных автомобилей. Контролёр данных — AutoScout24. Сайт коммерческий: каталог объявлений, поиск, контакты с продавцами, монетизация через рекламу.

Замер: 155 обращений к 27 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте стоит собственная платформа сбора согласия по стандарту IAB (TCF). Технический стек — это полноценная программатик-реклама с участием множества внешних вендоров.

Кто получает данные

Тут были замечены: Criteo, PubMatic, OpenX, ID5, RTB House, Google, Integral Ad Science.

Это рекламная экосистема реального времени: Google Ad Manager запрашивает и отдаёт рекламу; Criteo и PubMatic синхронизируют cookie; ID5 — провайдер сквозного рекламного идентификатора, сопоставляющий пользователя между сайтами; OpenX и RTB House — рекламные биржи; Integral Ad Science проверяет показы; DoubleClick фиксирует показы. Дополнительно отрабатывает сторонний трекинг-домен, отправляющий пиксель показа. Здесь данные о визите расходятся по множеству независимых рекламных компаний.

Был ли баннер согласия

Да, на сайте есть собственная платформа сбора согласия по стандарту IAB. В чистом сеансе выбор не делался, и она формирует строку согласия по умолчанию. Эту строку рекламные вендоры получают вместе с обращениями — и при декодировании она однозначна: согласия не дано ни по одной цели обработки.

То есть механизм согласия не просто присутствует — он явно сообщает вендорам «нет». Проблема в том, что вендоры этот сигнал не соблюдают.

Что срабатывает до согласия

При сигнале «согласия нет» всё равно отрабатывают:

синхронизация идентификаторов ID5, PubMatic, OpenX, Criteo, RTB House;
запрос рекламы Google Ad Manager;
синхронизация cookie Criteo;
проверка показов Integral Ad Science и фиксация показа DoubleClick;
сторонний трекинг-пиксель.

Принципиально, что это не путаница сигнала, как бывает, когда согласие по ошибке выставлено в «дано». Здесь сигнал верный и говорит «нет» — а рекламная инфраструктура его игнорирует. Синхронизация идентификаторов и установка cookie-сопоставления — это операции рекламного отслеживания, которые по правилам ЕС требуют предварительного согласия.

Отдельно стоит выделить обращение PubMatic, которое уходит с признаком, означающим, что правила GDPR не применяются. Пользователь при этом находится в Италии, то есть под полным действием GDPR. Передача такого признака рекламному вендору фактически снимает с него ограничения европейских правил — что прямо противоречит и факту, и сигналу собственной платформы согласия сайта, которая в это же время сообщает «нет».

Вывод

Autoscout24.it показывает типичную и при этом серьёзную проблему программатик-рекламы. Платформа согласия на сайте есть и работает правильно — она формирует и передаёт вендорам сигнал «согласия нет». Но два десятка рекламных компаний этот сигнал игнорируют: синхронизируют идентификаторы, запрашивают рекламу, фиксируют показы, а одно из обращений и вовсе уходит так, будто GDPR не действует. Главное, что должен вынести читатель: само наличие корректной платформы согласия ничего не гарантирует, если рекламные вендоры не соблюдают её сигнал — а проверяется это только сетевым замером с декодированием строки согласия, и здесь замер показывает, что строка говорит «нет», а реклама работает. Это и есть разрыв между тем, что обещано механизмом согласия, и тем, что реально уходит в рекламную сеть.

Доказательство

Оригинал (разбор)

HAR-файл: it/autoscout24-it-2026-06-20.har

SHA-256: 196c38294d75df24dba8bbc2a54890b23603d57be0167b6f06b31d1f2896502e

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом autoscout24.it.

2. Обстоятельства
Я посетил сайт autoscout24.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит собственная платформа сбора согласия по стандарту IAB (TCF). В чистом сеансе она формирует строку согласия, которую и передаёт рекламным вендорам, — и эта строка при декодировании показывает, что согласия не дано ни по одной цели обработки (все цели обнулены, дополнительные функции отключены). То есть сигнал однозначен: пользователь ничего не разрешал. Тем не менее целый набор рекламных вендоров отрабатывает несмотря на этот сигнал: Criteo и PubMatic выполняют синхронизацию cookie, ID5 сопоставляет сквозной рекламный идентификатор, OpenX и RTB House подключаются, Google Ad Manager запрашивает рекламу, DoubleClick фиксирует показ, Integral Ad Science проверяет показы. Отдельно показательно, что одно из обращений PubMatic уходит с признаком, будто правила GDPR вообще не применяются (хотя пользователь в Италии). Это не путаница сигнала согласия — здесь сигнал верный и говорит «нет», а рекламная инфраструктура его игнорирует и всё равно ведёт синхронизацию идентификаторов и трекинг. По правилам ЕС хранение и чтение рекламных идентификаторов требует именно предварительного согласия, поэтому ссылки на иные основания этого не покрывают.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/autoscout24-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — программатик-реклама срабатывает вопреки прямому сигналу «согласие не дано»

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]