EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

cni.it

Национальный совет инженеров Италии
IT

Сайт Национального совета инженеров Италии (CNI), Joomla. 46 запросов, 6 доменов. Политика называет Google Analytics с обработкой в США — а его на сайте нет, реально работает Matomo на домене фонда. Но «приватнее заявленного» это не делает: IP посетителя всё равно уходит в Google США — через jQuery и шрифты Google, нигде не названные.

Хронология утечки

+0–176 мс · загрузка Joomla-стека
Сайт на Joomla. Уже на +172 мс подключается библиотека jQuery с серверов Google, на +176 мс — скрипт баннера согласия с CDN Cloudflare.
+176–289 мс · баннер и аналитика почти одновременно
Шрифты Google загружаются на +201–212 мс. Matomo отправляет замер на +275 мс — раньше, чем подгружается визуальная часть баннера согласия (+289 мс). Идентификатор посетителя в замере присутствует.
+231–275 мс · Matomo, а не Google Analytics
Скрипт и замер Matomo с домена фонда (idsite=22). Ни одного обращения к доменам Google Analytics за весь сеанс. Ни одного cookie. При этом IP уже ушёл в Google — через jQuery и шрифты.

Декларация против факта

Google Analytics (назван в политике, но на сайте отсутствует) — заявлен
+ Matomo (matomo.fondazionecni.org) — реальная аналитика, не названа — не заявлен
+ jQuery с серверов Google и Google Fonts — реальная передача IP в США, не названа — не заявлен
+ Cloudflare CDN (скрипт баннера) — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.cni.it — сайт Consiglio Nazionale degli Ingegneri, Национального совета инженеров Италии: профессионального органа публично-правового статуса, ведущего реестр инженеров. Сделан на Joomla, политика составлена по типовому шаблону конструктора. В замере 46 обращений к шести доменам. Ответственным за обработку данных политика верно указывает сам совет. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

На первый взгляд это простой случай «назвали не тот счётчик». Но при внимательном чтении замера он оказывается интереснее — и в одном месте противоположным первому впечатлению.

Был ли баннер согласия

Баннер согласия на сайте есть, его скрипт грузится с внешнего CDN в самом начале. Но к моменту, когда подгружается его видимая часть (+289 мс), аналитика Matomo уже отправила свой замер (+275 мс). Для первопартийной аналитики, приравненной к техническим средствам, согласие не требуется, так что само по себе это не нарушение. Отмечу лишь, что замер несёт идентификатор посетителя, то есть «анонимность» здесь, как и на ряде других сайтов, с оговоркой.

Аналитика названа не та

Политика однозначно называет единственным инструментом статистики Google Analytics, причём с прямым указанием места обработки — США. А в замере нет ни одного обращения к доменам Google Analytics. Считает посетителей совсем другая система — Matomo, размещённый на домене связанного фонда (Fondazione CNI). Сама по себе эта аналитика приличная: первопартийная по сути, без установки cookie. Но в документе она не упомянута, а назван сервис, которого на сайте нет.

«Приватнее заявленного» — это не так: IP всё равно уходит в Google

Здесь и есть поправка, которую легко пропустить и которая переворачивает простую трактовку. Соблазнительно сказать: раз вместо американского Google Analytics стоит свой Matomo, значит, по факту приватнее, чем обещано. Но это неверно. В замере IP-адрес посетителя всё равно уходит в Google, в США, — только не через аналитику, а через две другие вещи: библиотеку jQuery, которую сайт тянет напрямую с серверов Google, и шрифты Google Fonts. Плюс скрипт баннера согласия подгружается с CDN компании Cloudflare. То есть передача данных за океан здесь есть, просто идёт по другим каналам, чем тот, что описан в политике.

Документ описывает не тот трансфер

Из этого складывается любопытная картина несоответствия в обе стороны. Политика предупреждает о передаче данных в США — но привязывает это предупреждение к Google Analytics, которого на сайте нет. А реальные передачи IP в Google — через jQuery и шрифты — в документе не упомянуты вовсе. Получается, посетителя предупреждают ровно о том, чего не происходит, и молчат ровно о том, что происходит. Для добросовестного информирования это хуже, чем простая опечатка в названии: документ не сходится с реальностью ни тем, что утверждает, ни тем, о чём молчит.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Про первопартийность и отсутствие cookie у Matomo я сужу по самому замеру — идентификатор посетителя в нём виден, а cookie нет. Является ли jQuery и шрифты Google «строго необходимыми техническими» компонентами — вопрос трактовки; но даже в этом случае передача IP в Google остаётся фактом, а в политике она не отражена. Замер охватывает главную страницу; точные адреса серверов в облегчённой выгрузке не сохранены.

Вывод

Сам выбор аналитики здесь скорее в плюс: вместо американского Google Analytics — свой Matomo на домене фонда, без cookie. Но документ описывает реальность неверно сразу в двух смыслах. Он называет инструментом статистики Google Analytics, которого нет, и предупреждает о связанном с ним трансфере в США — тоже несуществующем. И при этом молчит о реальных передачах IP в Google, которые на сайте всё-таки происходят, — через jQuery и шрифты. Главное, что должен вынести читатель: «приватнее на словах» и «приватнее на деле» — не одно и то же; здесь хорошая по сути аналитика соседствует с тихими утечками в Google, о которых политика не говорит, зато подробно предупреждает о том, чего на сайте нет.

Доказательство
Оригинал (разбор)
HAR-файл: it/www-cni-it-2026-06-15.har
SHA-256: e32466e0aab7fb929e163bcce8a12313495f6f685d6ffcb46832115300902b6a
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данныхgaranteprivacy.it 

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом cni.it.

2. Обстоятельства
Я посетил сайт cni.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика однозначно называет единственным инструментом статистики Google Analytics (Google Inc.) с указанием места обработки — США. В замере нет ни одного обращения к доменам Google Analytics. Реально работает Matomo, размещённый на домене связанного фонда (matomo.fondazionecni.org). Сама аналитика приличная — первопартийная по сути, без cookie, — но в документе она не названа вовсе, а назван сервис, которого нет.

2) Политика предупреждает о передаче данных в США применительно к Google Analytics, которого на сайте нет. При этом реальные передачи IP-адреса в Google США всё же происходят — через библиотеку jQuery, подгружаемую с серверов Google, и через шрифты Google Fonts. Эти обращения в документе не упомянуты. Таким образом, описание трансфера неверно в обе стороны: предупреждают о том, чего нет, и молчат о том, что есть.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/cni-it/

3. Нарушенные положения
Art. 13(1)(e) GDPR — назван не тот инструмент аналитики; Art. 13(1)(f) GDPR — описан не тот трансфер за рубеж

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]