Технический аудит · 2026-06-15

comune.roma.it

Город Рим

Сайт города Рима (Roma Capitale). 272 запроса, 23 домена. Два параллельных Matomo, Google Analytics 4, чат-бот через инфраструктуру Microsoft, Google-перевод, виджет доступности и видеопортал — обширный технологический стек, из которого политика не называет ни одного инструмента, ограничиваясь общими данными навигации и плагинами соцсетей.

Хронология утечки

+2529 мс · подготовка перевода

Подгружается оформление встроенного переводчика Google.

+2720–2722 мс · виджеты и самописный бар разом

Почти одновременно загружаются: самостоятельно разработанный cookie-бар (romacookiebar.js, bannerhome.min.js с параметрами thirdparty=1&always=1), переводчик Google (translate.google.com), скрипты чат-бота Julia и встраивание виджета доступности AccessiWay (embeds.accessiway.com). Всё это — до какого-либо подтверждения согласия.

+3287 мс · аналитика загружается

Загрузка скрипта Matomo.

+3354–3952 мс · чат-бот разворачивается

Подключается endpoint чат-бота (julia.comune.roma.it) и его основной программный модуль.

+5644 мс · два Matomo разом

Два разных экземпляра Matomo на одном домене, но в разных путях (/matomo/, idsite=1 и /matomo-apprc/, idsite=5), отправляют замер одного и того же визита практически в одну миллисекунду. Оба несут идентификатор посетителя.

+5780–5783 мс · доступность активна

Загружается основной скрипт AccessiWay (acsbapp.com) и уходит служебный запрос данных виджета доступности.

+6840 мс · чат-бот через Microsoft

Чат-бот Julia выходит на инфраструктуру Microsoft Bot Framework (europe.directline.botframework.com) — канал, через который проходит диалог пользователя.

+7265 мс и далее · Google Analytics 4

Google Analytics 4 (G-FWY4SWRLK5) отправляет реальные замеры посещения — на +7265, +9627 и +15054 мс, — причём без какого-либо флага состояния согласия. Подключается позже всех. Ни одного Set-Cookie за весь сеанс из 272 запросов.

Декларация против факта

+ Matomo (/matomo/, idsite=1) — не заявлен

+ Matomo (/matomo-apprc/, idsite=5) — не заявлен

+ Google Analytics 4 — не заявлен

+ Чат-бот Julia + Microsoft Bot Framework — не заявлен

+ Google Translate — не заявлен

+ AccessiWay — не заявлен

+ Streamcloud — не заявлен

Зафиксированные трекеры

Matomo (/matomo/, idsite=1) — несёт идентификатор посетителя
Matomo (/matomo-apprc/, idsite=5) — несёт идентификатор посетителя
Google Analytics 4 (G-FWY4SWRLK5) — реальные хиты без флага согласия
Чат-бот Julia через Microsoft Bot Framework (europe.directline.botframework.com)
Google Translate (translate.google.com, translate.googleapis.com)
AccessiWay (acsbapp.com, embeds.accessiway.com) — виджет доступности
Streamcloud (collector-ovp.streamcloud.it) — видеопортал
Iubenda (виджет доступности)

Зафиксированные нарушения

Art. 13(1)(e) GDPR — реальный стек не задекларирован

Политика описывает только общие данные навигации и отдельно — плагины соцсетей (с оговоркой, что без активного использования они cookie не ставят). Реально же на сайте работают два экземпляра Matomo (оба с идентификатором посетителя), Google Analytics 4, чат-бот через инфраструктуру Microsoft, Google Translate, виджет доступности AccessiWay и видеопортал на платформе Streamcloud. Ни один из этих инструментов в политике не назван.
Art. 13(1)(f) GDPR — передача в США без раскрытия

Среди получателей данных — Google, Microsoft и AccessiWay (американские сервисы). Google Analytics при этом отправляет реальные замеры без какого-либо флага состояния согласия. Раздела о передаче данных за пределы ЕС/ЕЭЗ в политике нет вовсе, хотя такая передача фактически происходит.

Контекст

www.comune.roma.it — официальный сайт муниципалитета Рима, столичной коммуны Roma Capitale. Платформа собственной разработки, с самостоятельно сделанным cookie-баром. В замере 272 обращения к 23 доменам — включая собственный видеопортал с потоковым видео. Ответственным за обработку данных верно указана сама Roma Capitale. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Сайт столицы несёт обширный технологический стек: двойная аналитика, чат-бот, перевод, доступность, видео. И почти ничего из этого в политике не описано.

Кто получает данные

Тут были замечены: Google, Microsoft, AccessiWay, Streamcloud, Iubenda.

Был ли баннер согласия

Согласие здесь устроено своеобразно. Управление cookie ведёт самописный бар Roma Capitale, который загружается рано, на +2721 мс, причём с параметрами, разрешающими сторонние компоненты. А система Iubenda, которую на других сайтах используют как баннер согласия, здесь подключена только для виджета доступности — к управлению cookie она отношения не имеет. Зафиксированного события «принял/отклонил» в замере нет, и аналитика отрабатывает позже без признаков того, что бар её удерживал. Показательно, что Google Analytics уходит вообще без флага состояния согласия — то есть отправляет реальные замеры, не сверяясь с выбором пользователя.

Третий случай двойного Matomo в серии

На сайте параллельно работают два разных экземпляра Matomo — на одном домене, но по разным путям, с разными идентификаторами площадки. Оба фиксируют один и тот же просмотр страницы почти синхронно, и оба несут идентификатор посетителя. Это уже третий такой случай после агентства по лекарствам и исследовательского совета. Похоже, параллельная установка нескольких независимых счётчиков — для разных систем или подрядчиков одной организации — частое явление в крупных итальянских госструктурах. Но в отличие от исследовательского совета, где счётчики работали без идентификатора, здесь оба присваивают посетителю метку, так что «анонимность» этой статистики условна.

Чат-бот, который ходит через Microsoft

Отдельного внимания заслуживает чат-бот Julia. Технически он работает не на инфраструктуре самого города, а через облачную платформу Microsoft. Это значит, что диалог пользователя с ботом проходит через сервис американской компании. На сайте мэрии, где человек может задать вопрос с личными деталями, это существенно — но ни сам чат-бот, ни тем более то, через чью инфраструктуру он работает, в политике не упомянуты.

Политика описывает только самое общее

Документ ограничивается двумя сюжетами: общими данными навигации, которые сайт получает неизбежно, и плагинами соцсетей. Есть в нём и точная по-своему фраза — что cookie настроены так, чтобы ничего не ставить при заходе на страницу; и это даже подтверждается замером, где ни одного Set-Cookie действительно нет. Но дальше этой узкой правды документ молчит обо всём, что реально работает: о двух счётчиках с идентификатором посетителя, о Google Analytics, о чат-боте на инфраструктуре Microsoft, о переводчике Google, о виджете доступности и видеопортале. Раздела о передаче данных за пределы ЕЭЗ нет вовсе, хотя получатели — американские.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Зафиксированного события согласия в замере нет, поэтому про работу самописного бара я сужу по порядку загрузки, а не по чьему-то клику; но отсутствие у Google Analytics флага состояния согласия — факт из самих запросов. Содержимое диалога с чат-ботом я не наблюдаю и не утверждаю, что в него что-то вводили, — речь о канале, через который он проходит. Идентификатор посетителя у обоих счётчиков виден прямо в параметрах. Замер охватывает публичную главную страницу.

Вывод

Сайт столицы Италии несёт большой и разнородный технологический стек — два счётчика с идентификатором посетителя, Google Analytics без оглядки на согласие, чат-бот через инфраструктуру Microsoft, перевод от Google, виджет доступности и видеопортал. Политика же описывает лишь самые общие, неизбежные данные навигации и плагины соцсетей, не называя ни одного из этих инструментов и умалчивая о передаче данных за океан. Главное, что должен вынести читатель: чем крупнее госструктура, тем длиннее у неё технологический хвост — и тем заметнее разрыв между тем, что сайт делает на самом деле, и тем коротким абзацем, которым он это описывает.

Доказательство

Оригинал (разбор)

HAR-файл: it/www-comune-roma-it-2026-06-15.har

SHA-256: 1bbecf4b6861d724f11aa891d9267d3591efb7b406a4fa23b965a2fe551014ad

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом comune.roma.it.

2. Обстоятельства
Я посетил сайт comune.roma.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика описывает только общие данные навигации и отдельно — плагины соцсетей (с оговоркой, что без активного использования они cookie не ставят). Реально же на сайте работают два экземпляра Matomo (оба с идентификатором посетителя), Google Analytics 4, чат-бот через инфраструктуру Microsoft, Google Translate, виджет доступности AccessiWay и видеопортал на платформе Streamcloud. Ни один из этих инструментов в политике не назван.

2) Среди получателей данных — Google, Microsoft и AccessiWay (американские сервисы). Google Analytics при этом отправляет реальные замеры без какого-либо флага состояния согласия. Раздела о передаче данных за пределы ЕС/ЕЭЗ в политике нет вовсе, хотя такая передача фактически происходит.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/comune-roma-it/

3. Нарушенные положения
Art. 13(1)(e) GDPR — реальный стек не задекларирован; Art. 13(1)(f) GDPR — передача в США без раскрытия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]