Технический аудит · 2026-06-15

confindustria.it

Конфедерация промышленников Италии

Сайт Confindustria — крупнейшей конфедерации промышленников Италии. 110 запросов, 13 доменов. Google Analytics получает статус «аналитика разрешена» раньше, чем баннер согласия вообще показан пользователю: аналитика включена по умолчанию, а не после согласия. Общей cookie-политики в выгрузке нет — предоставлен только документ о рассылке.

Хронология утечки

+211–387 мс · система тегов и заглушка баннера

В первые полсекунды загружаются система управления тегами Google и заглушка баннера CookieScript.

+854–1250 мс · виджет доступности

Подключается виджет доступности AccessiWay (загрузка основного скрипта и конфигурации).

+1191 мс · аналитика уже разрешена, до баннера

Первый замер Google Analytics 4 уходит с флагом, в котором аналитическое хранилище уже разрешено. Баннер согласия пользователю ещё не показан.

+6205 мс · статус не меняется

Второй замер Google Analytics 4 сохраняет тот же флаг разрешённой аналитики — никакого перехода от состояния «по умолчанию» к состоянию «после выбора пользователя» не происходит. Ни одного Set-Cookie за весь сеанс.

Декларация против факта

+ Google Analytics 4 (разрешён по умолчанию) — не заявлен

+ AccessiWay — не заявлен

+ CookieScript — не заявлен

Зафиксированные трекеры

Google Analytics 4 (G-VV02JFVMJB) — analytics_storage разрешён по умолчанию
AccessiWay (acsbapp.com) — виджет доступности
CookieScript (баннер согласия)

Зафиксированные нарушения

Art. 6(1)(a) GDPR — аналитика включена по умолчанию (opt-out)

Первый замер Google Analytics 4 уходит на +1191 мс с флагом состояния согласия, в котором аналитическое хранилище уже разрешено. При этом баннер согласия CookieScript впервые показывается пользователю лишь на +4637 мс — на три с половиной секунды позже. Второй замер аналитики (+6205 мс) сохраняет тот же флаг — то есть переход между «по умолчанию» и «после выбора пользователя» отсутствует. Иными словами, аналитика разрешена заранее, а не выключена до явного согласия, как требует подход opt-in.
Art. 13 GDPR — общая cookie-политика не предоставлена

В выгрузке только PDF-информатива о подписке на рассылку (обработка email через стороннюю платформу рассылок). Общей политики по cookie и трекингу нет, поэтому сравнить заявленные и фактические инструменты (Google Analytics, AccessiWay, сам CookieScript) по доступным данным нельзя. Отмечаю это как ограничение проверки, а не как доказанное умолчание.

Контекст

www.confindustria.it — сайт Confindustria, крупнейшей конфедерации промышленников и работодателей Италии. Управление согласием на сайте ведёт система CookieScript. В замере 110 обращений к 13 доменам. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Случай несложный по составу, но показательный по сути: проблема не в длинном списке трекеров, а в одной настройке согласия.

Кто получает данные

Тут были замечены: Google, AccessiWay, CookieScript.

Предоставлен не тот документ

Сразу обозначу ограничение проверки. Единственный файл в выгрузке — информатива о подписке на рассылку, описывающая обработку адресов электронной почты для новостной рассылки. Общей политики по cookie и трекингу сайта в выгрузке нет. Поэтому сказать, названы ли где-то Google Analytics, виджет доступности или сам CookieScript, по доступным данным я не могу — и не делаю вид, что предоставленный документ покрывает весь сайт. Это честное ограничение, а не доказанное умолчание.

Аналитика разрешена по умолчанию

А вот это видно из самого замера, независимо от текста политики, и это главное. У встроенной аналитики Google есть флаг, который сообщает, разрешён ли сбор данных. Так вот, первый же замер уходит с этим флагом в положении «разрешено» — на +1191 мс. А баннер согласия впервые показывается пользователю только на +4637 мс, на три с половиной секунды позже. То есть аналитика уже работает с разрешённым статусом раньше, чем у человека вообще появилась возможность увидеть баннер и что-то выбрать.

И это не временный «разогрев»: второй замер, уже после показа баннера, сохраняет ровно тот же разрешённый статус. Перехода от состояния по умолчанию к состоянию после выбора пользователя не происходит вовсе. Получается схема «по умолчанию включено»: согласие на аналитику здесь предполагается заранее, а пользователю остаётся разве что отключить сбор постфактум. Это противоположность правильному подходу, при котором аналитика молчит до явного согласия. На фоне банка из этой серии, где по умолчанию стояло «отклонено» и сбор включался строго после согласия, разница видна особенно ясно.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Общую cookie-политику я не видел, поэтому вопрос декларирования инструментов оставляю открытым. Зафиксированного клика по баннеру в замере нет — но сам флаг разрешённой аналитики и его неизменность видны прямо в запросах, и для вывода об «opt-out по умолчанию» этого достаточно. Виджет доступности и сам баннер тоже подключаются без видимой зависимости от выбора пользователя. Замер охватывает главную страницу.

Вывод

Здесь проблема не в обилии слежки — состав скромный, — а в самой настройке согласия. Аналитика Google получает статус «разрешено» раньше, чем баннер вообще показан пользователю, и этот статус не меняется после. То есть сбор данных по умолчанию включён, а не выключен до согласия. Плюс к этому в выгрузке нет общей cookie-политики, по которой можно было бы свериться. Главное, что должен вынести читатель: «баннер согласия есть» и «согласие действительно спрашивают до сбора» — не одно и то же; здесь баннер присутствует, но аналитика стартует, не дожидаясь его.

Доказательство

Оригинал (разбор)

HAR-файл: it/www-confindustria-it-2026-06-15.har

SHA-256: 38686b3bdf156ecef2b83d963c14201cd8ac3f08231267276babeb653652df46

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом confindustria.it.

2. Обстоятельства
Я посетил сайт confindustria.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Первый замер Google Analytics 4 уходит на +1191 мс с флагом состояния согласия, в котором аналитическое хранилище уже разрешено. При этом баннер согласия CookieScript впервые показывается пользователю лишь на +4637 мс — на три с половиной секунды позже. Второй замер аналитики (+6205 мс) сохраняет тот же флаг — то есть переход между «по умолчанию» и «после выбора пользователя» отсутствует. Иными словами, аналитика разрешена заранее, а не выключена до явного согласия, как требует подход opt-in.

2) В выгрузке только PDF-информатива о подписке на рассылку (обработка email через стороннюю платформу рассылок). Общей политики по cookie и трекингу нет, поэтому сравнить заявленные и фактические инструменты (Google Analytics, AccessiWay, сам CookieScript) по доступным данным нельзя. Отмечаю это как ограничение проверки, а не как доказанное умолчание.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/confindustria-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — аналитика включена по умолчанию (opt-out); Art. 13 GDPR — общая cookie-политика не предоставлена

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]