EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

difesa.it

Министерство обороны Италии
IT

Сайт Министерства обороны Италии. 141 запрос, 12 доменов. Собственная аналитика реализована образцово — с маскировкой IP и без cookie, как и обещано. Но политика прямо заявляет, что данные за пределы ЕС не уходят, тогда как два видео YouTube в обычном режиме отдают IP посетителя в Google (США), а карта операций — американскому картографу Esri. Всё это до согласия, которого в замере нет.

Хронология утечки

+0–815 мс · загрузка стека
Сайт на стандартной теме итальянских госсайтов. Основной код и шрифты — со своего домена. Скрипты баннера согласия загружены в общем бандле на +652–655 мс.
+652–655 мс · баннер загружен, но решения нет
Файлы баннера согласия присутствуют, но в замере нет ни одного события принятия или отказа. И, как видно дальше, встроенные ролики YouTube и тайлы карты он не задерживает: они грузятся независимо от баннера.
+2535–5798 мс · аналитика, карта в США, YouTube и реклама Google
Своя аналитика отправляет замеры (+2571, +3308 мс) — с маскировкой IP, без cookie. Параллельно карта операций тянет тайлы с серверов Esri / ArcGIS в США (+2535 мс). Два видео YouTube в обычном режиме (+2882 мс) подтягивают рекламный DoubleClick (+4035 мс), его скрипт статуса рекламы (+4046 мс) и служебный домен Google (+5540 мс). Чуть позже YouTube досылает события логирования (+7718, +8737 мс). Всё это без зафиксированного согласия.

Декларация против факта

YouTube (перечислен в списке сторонних сервисов) — заявлен
Своя аналитика с маскировкой IP (соответствует политике) — заявлен
+ Google DoubleClick (рекламная инфраструктура) — не заявлен
+ Служебный домен Google (WAA) — не заявлен
+ Картографические тайлы Esri / ArcGIS (США) — не заявлен
+ Передача IP в США (политика обещает обратное) — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

difesa.it — официальный портал Министерства обороны Италии. Сделан на стандартной теме итальянских госсайтов, с интерактивной картой операций. В замере 141 обращение к 12 доменам. Ответственным за обработку данных политика верно указывает само министерство. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика — то есть отражает то, что видит обычный посетитель.

И сразу скажу главное наблюдение: этот сайт показывает два совершенно разных уровня аккуратности в пределах одной страницы. Одну вещь здесь сделали образцово. А другую — ровно наоборот, и тем заметнее на фоне первой.

Аналитика — сделана правильно

Начну с похвалы. Веб-аналитика на сайте — собственная, на государственной платформе, развёрнутая на поддомене самого министерства. Политика честно описывает, что именно собирается: IP-адрес, причём маскированный — последние два байта обнуляются, так что точного посетителя по нему не вычислить, — а также тип браузера, системы и устройства. Замер это подтверждает: аналитика не ставит ни одного cookie и не присваивает посетителю постоянной метки. Здесь обещанное и сделанное совпадают.

YouTube подтягивает рекламную машину Google

А вот дальше — расхождение. На главной встроены два видео с YouTube, и встроены они в обычном режиме, а не в приватном. Разница принципиальная: обычный режим, едва страница открылась, сам по себе подтягивает рекламную инфраструктуру Google — домен DoubleClick, его скрипт статуса рекламы и служебные домены Google, — даже если посетитель не нажимал «play». Именно это и видно в замере: реклама Google активна с четвёртой секунды. Чуть позже YouTube ещё и досылает события логирования о просмотре. Политика же обещает, что подобные сторонние сервисы включаются только после согласия через баннер, — а согласия в замере нет вовсе, и баннер эти ролики ничем не задерживает.

Карта операций уводит IP в США

То, что легко пропустить за более заметным YouTube. Интерактивная карта на сайте загружает свою подложку — картографические тайлы — с серверов компании Esri (сервис ArcGIS), а это американский поставщик. Происходит это уже на +2535 мс, в момент отрисовки карты, и при каждом таком обращении IP-адрес посетителя уходит в США. Карта функциональна и нужна сайту, но получатель данных — иностранная компания, и в политике он не назван.

Политика обещает не передавать данные за рубеж — а передаёт

Здесь всё сходится в одну точку, и это самое серьёзное. Политика министерства прямо заявляет две вещи: что данные не передаются третьим лицам сверх перечисленных и что они не передаются в страны за пределами ЕС. Перечислены при этом только YouTube и соцсети. А по факту IP посетителя в первые же секунды уходит в США сразу двумя потоками — в Google (через рекламную начинку YouTube) и в Esri (через карту). Ни рекламный Google, ни Esri в списке нет, и обещание «за пределы ЕС не передаём» расходится с реальностью напрямую. На сайте оборонного ведомства, где чувствителен даже сам факт того, кто его читает, такое расхождение нельзя считать формальностью.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Содержимое замеров собственной аналитики уходит не в адресе запроса, а в теле, которое в этой облегчённой выгрузке не сохранено, — поэтому про маскировку IP я опираюсь на текст политики, и он согласуется с тем, что cookie и идентификатор отсутствуют. Отсутствие события согласия в замере может означать как то, что баннер не получил нажатия, так и то, что он в принципе не задерживает сторонний контент, — но для итога это не меняет картину: сторонние домены сработали независимо. Замер охватывает главную страницу, точные IP-адреса серверов в выгрузке не сохранены, географию беру по принадлежности доменов и компаний.

Вывод

В пределах одного сайта — два разных подхода к приватности. Аналитику министерство сделало образцово: своя, с маскировкой IP, без cookie, ровно как написано в политике. Но рядом с этим главная страница в первые секунды отдаёт IP посетителя в Google — через видео YouTube в обычном режиме, тянущие за собой рекламный DoubleClick, — и американскому картографу Esri через карту операций. И всё это прямо вопреки собственному обещанию политики не передавать данные ни лишним третьим лицам, ни за пределы ЕС, и до какого-либо согласия. Главное, что должен вынести читатель: министерство, очевидно, умеет делать правильно — оно доказало это своей аналитикой, — а значит, утечка читателей оборонного портала в Google и в США это не неумение, а недосмотр, который тем более стоило бы устранить.

Доказательство
Оригинал (разбор)
HAR-файл: it/difesa-it-2026-06-15.har
SHA-256: a7f4340c338d5444488836f8e762e9ce1335c0fce9731e0366946d12f7105952
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данныхgaranteprivacy.it 

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом difesa.it.

2. Обстоятельства
Я посетил сайт difesa.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика прямо заявляет, что данные не передаются ни третьим лицам сверх перечисленных, ни в третьи страны за пределами ЕС. На деле при открытии главной страницы IP-адрес посетителя уходит в США сразу по двум направлениям: к Google — через встроенные в обычном режиме видео YouTube, которые подтягивают рекламный DoubleClick и служебные домены Google, — и к американской картографической компании Esri, чьи тайлы загружает интерактивная карта операций. Оба получателя — компании США, и ни о какой такой передаче политика не предупреждает. Для сайта оборонного ведомства это расхождение особенно весомо.

2) Политика обещает, что нетехнические и сторонние сервисы активируются только после согласия пользователя через баннер. В замере видео YouTube и связанные с ними рекламные и служебные домены Google активны на +2882–5798 мс, при этом никакого зафиксированного согласия в замере нет: скрипты баннера загружены, но событие принятия отсутствует, и встроенные ролики он не задерживает.

3) Видео встроены в обычном режиме YouTube вместо приватного. Именно из-за этого простое открытие главной страницы — без всякого запуска видео — автоматически подтягивает рекламную инфраструктуру Google. Приватный режим встраивания этого бы не делал.

4) YouTube и соцсети в политике перечислены, но рекламный DoubleClick, служебный домен Google и картографический сервис Esri / ArcGIS не упомянуты ни по имени, ни как категории получателей данных.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/difesa-it/

3. Нарушенные положения
Art. 13(1)(f) и Глава V GDPR — передача в США вопреки прямому обещанию; Собственная политика сайта / Art. 6(1)(a) GDPR — сторонний контент раньше согласия; Art. 25 GDPR — приватность не заложена в конструкцию; Art. 13(1)(e) GDPR — часть получателей не названа

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]