Технический аудит · 2026-06-15

dt.mef.gov.it

Департамент казначейства Минэкономики и финансов Италии

Сайт Департамента казначейства Министерства экономики и финансов Италии (управление госдолгом и финансовыми рынками). 57 запросов, 2 домена. Аналитика заявлена как анонимная агрегированная статистика, но фактически работает модуль записи сессий на той же государственной инфраструктуре Sogei, что и у ряда других госсайтов серии. За пределы страны при этом не уходит ничего.

Хронология утечки

+0–85 мс · загрузка портала и модуля согласия

Собственная система управления контентом на инфраструктуре Sogei. В общем потоке подключается типовой модуль согласия AGID (cookie_consent.js) — но, как видно дальше, аналитику он не задерживает.

+1064–1068 мс · замер и запись сессий одновременно

Замер посещения (idsite=54, несёт идентификатор посетителя) и сразу следом активация модуля записи сессий — почти в одну миллисекунду. Ни одного Set-Cookie за весь сеанс.

Декларация против факта

+ Matomo на инфраструктуре Sogei — с записью сессий — не заявлен

Зафиксированные трекеры

Matomo на инфраструктуре Sogei (aaws-aanalytics.sogei.it, idsite=54) — несёт идентификатор посетителя, с активным модулем записи сессий

Зафиксированные нарушения

Art. 13(1)(e) и Art. 5(1)(a) GDPR — запись сессий не задекларирована

Политика описывает аналитические cookie как приравненные к техническим, собирающие данные в агрегированном виде, и отрицает профилирование, не называя конкретного инструмента. Фактически наряду с обычным замером посещения активен модуль записи сессий (HeatmapSessionRecording, configs.php отвечает 200) на государственной инфраструктуре Sogei. Это фиксация поведения посетителя, а не агрегированная статистика, и в документе она не упомянута. Тот же модуль на той же инфраструктуре Sogei уже подтверждён в серии на сайтах налоговой службы, агентства кибербезопасности, правительства и департамента финансов.
Art. 6(1)(a) GDPR / рекомендации регулятора — запись поведения без согласия

Типовой модуль согласия AGID на сайте установлен, но аналитику и запись сессий он не задерживает — они отрабатывают независимо от него. По позиции итальянского регулятора мониторинг поведения требует согласия и не может проходить как технический cookie.

Контекст

www.dt.mef.gov.it — сайт Департамента казначейства (Dipartimento del Tesoro), входящего в структуру Министерства экономики и финансов Италии: управление государственным долгом и финансовыми рынками. Сделан на системе управления контентом государственного подрядчика Sogei. В замере 57 обращений к двум доменам: самому сайту и аналитике Sogei. Ответственным за обработку данных верно указан сам департамент. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

К этому моменту серии случай уже знакомый до детали: государственный сайт на инфраструктуре Sogei — и всё тот же модуль записи сессий.

Кто получает данные

Тут была замечена: Sogei (государственная, Италия). Иностранных и коммерческих получателей нет.

Был ли баннер согласия

Типовой модуль согласия AGID на сайте установлен, его код загружается в начале визита. Но аналитику и запись сессий он не задерживает — они отрабатывают независимо. Базовый анонимный подсчёт по итальянским правилам можно вести без согласия, а вот запись поведения под это послабление не подпадает. Замер при этом несёт идентификатор посетителя, так что «анонимность» здесь с оговоркой.

Тот же модуль записи сессий — снова

Помимо обычного замера на сайте активен модуль записи сессий: запрос к нему проходит успешно, то есть он реально работает. Это тот же инструмент на той же инфраструктуре Sogei, что уже встречался в серии на сайтах налоговой службы, агентства кибербезопасности, правительства и департамента финансов. Повторяемость на разных ведомствах однозначно указывает: это не настройка отдельного сайта, а свойство общей государственной платформы.

Куда уходят данные — никуда за рубеж

Существенный плюс. Вся аналитика — на государственной инфраструктуре Sogei, за пределы страны не уходит ничего. Проблема здесь не в трансфере, а в том, что о записи поведения умалчивают и не спрашивают согласия.

Чего по замеру утверждать нельзя

Об активности записи сессий я сужу по успешному ответу её модуля; содержимое самой записи в замере не видно. Идентификатор посетителя виден прямо в замере. Аналитика государственная, поэтому вопрос географии серверов не стоит. Замер охватывает главную страницу.

Вывод

Ещё один государственный сайт с тем же системным пробелом: аналитика обещана как анонимная и агрегированная, а на деле наряду с подсчётом ведётся запись сессий, и счётчик помечает посетителя идентификатором. Всё это остаётся в государственной инфраструктуре — реальный плюс, — но системный модуль записи сессий Sogei всплывает в очередной раз, теперь на казначействе. Главное, что должен вынести читатель: это уже не совпадение, а закономерность платформы, и закрывать пробел нужно на её уровне — либо описать запись сессий в политиках, либо спрашивать на неё согласие.

Доказательство

Оригинал (разбор)

HAR-файл: it/www-dt-mef-gov-it-2026-06-15.har

SHA-256: dae99f01f4ea99106a394e34cb158209eebabbda3413091110357ce26b49e3dd

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом dt.mef.gov.it.

2. Обстоятельства
Я посетил сайт dt.mef.gov.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика описывает аналитические cookie как приравненные к техническим, собирающие данные в агрегированном виде, и отрицает профилирование, не называя конкретного инструмента. Фактически наряду с обычным замером посещения активен модуль записи сессий (HeatmapSessionRecording, configs.php отвечает 200) на государственной инфраструктуре Sogei. Это фиксация поведения посетителя, а не агрегированная статистика, и в документе она не упомянута. Тот же модуль на той же инфраструктуре Sogei уже подтверждён в серии на сайтах налоговой службы, агентства кибербезопасности, правительства и департамента финансов.

2) Типовой модуль согласия AGID на сайте установлен, но аналитику и запись сессий он не задерживает — они отрабатывают независимо от него. По позиции итальянского регулятора мониторинг поведения требует согласия и не может проходить как технический cookie.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/dt-mef-gov-it/

3. Нарушенные положения
Art. 13(1)(e) и Art. 5(1)(a) GDPR — запись сессий не задекларирована; Art. 6(1)(a) GDPR / рекомендации регулятора — запись поведения без согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]