Технический аудит · 2026-06-15

federcostruzioni.it

Федерация строительной отрасли Италии

Сайт Federcostruzioni — федерации отраслевых ассоциаций строительного сектора Италии (WordPress). 130 запросов, 8 доменов. Политика категорично исключает любые методы трекинга кроме сессионных cookie — но на главной активны виджет соцсетей AddToAny, обычный YouTube и Google Fonts, передающие IP в США.

Хронология утечки

+0–186 мс · WordPress и виджеты

Сайт на WordPress. В общем потоке подключаются плагин согласия (Cookie Law Info / CookieYes) и виджет соцсетей AddToAny — практически одновременно.

+565–569 мс · AddToAny разворачивается

Подгружается основной код AddToAny и его служебный фрейм соцсетей.

+741–847 мс · обычный YouTube

Плагин ленты YouTube подключает инфраструктуру www.youtube.com (обычный, не приватный режим), превью видео с i.ytimg.com и аватар канала. Уже это передаёт IP посетителя в Google. Ни одного Set-Cookie за весь сеанс.

Декларация против факта

+ AddToAny — не заявлен

+ YouTube (обычный режим) — не заявлен

+ Google Fonts — не заявлен

Зафиксированные трекеры

AddToAny (static.addtoany.com) — виджет соцсетей с трекингом
YouTube в обычном режиме (www.youtube.com, i.ytimg.com) — передаёт IP в Google, США
Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — передают IP в Google, США
Font Awesome с BootstrapCDN

Зафиксированные нарушения

Art. 5(1)(a) и Art. 13(1)(e) GDPR — категоричное «трекинга нет» против факта

Политика прямо и без оговорок заявляет: cookie для профилирования не используются и никакие другие методы трекинга не применяются — только строго необходимые сессионные cookie. Это прямо опровергается замером: на главной странице активны виджет соцсетей AddToAny, встроенные видео YouTube в обычном режиме и шрифты Google Fonts. Все они обращаются к серверам третьих сторон, передавая IP-адрес посетителя. Это не пробел в перечне, а противоречие самому утверждению документа.
Art. 13(1)(f) GDPR — передача IP в США без раскрытия

Обычный режим встраивания YouTube и шрифты Google передают IP посетителя в Google (США), AddToAny — также американский сервис. Раздела о передаче данных за пределы ЕС в политике нет. Плагин согласия на сайте установлен, но ни один из этих сервисов он не задерживает — они грузятся независимо от него.

Контекст

www.federcostruzioni.it — сайт Federcostruzioni, федерации отраслевых ассоциаций строительного сектора Италии, объединяющей крупные отраслевые объединения. Сделан на WordPress. В замере 130 обращений к восьми доменам. Ответственным за обработку данных верно указана сама федерация, и политика, в отличие от некоторых сайтов серии, опирается на действующий регламент. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Случай интересен не объёмом слежки — он скромный, — а тем, что документ здесь не умалчивает, а прямо утверждает обратное реальности.

Кто получает данные

Тут были замечены: AddToAny, Google.

Был ли баннер согласия

Плагин согласия на сайте установлен — его код загружается в начале визита. Но задачи своей он не выполняет: виджет соцсетей, шрифты Google и встроенные видео грузятся независимо от него, не дожидаясь никакого выбора пользователя. То есть баннер присутствует формально, а трекеры от него не зависят.

Категоричное «трекинга нет» — против факта

Здесь главное. Большинство сайтов серии грешат умолчанием — не называют используемые инструменты. Этот идёт дальше и заявляет прямо: профилирующих cookie нет, и никакие другие методы трекинга не используются, только строго необходимые сессионные cookie. Замер опровергает это сразу в трёх местах. На главной странице работает виджет соцсетей AddToAny, который по своей природе собирает данные о посетителях. Встроены видео YouTube. Подгружаются шрифты Google. Все три обращаются к чужим серверам и передают им IP-адрес посетителя. Это не пробел в списке — это противоречие самому тексту, который уверяет, что ничего подобного нет.

Куда уходят данные — в Google, США

Из трёх сторонних сервисов два — это Google: встроенный YouTube и шрифты. Причём видео подключено в обычном режиме, а не в приватном, поэтому уже сама загрузка плеера обращается к Google и уводит IP в США. Шрифты — та же история: часть из них сайт держит у себя, но часть всё равно тянет с серверов Google. AddToAny — тоже американский сервис. Раздела о передаче данных за пределы ЕС в политике нет вовсе. Чинится всё это стандартно: приватный режим для видео и перенос шрифтов на свой сервер, тем более что часть из них там уже лежит.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Сбор данных виджетом AddToAny — это его известная бизнес-модель, а не вывод из самого замера; в замере я вижу факт его загрузки и обращений к его серверам. У встроенного видео более тяжёлые обращения к Google происходят при запуске, но и загрузка плеера в обычном режиме уже передаёт IP. Содержимое cookie в облегчённой выгрузке напрямую не видно. Замер охватывает главную страницу.

Вывод

Объём слежки тут небольшой, но проблема не в нём, а в категоричности документа. Политика прямо утверждает, что никаких методов трекинга, кроме сессионных cookie, не используется, — а сама же главная страница опровергает это трижды: виджет соцсетей, обычный YouTube и шрифты Google, все тихо обращаются к чужим серверам, по большей части к Google в США, и установленный плагин согласия не задерживает ни один из них. Главное, что должен вынести читатель: одно дело — забыть упомянуть инструмент, и совсем другое — прямо написать «у нас этого нет», когда оно есть; здесь именно второй случай, и исправляется он в пару технических движений.

Доказательство

Оригинал (разбор)

HAR-файл: it/federcostruzioni-it-2026-06-15.har

SHA-256: dc478acb00b4abf485aedd4bf779a77114e67b31e6a829d2ce1ad1ff22b5e9e9

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом federcostruzioni.it.

2. Обстоятельства
Я посетил сайт federcostruzioni.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика прямо и без оговорок заявляет: cookie для профилирования не используются и никакие другие методы трекинга не применяются — только строго необходимые сессионные cookie. Это прямо опровергается замером: на главной странице активны виджет соцсетей AddToAny, встроенные видео YouTube в обычном режиме и шрифты Google Fonts. Все они обращаются к серверам третьих сторон, передавая IP-адрес посетителя. Это не пробел в перечне, а противоречие самому утверждению документа.

2) Обычный режим встраивания YouTube и шрифты Google передают IP посетителя в Google (США), AddToAny — также американский сервис. Раздела о передаче данных за пределы ЕС в политике нет. Плагин согласия на сайте установлен, но ни один из этих сервисов он не задерживает — они грузятся независимо от него.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/federcostruzioni-it/

3. Нарушенные положения
Art. 5(1)(a) и Art. 13(1)(e) GDPR — категоричное «трекинга нет» против факта; Art. 13(1)(f) GDPR — передача IP в США без раскрытия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]