Технический аудит · 2026-06-15

gse.it

Государственный оператор услуг в сфере энергетики Италии

Сайт GSE (Gestore dei Servizi Energetici), государственного оператора услуг в энергетике. 123 запроса, 10 доменов. Баннера согласия нет, а на сайте работают сразу две системы записи поведения — модуль сессий ShinyStat и тепловые карты Siteimprove, — плюс рекламный пиксель. Конфигурация трекинга при этом несёт название компании двадцатилетней давности.

Хронология утечки

+170 мс · ShinyStat бьёт первым

Сайт на платформе Microsoft SharePoint. Уже на +170 мс уходит первый замер ShinyStat — с параметром USER=grtn, то есть с аббревиатурой прежнего, до 2005 года, названия компании.

+2297–2325 мс · запись сессий и Siteimprove

ShinyStat подгружает модуль записи сессий (sesrec.min.js) и отправляет служебные замеры, а следом загружается аналитика Siteimprove.

+2887–4696 мс · тепловые карты

Siteimprove делает снимок страницы (image.aspx) и три обращения к функции тепловых карт (heat.aspx) — фиксация того, куда смотрит и где кликает посетитель.

+6392–6699 мс · полный ShinyStat

ShinyStat разворачивает полный трекинг (getcod.cgi, getsd.cgi, collect.cgi, as.cgi). В сеансе также зафиксирован запрос к рекламной сети advm.brznetwork.com. Ни одного Set-Cookie за весь сеанс.

Декларация против факта

+ ShinyStat (с записью сессий) — не заявлен

+ Siteimprove Analytics + тепловые карты — не заявлен

+ Рекламный пиксель BRZ Network — не заявлен

Зафиксированные трекеры

ShinyStat (codicebusiness/ssa/optin.shinystat.com) — счётчик с модулем записи сессий (sesrec), параметр USER=grtn
Siteimprove Analytics + тепловые карты (heat.aspx)
Рекламный пиксель BRZ Network (advm.brznetwork.com)

Зафиксированные нарушения

Art. 6(1)(a) GDPR / рекомендации регулятора — запись поведения без согласия

Механизма согласия на сайте нет вовсе. При этом работают сразу два инструмента, фиксирующих поведение посетителя: ShinyStat подгружает модуль записи сессий (sesrec.min.js), а Siteimprove строит тепловые карты (три обращения к heat.aspx). По позиции итальянского регулятора мониторинг поведения — это не технический cookie, а отдельный инструмент, для которого требуется согласие. Базовый анонимный счётчик ещё мог бы работать без спроса, но запись сессий и тепловые карты под это исключение не подпадают.
Art. 13(1)(e) GDPR — рекламный пиксель и трекеры не названы

Помимо аналитики, в замере зафиксирован запрос к рекламной сети (advm.brznetwork.com) — рекламный пиксель на сайте государственного оператора. Ни он, ни ShinyStat, ни Siteimprove не названы в предоставленном документе. Политика отсылает к отдельной странице о cookie, содержание которой в выгрузку не вошло и которое подтвердить не удалось.
Art. 5(1) GDPR — конфигурация трекинга устарела

Запросы ShinyStat несут параметр USER=grtn — это аббревиатура прежнего названия компании (GRTN), действовавшего до переименования в 2005 году. Признак того, что настройка трекинга не пересматривалась около двадцати лет.

Контекст

gse.it — сайт GSE S.p.A. (Gestore dei Servizi Energetici), государственной компании, которая управляет стимулами и услугами в сфере возобновляемой энергетики в Италии. Сделан на платформе Microsoft SharePoint. В замере 123 обращения к десяти доменам. Ответственным за обработку данных верно указана сама компания. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

На первый взгляд тут просто пара счётчиков. Но при ближайшем рассмотрении набор оказывается тяжелее, чем кажется, и работает он без всякого согласия.

Кто получает данные

Тут были замечены: ShinyStat, Siteimprove, BRZ Network.

Был ли баннер согласия

Баннера нет вовсе — никакого механизма согласия на сайте не обнаружено. Тут нужна точность: базовый анонимный счётчик посещений по итальянским правилам можно приравнять к техническим средствам и не спрашивать за него согласия. Поэтому проблема не в самом факте подсчёта, а в том, что вместе со счётчиками работают инструменты другого рода, которые под это послабление не подпадают.

Две системы записи поведения сразу

Главное. Помимо обычного подсчёта, на сайте работают сразу два инструмента, фиксирующих поведение конкретного посетителя. ShinyStat подгружает модуль записи сессий — он отслеживает действия пользователя на странице. А Siteimprove строит тепловые карты: три отдельных обращения к соответствующей функции фиксируют, куда смотрит и где кликает посетитель. Это уже не подсчёт «сколько всего визитов», а наблюдение за поведением, и по позиции итальянского регулятора для такого наблюдения требуется согласие. Согласия же здесь нет вообще. Концептуально это то же самое, что встречавшаяся в серии запись сессий на государственных сайтах, — только реализованная другими вендорами.

Рекламный пиксель на сайте госоператора

Отдельная находка. В замере есть обращение к рекламной сети — рекламный пиксель на сайте государственного оператора энергоуслуг. Что он там делает, из самого замера не следует, но его присутствие на госсайте само по себе вопрос: рекламные сети существуют, чтобы собирать аудиторию для таргетинга, а здесь для этого нет ни основания, ни упоминания в документе.

Конфигурация двадцатилетней давности

Характерная деталь. Замеры ShinyStat несут параметр с аббревиатурой прежнего названия компании, которое она носила до переименования в 2005 году. Это говорит о том, что настройку трекинга не пересматривали около двадцати лет — она просто работает по инерции с давно заведёнными параметрами.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Политика отсылает к отдельной странице о cookie, и эту страницу мне достать не удалось, поэтому подтвердить, названы ли на ней ShinyStat и Siteimprove, я не могу — речь о неполноте доступного, а не о доказанном умолчании. Оба аналитических вендора европейские и заявляют анонимизацию, так что базовый счётчик, возможно, и раскрыт там как технический; но запись сессий, тепловые карты и рекламный пиксель — иной разговор. Точное время обращения к рекламной сети я отдельно не фиксировал, отмечаю сам факт. Замер охватывает главную страницу.

Вывод

Государственный оператор энергоуслуг держит на сайте сразу две системы наблюдения за поведением — запись сессий и тепловые карты, — а также рекламный пиксель, и всё это работает без какого-либо баннера согласия, на конфигурации трекинга, не обновлявшейся около двадцати лет. Базовый подсчёт посещений сам по себе мог бы быть законным и без спроса, но наблюдение за поведением и рекламная сеть под это послабление не подпадают. Главное, что должен вынести читатель: даже там, где «всего пара счётчиков», стоит присмотреться — здесь за этой парой скрываются запись поведения и реклама, о которых посетителя не спрашивают и в доступном документе не предупреждают.

Доказательство

Оригинал (разбор)

HAR-файл: it/gse-it-2026-06-15.har

SHA-256: acf29faf80b8f0be7666ca81ea1b7f51d6d37a9dbff763922891bfa6a2472ca6

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом gse.it.

2. Обстоятельства
Я посетил сайт gse.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Механизма согласия на сайте нет вовсе. При этом работают сразу два инструмента, фиксирующих поведение посетителя: ShinyStat подгружает модуль записи сессий (sesrec.min.js), а Siteimprove строит тепловые карты (три обращения к heat.aspx). По позиции итальянского регулятора мониторинг поведения — это не технический cookie, а отдельный инструмент, для которого требуется согласие. Базовый анонимный счётчик ещё мог бы работать без спроса, но запись сессий и тепловые карты под это исключение не подпадают.

2) Помимо аналитики, в замере зафиксирован запрос к рекламной сети (advm.brznetwork.com) — рекламный пиксель на сайте государственного оператора. Ни он, ни ShinyStat, ни Siteimprove не названы в предоставленном документе. Политика отсылает к отдельной странице о cookie, содержание которой в выгрузку не вошло и которое подтвердить не удалось.

3) Запросы ShinyStat несут параметр USER=grtn — это аббревиатура прежнего названия компании (GRTN), действовавшего до переименования в 2005 году. Признак того, что настройка трекинга не пересматривалась около двадцати лет.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/gse-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR / рекомендации регулятора — запись поведения без согласия; Art. 13(1)(e) GDPR — рекламный пиксель и трекеры не названы; Art. 5(1) GDPR — конфигурация трекинга устарела

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]