EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

mit.gov.it

Министерство инфраструктуры и транспорта Италии
IT

Сайт Министерства инфраструктуры и транспорта Италии. 159 запросов, 17 доменов. Политику открыли целиком и сверили с замером — и она противоречит сама себе: обещает, что данные не уходят за пределы ЕС и что слежки нет, тогда как IP и параметры браузера улетают на серверы Google и Twitter в США в первые секунды, ещё до появления баннера согласия на 5,3-й секунде.

Хронология утечки

+0–650 мс · сайт грузится, баннера ещё нет
Загружается основа сайта на Drupal. На +585 мс приходит только оформление будущего баннера согласия — стили готовы, но самого окна на экране ещё нет.
+651–5273 мс · данные уже уходят, баннера всё ещё нет
В первую же секунду подключаются виджет Twitter (+651 мс) и видео YouTube в обычном режиме (+657 мс). Государственная аналитика отправляет первый замер посещения на +831 мс. Следом за YouTube приходят системы Google: рекламный DoubleClick (+1208 мс) и служебный домен (+2686 мс). К этой секунде IP и параметры браузера посетителя уже ушли на серверы за пределами ЕС. Баннер согласия всё это время не показан.
+5274 мс · баннер появляется; +12054 мс · решение записано
Только на 5,3-й секунде баннер физически появляется на экране — раньше нажать на нём ничего нельзя. Решение фиксируется на 12-й секунде. К этому моменту все сторонние системы уже отработали.

Декларация против факта

YouTube (названа прямо, со ссылкой на политику Google) — заявлен
Сторонний контент и соцсети в целом (общая отсылка) — заявлен
+ Государственная аналитика Web Analytics Italia (политика называет вместо неё Google Analytics) — не заявлен
+ Google DoubleClick и служебный домен Google (приходят с обычным YouTube, по имени не названы; при этом политика заявляет, что слежки нет) — не заявлен
+ Передача данных в США (политика обещает, что за пределы ЕС данные не уходят) — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

mit.gov.it — официальный сайт Министерства инфраструктуры и транспорта Италии. Сделан на распространённой системе Drupal, в едином оформлении итальянских госсайтов. В снятом замере — 159 обращений к 17 разным доменам.

Политику я открыл сам, на живом сайте, и прочитал целиком. Важная деталь: страница оказалась чистой и полностью доступной — одна связная страница, без лабиринта вложенных ссылок и без блокировки доступа. Документ свежий, последнее изменение помечено апрелем 2026 года, то есть всего за пару месяцев до аудита — списать расхождения на «устаревший текст» не получится. А значит, проблема здесь не в том, что политику спрятали, а в том, что она прямо расходится с тем, что сайт делает на самом деле. Именно эти расхождения видно только при сверке полного текста с замером — и именно их ниже разбираем по пунктам.

Был ли баннер согласия — и когда

Да, баннер есть. Но появляется он не сразу, а с большой задержкой — и это один из ключевых сюжетов разбора.

  • +0,6 сек — на странице уже работает виджет Twitter.
  • +0,7 сек — запускается видео YouTube в обычном (не приватном) режиме.
  • +0,8 сек — государственная аналитика отправляет первый замер посещения.
  • +1,2 сек — подключается рекламная система Google DoubleClick.
  • +2,7 сек — подключается служебный домен Google.
  • +5,3 сек — и только теперь баннер согласия физически появляется на экране. До этой секунды нажать на нём что-либо невозможно.
  • +12 сек — записывается решение по cookie.

Простыми словами: первые пять секунд баннера на экране нет, а пять сторонних подключений уже состоялись. Для обычного посетителя это значит, что данные о нём начали уходить раньше, чем ему вообще дали возможность согласиться или отказаться.

Данные уходят в США — а политика обещает, что за пределы ЕС они не уходят

Это самое серьёзное расхождение. В политике есть отдельный, недвусмысленный абзац: данные за пределы Европейской экономической зоны не передаются.

Замер показывает обратное. Уже в первые секунды браузер посетителя обращается к серверам Google (видео YouTube, рекламный DoubleClick, служебный домен Google) и к серверам Twitter — а это американские компании. При каждом таком обращении автоматически уходит IP-адрес посетителя и подробные параметры его браузера. И тут есть тонкость, которая делает расхождение особенно весомым: сама же политика в разделе о собираемых данных прямо называет IP-адрес персональными данными. Получается, документ обещает не передавать за пределы ЕС именно то, что по факту передаёт в первые же секунды.

«Профилирования нет, других трекеров нет» — но DoubleClick и телеметрия Twitter есть

Ещё один абзац политики утверждает: cookie для профилирования не используются и никакие другие методы отслеживания не применяются.

В замере, однако, есть рекламная система Google DoubleClick — домен, чья прямая задача связана с рекламным профилированием, — и есть событийная телеметрия Twitter, которая отдельными запросами шлёт данные о действиях на странице. Можно спорить, насколько активно они профилируют в данном конкретном случае, но само их присутствие уже опровергает фразу «других методов отслеживания не применяется». Заявление документа и поведение сайта расходятся.

Аналитику назвали не ту — и описали противоречиво

Политика обещает, что статистику собирает Google Analytics. На сайте его нет ни в каком виде — считает посетителей совсем другая система, государственная итальянская аналитика, которую документ не упоминает ни разу.

Сам этот сбор, скорее всего, в рамках закона: он государственный, обезличенный и по итальянским правилам приравнен к техническим cookie. Но в его замере видно, что вместе с фактом посещения уходят идентификатор посетителя, разрешение экрана и подробные данные о браузере — то есть это не чистый анонимный подсчёт, а как минимум обезличенный профиль устройства. Это стоит держать в уме, хотя на грань закона оно, вероятно, не выходит.

Отдельно бросается в глаза, что документ описывает аналитику сам себе противореча: в одном разделе сказано, что аналитика приравнена к техническим cookie и согласие для неё не требуется, а в другом — что аналитические cookie ставятся только после явного согласия. Две взаимоисключающие формулировки в одном тексте — посетитель при всём желании не поймёт, какое правило действует.

Цепочка: одно встроенное видео тащит за собой шесть доменов

Стоит показать, откуда вообще берётся такая россыпь сторонних подключений. Сам сайт напрямую обращается лишь к нескольким внешним адресам. Но видео YouTube, встроенное в обычном режиме (а не в приватном, который не ставит лишних cookie), работает как ворота: именно оно затем подтягивает рекламный DoubleClick, служебные домены Google и прочее. То есть значительная часть всей сторонней нагрузки — следствие одного-единственного решения: вставить ролик в обычном режиме вместо приватного. Заменили бы режим встраивания — и половина этих доменов просто не появилась бы.

Чего по замеру утверждать нельзя

Честные оговорки, чтобы отделить факты от догадок.

Во-первых, запись решения на 12-й секунде — это не доказательство, что «пользователь нажал согласие». Замер снимался автоматически, живой человек на кнопки не жал. Это решение могло быть и сохранённым с прошлого визита, и сработавшим по умолчанию.

Во-вторых, по этому замеру не видно точных сроков жизни cookie — в выгрузке не сохранены технические заголовки, которые их задают. Поэтому мы говорим о факте подключения систем, но не беремся называть, на сколько дней или месяцев они оседают в браузере.

В-третьих, у меня нет исходного кода скриптов страницы — только их вызовы. Выводы о цепочке подключений сделаны по тому, кто кого вызвал в замере, а не по разбору самого кода.

Вывод

Картина у этого сайта тяжелее, чем кажется на первый взгляд, и дело не в спрятанной политике — она как раз открытая и свежая. Дело в том, что текст противоречит поведению сразу по нескольким направлениям. Документ обещает, что данные не уходят за пределы ЕС, — а IP и параметры браузера улетают на серверы Google и Twitter в США в первые секунды. Обещает, что слежки нет, — а в замере рекламный DoubleClick и телеметрия Twitter. Называет Google Analytics, которого нет, и сам себе противоречит в вопросе согласия на аналитику. И всё стороннее подключается до того, как баннер согласия вообще появится на экране, на 5,3-й секунде. Главное, что должен вынести читатель: на этом сайте обещания политики и реальные действия — это два разных документа.

Доказательство
Оригинал (разбор)
HAR-файл: it/mit-gov-it-2026-06-15.har
SHA-256: a474b3c5e0e0be18dfdfb0d11a132cc6bed9ef42ea5a17bafd36792b0bee487e
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данныхgaranteprivacy.it 

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом mit.gov.it.

2. Обстоятельства
Я посетил сайт mit.gov.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика прямо заявляет, что персональные данные не передаются за пределы Европейской экономической зоны. На деле в первые секунды загрузки IP-адрес посетителя и параметры его браузера уходят на серверы Google (видео YouTube, рекламный DoubleClick, служебный домен Google) и Twitter — компаний США. Это и есть передача данных за пределы ЕС, прямо вопреки тексту политики. Сам же документ относит IP-адрес к персональным данным.

2) Политика отдельным абзацем утверждает: профилирование не ведётся и никакие другие методы отслеживания не применяются. В замере при этом присутствует рекламная система Google DoubleClick и событийная телеметрия Twitter, которые отправляют данные о посетителе. Заявление документа не соответствует поведению сайта.

3) Политика обещает, что статистику собирает Google Analytics. На сайте его нет — работает другая, государственная итальянская система аналитики, не упомянутая в документе ни разу. Сам сбор, вероятно, законен, но посетителю сообщают неверные сведения о том, кто и чем его измеряет. Вдобавок документ описывает аналитику противоречиво: в одном разделе — «согласие не требуется», в другом — «только после явного согласия».

4) Политика обещает, что сторонний контент подключается только после явного согласия. На деле баннер согласия появляется на экране лишь на 5,3-й секунде, а видео YouTube, виджет Twitter и подтянутые ими системы Google устанавливают соединение уже в первую секунду — задолго до того, как человеку дали выбрать.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/mit-gov-it/

3. Нарушенные положения
Art. 13(1)(f) и Глава V GDPR — передача данных за пределы ЕС; Внутреннее противоречие политики — заявлено «слежки нет»; Art. 13(1)(e) GDPR — неверно названный инструмент аналитики; Art. 6(1)(a) GDPR — сторонний контент раньше согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]