Технический аудит · 2026-06-15

studenti.it

Издательский портал для школьников и студентов

Studenti.it (контролёр Arnoldo Mondadori Editore S.p.A.) — крупный издательский портал для школьников и студентов. Замер главной страницы: 282 обращения, 38 доменов — тяжёлый рекламно-издательский стек. Стоит платформа согласия Iubenda, и Google-слой согласие уважил: аналитика ушла обезличенным пингом, реклама была неперсонализированной, cookie за сеанс не выставлено ни одной. Но сторонние трекеры, не подчиняющиеся сигналу согласия, отрабатывают в первые две секунды без всякого решения: рекламный DMP Permutive (на 106 мс), запись сессий Crazy Egg и Hotjar, аналитика Mapp/Webtrekk и измеритель Comscore. И ключевое отягчающее: это сайт с аудиторией несовершеннолетних, а собственная политика Mondadori обещает, что данные несовершеннолетних не идут на рекламу — тогда как профилирующий DMP и запись поведения стартуют до согласия.

Хронология утечки

106 мс · рекламный DMP подключается первым

Самой первой из стороннего подключается платформа аудиторных данных Permutive и обращается к своему серверу. Это происходит на первом контакте, до загрузки баннера согласия.

678–1500 мс · платформа согласия Iubenda

Загружаются скрипты баннера согласия Iubenda и его конфигурация. То есть механизм согласия ещё только разворачивается.

1300–1346 мс · запись сессий

Подключаются Crazy Egg и Hotjar — инструменты записи сессий и тепловых карт, фиксирующие поведение пользователя на странице. Согласие к этому моменту не запрошено.

1359 мс · аналитика Google, согласие «не дано»

Google Analytics отправляет обезличенный пинг с сигналом согласия в состоянии «denied». Сам Google здесь ведёт себя корректно — данные не персонализируются.

1430–1885 мс · Webtrekk и Comscore

Аналитика Mapp (Webtrekk) и измеритель аудитории Comscore отправляют свои обращения. Comscore шлёт beacon — то есть данные ушли, по-прежнему без согласия.

около 18 секунд · реклама служится неперсонализированной

Позже разворачивается рекламный слой (Google Ad Manager/AdSense, AdKaora, проверка показов Integral Ad Science). Реклама при этом неперсонализированная — Google учёл отсутствие согласия.

Зафиксированные трекеры

Permutive
Comscore
Hotjar
Crazy Egg
Mapp (Webtrekk)
Google Ad Manager / AdSense
AdKaora
Integral Ad Science
Iubenda
Google Funding Choices

Зафиксированные нарушения

Art. 6(1)(a) GDPR — сторонние аналитика, DMP и запись сессий срабатывают до согласия

На сайте стоит платформа сбора согласия Iubenda, и сигнал Google Consent Mode в замере честно показывает, что согласие не дано (состояние «denied»). Соответственно Google повёл себя корректно: аналитика ушла обезличенным пингом, реклама служилась неперсонализированной, ни одной cookie за сеанс не выставлено. Но не-Google трекеры сигнал согласия не учитывают и отрабатывают в первые две секунды, ещё до того как баннер Iubenda успевает догрузить конфигурацию: рекламная платформа данных Permutive подключается на 106 мс, инструменты записи сессий Crazy Egg и Hotjar — около 1,3 секунды, аналитика Mapp (Webtrekk) — на 1,4–1,7 секунды, измеритель аудитории Comscore — на 1,8 секунды, отправляя свой beacon. То есть согласие фактически сдерживает лишь часть Google-тегов, а сторонние аналитика, профилирующий DMP и запись поведения пользователя стартуют без какого-либо решения.
Art. 8 GDPR + принцип добросовестности — слежка до согласия на ресурсе с аудиторией несовершеннолетних

Studenti.it — портал, прямо ориентированный на школьников и студентов (материалы по школьной программе, экзамену матурита, ориентации), то есть его аудитория в значительной части несовершеннолетние. Собственная privacy-политика группы Mondadori это признаёт и обещает повышенную защиту: данные несовершеннолетних не используются для рекламы, доступ в основном с 18 лет, для младше 14 — только с согласия родителей. На этом фоне запуск на первом контакте, без согласия, рекламного DMP Permutive и инструментов записи сессий (Hotjar, Crazy Egg), фиксирующих поведение пользователя, прямо противоречит и обещанию площадки, и усиленной защите, которая полагается несовершеннолетним. Даже при том что в этом сеансе реклама Google служилась неперсонализированной, поведенческие трекеры и платформа аудиторных данных отработали по аудитории, заведомо включающей детей, ещё до запроса согласия.

Контекст

www.studenti.it — итальянский издательский портал для школьников и студентов: материалы по школьной программе, подготовка к экзамену матурита, ориентация, новости образования. Входит в группу Mondadori; контролёр данных — Arnoldo Mondadori Editore S.p.A. Сайт информационно-медийный, с рекламной монетизацией.

Замер: 282 обращения к 38 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Iubenda (плюс отдельный слой Google Funding Choices). Технический стек тяжёлый и типично издательский: аналитика, измерение аудитории, запись сессий, платформа аудиторных данных и программатик-реклама.

Кто получает данные

Тут были замечены: Permutive, Comscore, Hotjar, Crazy Egg, Mapp (Webtrekk).

Это те сторонние получатели, которым данные ушли на первом контакте, до согласия. Permutive — рекламная платформа аудиторных данных (DMP), строящая сегменты. Hotjar и Crazy Egg — запись сессий и тепловые карты, фиксирующие поведение на странице. Comscore и Mapp (Webtrekk) — измерение аудитории и аналитика. Отдельно отмечу честно: рекламный слой Google (Ad Manager, AdSense) и связанные сервисы AdKaora и Integral Ad Science отработали позже и при отсутствии согласия выдали неперсонализированную рекламу — Google здесь правила соблюл.

Был ли баннер согласия

Да, баннер Iubenda присутствует, и его инфраструктура разворачивается примерно с 0,7 до 1,5 секунды. Решение «принять/отклонить» в этом визите не делалось — замер снят в чистом сеансе.

И это надёжно подтверждается сигналом самого сайта: Google Consent Mode передаёт состояние «denied» — согласие не дано. Поэтому всё, что отрабатывает в первые секунды, по определению происходит до согласия.

Что срабатывает до согласия

Главное — здесь чётко видно расслоение. Google-слой состояние «нет согласия» учитывает: аналитика обезличена, реклама неперсонализирована, cookie не ставятся. А сторонние сервисы, которые сигналу Google не подчиняются, отрабатывают сразу:

рекламный DMP Permutive — самым первым, на 106 мс;
запись сессий Crazy Egg и Hotjar — около 1,3 секунды;
аналитика Mapp (Webtrekk) — на 1,4–1,7 секунды;
измеритель аудитории Comscore — на 1,8 секунды, с отправкой beacon.

То есть инфраструктура согласия сдерживает только часть стека. Остальное — профилирующая платформа данных и запись поведения пользователя — стартует без решения.

И отмечу то же, что и в других разборах: cookie за сеанс не выставлено ни одной, но это не значит «чисто». Permutive и Comscore передают данные и без cookie — отсутствие cookie не равно отсутствию слежки.

Аудитория — несовершеннолетние

Это узловой пункт именно для studenti.it. Сайт прямо адресован школьникам и студентам, то есть его аудитория в значительной части несовершеннолетние. Собственная политика Mondadori это признаёт и обещает повышенную защиту: данные несовершеннолетних не используются для рекламы, доступ в основном с 18 лет, а для младше 14 — только с согласия родителей.

На этом фоне запуск без согласия рекламного DMP Permutive и инструментов записи сессий, фиксирующих поведение, по аудитории, заведомо включающей детей, — прямое противоречие. Несовершеннолетним по GDPR полагается усиленная защита (Art. 8), а площадка сама обещала сдержанность — но поведенческие трекеры стартуют раньше любого согласия. Даже корректное поведение Google с неперсонализированной рекламой этого не отменяет: профилирующая платформа данных и запись поведения отработали.

Вывод

Studenti.it показывает важный для серии оттенок: согласие может «частично работать» — и этого недостаточно. Google-слой здесь настроен правильно и при отсутствии согласия отдаёт обезличенную аналитику и неперсонализированную рекламу без cookie. Но сторонние трекеры, не подчиняющиеся сигналу согласия, — рекламный DMP Permutive, запись сессий Hotjar и Crazy Egg, измерители Comscore и Mapp — отрабатывают в первые две секунды без всякого решения пользователя. А поскольку аудитория сайта — школьники, и собственная политика обещает не использовать данные несовершеннолетних для рекламы, запуск профилирующей и поведенческой слежки до согласия бьёт по самой чувствительной группе. Главное, что должен вынести читатель: наличие баннера и даже корректная настройка одного крупного игрока (Google) не делают сайт чистым — проверять надо весь стек, и здесь часть его не дожидается согласия, причём на ресурсе для несовершеннолетних.

Доказательство

Оригинал (разбор)

HAR-файл: it/studenti-it-2026-06-15.har

SHA-256: 0320ab8a84a9c7a5fa7f28e3030881358a43501c7438ffdbffe4b1822e058dd0

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом studenti.it.

2. Обстоятельства
Я посетил сайт studenti.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия Iubenda, и сигнал Google Consent Mode в замере честно показывает, что согласие не дано (состояние «denied»). Соответственно Google повёл себя корректно: аналитика ушла обезличенным пингом, реклама служилась неперсонализированной, ни одной cookie за сеанс не выставлено. Но не-Google трекеры сигнал согласия не учитывают и отрабатывают в первые две секунды, ещё до того как баннер Iubenda успевает догрузить конфигурацию: рекламная платформа данных Permutive подключается на 106 мс, инструменты записи сессий Crazy Egg и Hotjar — около 1,3 секунды, аналитика Mapp (Webtrekk) — на 1,4–1,7 секунды, измеритель аудитории Comscore — на 1,8 секунды, отправляя свой beacon. То есть согласие фактически сдерживает лишь часть Google-тегов, а сторонние аналитика, профилирующий DMP и запись поведения пользователя стартуют без какого-либо решения.

2) Studenti.it — портал, прямо ориентированный на школьников и студентов (материалы по школьной программе, экзамену матурита, ориентации), то есть его аудитория в значительной части несовершеннолетние. Собственная privacy-политика группы Mondadori это признаёт и обещает повышенную защиту: данные несовершеннолетних не используются для рекламы, доступ в основном с 18 лет, для младше 14 — только с согласия родителей. На этом фоне запуск на первом контакте, без согласия, рекламного DMP Permutive и инструментов записи сессий (Hotjar, Crazy Egg), фиксирующих поведение пользователя, прямо противоречит и обещанию площадки, и усиленной защите, которая полагается несовершеннолетним. Даже при том что в этом сеансе реклама Google служилась неперсонализированной, поведенческие трекеры и платформа аудиторных данных отработали по аудитории, заведомо включающей детей, ещё до запроса согласия.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/studenti-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — сторонние аналитика, DMP и запись сессий срабатывают до согласия; Art. 8 GDPR + принцип добросовестности — слежка до согласия на ресурсе с аудиторией несовершеннолетних

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]