Технический аудит · 2026-06-20

subito.it

Доска объявлений

Subito.it — крупнейшая в Италии доска объявлений. Замер главной страницы: 172 обращения, 17 доменов. Стоит платформа сбора согласия Didomi по стандарту IAB, и в чистом сеансе её строка согласия означает «согласия нет ни по одной цели». В пользу сайта: рекламная отдача Google это соблюдает — фактический запрос рекламы уходит с этой строкой, то есть реклама неперсонализированная. Но до согласия отрабатывают другие сервисы: маркетинговый SDK атрибуции AppsFlyer, рекламный тег Google AdSense с аналитикой, разрешённой по умолчанию, и собственная аналитическая служба сайта. То есть рекламная отдача отказ уважает, а маркетинговая атрибуция и аналитика стартуют раньше согласия.

Хронология утечки

320 мс · платформа согласия и рекламная библиотека

Одновременно загружаются платформа сбора согласия Didomi и рекламная библиотека Google Ad Manager. Библиотека на этом этапе только подготавливает рекламные места.

2222 мс · собственная аналитика Subito

Собственная аналитическая служба сайта (collector) начинает собирать события. Это первичная аналитика на домене Subito, до согласия.

2377 мс · маркетинговый SDK AppsFlyer

Загружается SDK маркетинговой атрибуции AppsFlyer. Он значится партнёром в самой системе согласия сайта, то есть его запуск требует предварительного согласия — а оно не дано.

2674 мс · рекламный тег AdSense

Рекламный тег Google AdSense отправляет служебное обращение. Сигнал согласия показывает, что аналитика разрешена по умолчанию.

около 89 секунд · отдача рекламы с признаком «нет согласия»

Фактический запрос рекламы Google уходит с приложенной строкой «нет согласия» — реклама неперсонализированная. Эту часть Google соблюдает корректно.

Декларация против факта

✓ AppsFlyer — заявлен

Зафиксированные трекеры

Google Ad Manager
Google AdSense
AppsFlyer (атрибуция)
Собственная аналитика Subito (collector)
Didomi

Зафиксированные нарушения

Art. 6(1)(a) GDPR — маркетинговая атрибуция и аналитика срабатывают до согласия

На сайте стоит платформа сбора согласия Didomi по стандарту IAB (TCF), и в чистом сеансе её строка согласия при декодировании означает, что согласия не дано ни по одной цели. Рекламная отдача Google это соблюдает: фактический запрос рекламы уходит с приложенной строкой «нет согласия», то есть реклама неперсонализированная, и это засчитываем сайту. Но другие сервисы отрабатывают до согласия. Загружается маркетинговый SDK атрибуции AppsFlyer — а он значится партнёром в самой системе согласия сайта, то есть его запуск требует предварительного выбора. Рекламный тег Google AdSense отправляет служебное обращение с аналитикой, разрешённой по умолчанию. Собственная аналитическая служба сайта (collector) начинает собирать события. Всё это происходит на первых секундах, тогда как согласие не дано. Маркетинговая атрибуция и аналитика — нетехнические цели, требующие согласия, а здесь они стартуют раньше него.

Контекст

www.subito.it — крупнейшая в Италии площадка частных объявлений (купля-продажа товаров, авто, недвижимость, услуги). Контролёр данных — оператор Subito. Сайт коммерческий, монетизируется в том числе издательской рекламой.

Замер: 172 обращения к 17 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Didomi по стандарту IAB. Технический стек включает издательскую рекламу Google, маркетинговую атрибуцию и собственную аналитику.

Кто получает данные

Тут были замечены: Google, AppsFlyer.

Google присутствует издательской рекламой (Ad Manager и AdSense) — Subito показывает рекламные блоки. AppsFlyer — сервис маркетинговой атрибуции, отслеживающий эффективность рекламных кампаний. Дополнительно работает собственная аналитическая служба сайта.

Был ли баннер согласия

Да, на сайте есть платформа сбора согласия Didomi по стандарту IAB. В чистом сеансе она формирует строку согласия, которая при декодировании означает: согласия не дано ни по одной цели.

И здесь важно отметить положительное: рекламная отдача Google эту строку соблюдает. Фактический запрос рекламы уходит с приложенным признаком «нет согласия», то есть реклама неперсонализированная. Это засчитываем сайту.

Что срабатывает до согласия

До согласия отрабатывает:

маркетинговый SDK атрибуции AppsFlyer — а он значится партнёром в самой системе согласия сайта;
рекламный тег Google AdSense — с аналитикой, разрешённой по умолчанию;
собственная аналитическая служба сайта.

Маркетинговая атрибуция и аналитика — нетехнические цели, требующие согласия. AppsFlyer вдобавок прямо перечислен как партнёр в системе согласия сайта, то есть площадка сама признаёт, что его запуск должен идти после выбора. Здесь он загружается на первых секундах.

Смешанная картина

У Subito картина двойственная, и это стоит разделить. Рекламная отдача Google устроена правильно: при отсутствии согласия реклама неперсонализированная, признак «нет согласия» передаётся. Но параллельно маркетинговый SDK и аналитика стартуют раньше согласия. То есть одна часть стека отказ соблюдает, а другая — нет.

Вывод

Subito.it — умеренный случай со смешанной картиной. Рекламная отдача Google настроена на соблюдение согласия — при отсутствии согласия реклама неперсонализированная, и это выгодно отличает сайт. Но маркетинговый SDK атрибуции AppsFlyer и рекламный тег с аналитикой по умолчанию отрабатывают до согласия, причём AppsFlyer прямо назван партнёром в системе согласия сайта. Главное, что должен вынести читатель: соблюдение согласия рекламной отдачей — это правильно, но оно не закрывает вопрос, если рядом маркетинговая атрибуция и аналитика включаются раньше выбора. Достаточно перевести их запуск в режим ожидания согласия — так же, как это уже сделано для рекламной отдачи."

Доказательство

Оригинал (разбор)

HAR-файл: it/subito-it-2026-06-20.har

SHA-256: 0a3584756babc83e9a3e39a314cecabaf8f38431a32a7f1b86ed72f87a242aba

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом subito.it.

2. Обстоятельства
Я посетил сайт subito.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия Didomi по стандарту IAB (TCF), и в чистом сеансе её строка согласия при декодировании означает, что согласия не дано ни по одной цели. Рекламная отдача Google это соблюдает: фактический запрос рекламы уходит с приложенной строкой «нет согласия», то есть реклама неперсонализированная, и это засчитываем сайту. Но другие сервисы отрабатывают до согласия. Загружается маркетинговый SDK атрибуции AppsFlyer — а он значится партнёром в самой системе согласия сайта, то есть его запуск требует предварительного выбора. Рекламный тег Google AdSense отправляет служебное обращение с аналитикой, разрешённой по умолчанию. Собственная аналитическая служба сайта (collector) начинает собирать события. Всё это происходит на первых секундах, тогда как согласие не дано. Маркетинговая атрибуция и аналитика — нетехнические цели, требующие согласия, а здесь они стартуют раньше него.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/subito-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — маркетинговая атрибуция и аналитика срабатывают до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]