EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

uniroma1.it

Государственный университет — Sapienza, Рим
IT

Sapienza — крупнейший университет Италии и один из крупнейших в Европе. Замер снят на разделе для выпускников: 89 обращений, всего 3 домена. Это чистый случай серии: ни Google, ни рекламы, ни профилирования, ни единой выставленной cookie за весь сеанс. Аналитика — только государственная Web Analytics Italia (AgID, движок Matomo): она анонимизирует IP, держит данные в госинфраструктуре Италии, согласия не требует и прямо названа в cookie-политике. Единственное стороннее обращение помимо неё — загрузка иконочного шрифта Font Awesome с американского CDN; cookie он не ставит и данные не собирает, но в политике не упомянут. Нарушений не зафиксировано.

Хронология утечки

223 мс · баннер согласия и иконочный шрифт
Загружаются стили собственного баннера cookie (механизм встроенный, на Drupal) и иконочный шрифт Font Awesome со стороннего CDN maxcdn.bootstrapcdn.com. CDN американский — то есть IP посетителя уходит в США уже на этом шаге.
589 мс · государственная аналитика
Загружается скрипт аналитики Web Analytics Italia (движок Matomo, оператор AgID). Это единственная аналитика на сайте.
732 мс · просмотр страницы уходит в WAI
Аналитике WAI уходит сообщение о просмотре страницы (раздел «Laureati»). Передача анонимизирована, данные остаются в государственной инфраструктуре Италии; этот тип сбора согласия не требует.

Декларация против факта

Web Analytics Italia — заявлен
+ Font Awesome (BootstrapCDN) — не заявлен

Зафиксированные трекеры

Контекст

www.uniroma1.it — портал Sapienza, государственного университета Рима, крупнейшего в Италии и одного из крупнейших в Европе. Ответственный за обработку — Sapienza — Università degli studi di Roma (Рим, площадь Альдо Моро, 5). Замер снят на разделе для выпускников.

Замер: 89 обращений всего к 3 доменам, снят на чистом браузере Edge без VPN и блокировщика. Из трёх доменов один — собственный, второй — государственная аналитика, третий — сторонний CDN со статическим шрифтом. Баннер cookie у сайта собственный, встроенный. На фоне серии это самый чистый сайт: рекламно-аналитического слоя нет вовсе.

Кто получает данные

Тут были замечены: Web Analytics Italia (AgID), BootstrapCDN.

Обе роли — мягкие. Web Analytics Italia — государственная платформа аналитики, на которую Sapienza перешла по указаниям AgID: анонимизирует IP, хранит данные на серверах в Италии и предназначена работать без согласия. BootstrapCDN — сторонний американский CDN, с которого загружается иконочный шрифт Font Awesome; он не ставит cookie и не собирает данные, но самим фактом загрузки получает IP посетителя.

Был ли баннер согласия

Да. Баннер cookie у сайта собственный, встроенный (на Drupal), и появляется на первом контакте. Решения «принял/отклонил» в этом визите не делалось — замер снят в чистом сеансе.

Но ключевое здесь в другом: согласие в принципе не является условием, которое тут обходят. За весь сеанс сайт не выставил ни одной cookie, а единственная аналитика — государственная WAI — относится к категории сбора, не требующего согласия. То есть до решения пользователя не срабатывает ничего, что этого решения требовало бы.

Что срабатывает до согласия

Практически ничего, требующего внимания:

  • загрузка иконочного шрифта Font Awesome со стороннего американского CDN (статический ресурс, без cookie);
  • государственная аналитика WAI — анонимизированная и освобождённая от согласия по своей конструкции.

Ни рекламных обращений, ни пикселей соцсетей, ни Google Analytics, ни сторонних бирж, ни идентификаторов посетителя в сеансе не зафиксировано. Cookie не выставлены вовсе.

Единственное наблюдение — шрифт с CDN в США

Отметить стоит ровно одно, и мягко. Иконочный шрифт Font Awesome грузится с американского CDN (maxcdn.bootstrapcdn.com). Сам по себе он cookie не ставит и трекингом не занимается, но при загрузке любой внешний ресурс получает IP-адрес посетителя — а IP относится к персональным данным. В cookie-политике Sapienza этот сторонний CDN не назван: политика честно описывает WAI и сессионные cookie, но про загрузку шрифта из США умалчивает. Это не сбор данных и не профилирование — лишь точечная несогласованность между «только технические cookie, свои и третьих сторон» в тексте политики и фактической передачей IP внешнему CDN в США. Держать в поле зрения как наблюдение, не как нарушение.

Вывод

Sapienza — образец того, как может выглядеть госсайт без рекламно-аналитического слоя. Профилирования нет, рекламных получателей нет, Google и соцсетей нет, cookie не выставляются, а единственная аналитика — государственная, анонимизированная и заранее освобождённая от согласия, причём прямо названная в политике. Главное, что должен вынести читатель: это рабочий контрпример всей серии — техническая возможность вести крупный публичный портал, ничего не сливая до согласия, существует и реализуется. Единственная мелочь, которую честно стоит отметить, — иконочный шрифт с американского CDN, передающий IP за пределы ЕС и не упомянутый в cookie-политике; на оценку «нарушений не зафиксировано» она не влияет, но показывает, что даже у чистых сайтов остаётся куда подтянуть детали..

Доказательство
Оригинал (разбор)
HAR-файл: it/uniroma1-it-2026-06-15.har
SHA-256: fd425c12c6d565e81865c9eec7e99a7a76c1f55ace1a2889611a7dca1a29e68b
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.