Технический аудит · 2026-06-20

yoox.com

Люксовый онлайн-магазин одежды

Yoox.com — люксовый онлайн-магазин одежды (группа YNAP). Замер главной страницы: 70 обращений, 13 доменов. Набор сдержаннее, чем у многих коммерческих сайтов: рекламной программатик-биржи здесь нет, рекламные cookie в сеансе не ставятся. Но есть проблема тайминга. Стоит платформа согласия Commanders Act, однако её центр выбора предъявляется поздно — примерно к 39-й секунде, тогда как Google Analytics отправляет просмотр страницы уже на 2,8 секунды, причём с аналитикой, разрешённой по умолчанию. То есть аналитика включена без выбора пользователя. Параллельно до согласия отрабатывает антифрод Riskified, собирающий характеристики устройства. Прозрачность при этом хорошая: все сервисы названы в политике — вопрос именно в том, что они срабатывают до согласия.

Хронология утечки

439–463 мс · менеджер тегов и мониторинг

Загружаются менеджер тегов Commanders Act и мониторинг производительности Akamai mPulse. Это подготовка стека до предъявления выбора.

1756–2000 мс · система тегов и скрипт согласия

Подключаются Google Tag Manager и скрипт платформы согласия Trust Commander. Механизм согласия загружается, но его центр выбора пока не предъявлен.

2809 мс · Google Analytics шлёт просмотр

Через собственный серверный контейнер тегов Google Analytics отправляет событие просмотра страницы. Сигнал согласия показывает, что хранилище аналитики разрешено по умолчанию — то есть аналитика включена без выбора пользователя.

2967–4439 мс · антифрод Riskified собирает данные устройства

Антифрод-сервис Riskified отправляет серию обращений и передаёт на свои серверы характеристики устройства. Политика трактует его как необходимый для защиты от мошенничества, но сбор отпечатка устройства происходит до согласия.

7829 мс · обращение к Google Analytics

Google Analytics обращается напрямую к своему домену сбора. Сигнал согласия прежний — аналитика разрешена, реклама нет.

Декларация против факта

✓ Google Analytics — заявлен

✓ Riskified — заявлен

✓ Dynatrace — заявлен

✓ Akamai — заявлен

Зафиксированные трекеры

Google Analytics 4
Riskified (антифрод)
Dynatrace
Akamai mPulse
Commanders Act / Trust Commander
Серверный GTM

Зафиксированные нарушения

Art. 6(1)(a) GDPR — аналитика включена по умолчанию и срабатывает до согласия

На сайте стоит платформа сбора согласия Commanders Act (Trust Commander), но её центр выбора в этом сеансе появляется поздно — примерно к 39-й секунде. При этом Google Analytics отправляет событие просмотра страницы уже на 2,8 секунды, и сигнал согласия Google в этом обращении показывает, что хранилище аналитики разрешено по умолчанию, а рекламное — запрещено. То есть аналитическая часть включена без какого-либо выбора пользователя: она отрабатывает раньше, чем центр согласия вообще предъявлен. Аналитика Google по правилам ЕС не относится к освобождённой от согласия (данные уходят в Google в США), поэтому её запуск с разрешением по умолчанию, до предъявления выбора, — обработка без согласия. Дополнительно до согласия отрабатывает антифрод-сервис Riskified, который собирает характеристики устройства и отправляет их на свои серверы; политика трактует его как необходимый для защиты от мошенничества, но по факту сбор отпечатка устройства также происходит до выбора пользователя.

Контекст

www.yoox.com — люксовый онлайн-магазин одежды и аксессуаров, часть группы YNAP. Контролёр данных — оператор YOOX. Сайт коммерческий: каталог, поиск, корзина, личный кабинет.

Замер: 70 обращений к 13 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Commanders Act (Trust Commander). Тяжёлой рекламной программатик-инфраструктуры здесь нет — стек ближе к аналитике, мониторингу производительности и защите от мошенничества.

Кто получает данные

Тут были замечены: Google, Riskified.

Google получает аналитику (Google Analytics), причём событие просмотра отправляется через собственный серверный контейнер тегов YOOX. Riskified — сервис защиты от мошенничества, собирающий характеристики устройства для оценки риска. Дополнительно работают мониторинг производительности Dynatrace и Akamai mPulse — это технические сервисы наблюдения за скоростью и ошибками. Платформа согласия Commanders Act сама по себе претензией не является.

Был ли баннер согласия

Платформа сбора согласия на сайте есть, но её центр выбора в этом сеансе предъявляется поздно — примерно к 39-й секунде. К этому моменту аналитика и антифрод уже отработали. Решение в сеансе не делалось — замер снят в чистом сеансе.

Ключевое: сигнал согласия Google в обращениях аналитики показывает, что хранилище аналитики разрешено по умолчанию. То есть аналитика включена не после выбора, а изначально.

Что срабатывает до согласия

До предъявления выбора отрабатывает:

Google Analytics — событие просмотра страницы, с аналитикой, разрешённой по умолчанию;
антифрод Riskified — сбор характеристик устройства;
мониторинг производительности Dynatrace и Akamai mPulse (технические).

Аналитика Google по правилам ЕС не относится к освобождённой от согласия, поскольку данные уходят в Google в США. Её запуск с разрешением по умолчанию, до того как пользователю вообще предъявлен выбор, — это обработка без согласия. Антифрод Riskified политика относит к необходимым для защиты от мошенничества; такая трактовка спорна для главной страницы без оформления заказа, но в любом случае сбор отпечатка устройства здесь происходит до согласия.

Что в пользу сайта

Стоит отметить и положительное. Рекламной программатик-биржи на сайте нет: рекламное хранилище в сигнале согласия помечено как запрещённое, реклама неперсонализированная, рекламные cookie в сеансе не выставлены. Прозрачность хорошая — все задействованные сервисы (аналитика, антифрод, мониторинг) названы в политике. То есть проблема не в скрытых получателях и не в рекламном сливе, а именно в тайминге: аналитика включена по умолчанию и срабатывает раньше выбора.

Вывод

Yoox.com — умеренный коммерческий случай. Тяжёлой рекламы и сторонних рекламных бирж нет, рекламные cookie не ставятся, а все сервисы честно названы в политике. Но аналитика Google включена по умолчанию и отправляет данные до того, как пользователю предъявлен центр выбора, а антифрод собирает характеристики устройства тоже до согласия. Главное, что должен вынести читатель: даже без рекламного слоя сайт обязан дожидаться согласия для аналитики — её разрешение по умолчанию означает, что выбор пользователя фактически не предшествует сбору. Достаточно перевести аналитику в режим ожидания согласия и предъявлять центр выбора сразу, а не к 39-й секунде."

Доказательство

Оригинал (разбор)

HAR-файл: it/yoox-com-2026-06-20.har

SHA-256: 707d5ea5dd726942a743f7dd40f1891f921ca4dfe1c80b23c0060162c98e2c55

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом yoox.com.

2. Обстоятельства
Я посетил сайт yoox.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 20.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте стоит платформа сбора согласия Commanders Act (Trust Commander), но её центр выбора в этом сеансе появляется поздно — примерно к 39-й секунде. При этом Google Analytics отправляет событие просмотра страницы уже на 2,8 секунды, и сигнал согласия Google в этом обращении показывает, что хранилище аналитики разрешено по умолчанию, а рекламное — запрещено. То есть аналитическая часть включена без какого-либо выбора пользователя: она отрабатывает раньше, чем центр согласия вообще предъявлен. Аналитика Google по правилам ЕС не относится к освобождённой от согласия (данные уходят в Google в США), поэтому её запуск с разрешением по умолчанию, до предъявления выбора, — обработка без согласия. Дополнительно до согласия отрабатывает антифрод-сервис Riskified, который собирает характеристики устройства и отправляет их на свои серверы; политика трактует его как необходимый для защиты от мошенничества, но по факту сбор отпечатка устройства также происходит до выбора пользователя.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/yoox-com/

3. Нарушенные положения
Art. 6(1)(a) GDPR — аналитика включена по умолчанию и срабатывает до согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]