Технический аудит · 2026-06-15

acquistinretepa.it

Портал государственных закупок Италии

Consip — центральная платформа госзакупок Италии, подведомственная Минфину. 115 запросов, 4 домена. Политика категорично отрицает любой трекинг и любую передачу данных за рубеж. Фактически активны Google Analytics, Dynatrace и встроенный чат Salesforce — без cookie-баннера.

Хронология утечки

+0–244 мс · загрузка OpenCMS/Angular-стека

OpenCMS, AngularJS-приложение. Dynatrace RUM-агент (ruxitagentjs) и gtag.js (G-BY17HR7MZ8) загружаются одновременно, на +236 мс — в общем потоке с остальными скриптами темы.

+613–5625 мс · полный трекинг-стек

region1.google-analytics.com/g/collect (+613 мс и повторно +5625 мс), service.force.com/embeddedservice/esw.min.js — виджет чата Salesforce (+1192 мс), пять Dynatrace-beacon (rb_, +2601…+5519 мс).

Декларация против факта

+ Google Tag Manager — не заявлен

+ Google Analytics 4 — не заявлен

+ Dynatrace RUM — не заявлен

+ Salesforce Embedded Service — не заявлен

Зафиксированные трекеры

Google Tag Manager
Google Analytics 4
Dynatrace RUM
Salesforce Embedded Service (чат)

Зафиксированные нарушения

Art. 5(1)(a) / Art. 13 GDPR

Политика категорично утверждает: «Non viene fatto uso di cookies... né vengono utilizzati... sistemi per il tracciamento degli utenti» и «Nessun dato derivante dalla navigazione nel sito web viene comunicato o diffuso». Фактически Google Tag Manager и GA4 (region1.google-analytics.com/g/collect) активны на +236–613 мс, Dynatrace отправляет beacon пять раз (+2601–5519 мс), встроенный чат Salesforce (service.force.com) загружается на +1192 мс — без единого cookie-баннера за весь сеанс.
Art. 44–49 GDPR (международная передача данных)

Политика заявляет: «Non è prevista la trasmissione di dati personali a paesi terzi o organizzazioni internazionale». Google и Salesforce — оба американские компании, получающие данные посетителя при каждой загрузке страницы.

Контекст

www.acquistinretepa.it — портал Consip S.p.A. («Acquisti in Rete PA»), центральной платформы государственных закупок Италии. Титуляром обработки данных в политике указан непосредственно Ministero dell’Economia e delle Finanze. HAR: 115 запросов, 4 домена.

Категоричное заявление против фактов

Формулировка политики не оставляет пространства для интерпретации: cookies не используются для передачи персональной информации, постоянные cookies и системы трекинга пользователей не применяются вообще, а данные навигации никому не передаются и не распространяются. При этом уже на +236 мс параллельно с обычными ресурсами темы загружаются Google Tag Manager и Dynatrace RUM-агент, а на +613 мс отправляется полноценный хит Google Analytics 4 с client ID и данными браузера.

Salesforce и международная передача

Встроенный виджет чата Salesforce Embedded Service (service.force.com) загружается на +1192 мс. Политика отдельно заявляет отсутствие любой передачи данных в третьи страны — и Google, и Salesforce — американские компании, получающие данные при каждом визите.

Вывод

www.acquistinretepa.it — случай с одним из самых прямых противоречий между текстом политики и техническим поведением сайта в проекте: документ не просто не называет трекеры, а явно отрицает их существование и любую передачу данных за рубеж, тогда как три отдельных внешних сервиса (Google, Dynatrace, Salesforce) активны без единого механизма согласия.

Доказательство

Оригинал (разбор)

HAR-файл: it/www-acquistinretepa-it-2026-06-15.har

SHA-256: 9d5c46f02fa36684784e5cd9afd12c08cc82fb8f695fee2128ee3c564b60a748

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом acquistinretepa.it.

2. Обстоятельства
Я посетил сайт acquistinretepa.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика категорично утверждает: «Non viene fatto uso di cookies... né vengono utilizzati... sistemi per il tracciamento degli utenti» и «Nessun dato derivante dalla navigazione nel sito web viene comunicato o diffuso». Фактически Google Tag Manager и GA4 (region1.google-analytics.com/g/collect) активны на +236–613 мс, Dynatrace отправляет beacon пять раз (+2601–5519 мс), встроенный чат Salesforce (service.force.com) загружается на +1192 мс — без единого cookie-баннера за весь сеанс.

2) Политика заявляет: «Non è prevista la trasmissione di dati personali a paesi terzi o organizzazioni internazionale». Google и Salesforce — оба американские компании, получающие данные посетителя при каждой загрузке страницы.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/acquistinretepa-it/

3. Нарушенные положения
Art. 5(1)(a) / Art. 13 GDPR; Art. 44–49 GDPR (международная передача данных)

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]