Технический аудит · 2026-06-15

adiconsum.it

Ассоциация защиты потребителей и окружающей среды

Итальянская ассоциация защиты прав потребителей. 125 запросов, 3 домена. Сайт обращается к Google и LiveChat в первую секунду, до согласия — хотя в этом замере оба скрипта вернули ошибку и не запустились. Но контейнер Google живой, то есть для обычного посетителя слежка отработала бы. А политика 2021 года обещает, что данные за рубеж не передаются, и не называет ни одного из этих сервисов.

Хронология утечки

+0–518 мс · загрузка сайта на WordPress

Сайт на WordPress с конструктором Elementor. Весь основной код, шрифты и стили — со своего домена.

+519 мс · скрипты согласия загружены, но трекеры не остановлены

На +519 мс подгружаются скрипты плагина управления согласием. Но дальнейшие обращения к внешним сервисам они не блокируют, и ни одного следа зафиксированного решения пользователя в замере нет. То есть механизм согласия на сайте формально присутствует, но реально не перекрывает сторонние вызовы.

+649–752 мс · обращения к Google и LiveChat

На +649 мс уходит вызов к Google Tag Manager, на +752 мс — к LiveChat. Оба до любого взаимодействия с баннером. В этом замере оба вернули ошибку 403, тело скриптов не пришло — но запрос с IP-адресом посетителя на иностранные серверы уже состоялся.

Декларация против факта

+ Google Tag Manager (контейнер GTM-WJD9NQ5) — не заявлен

+ LiveChat (сервис онлайн-чата) — не заявлен

Зафиксированные трекеры

Google Tag Manager (контейнер живой, в этом замере вернул 403)
LiveChat (в этом замере вернул 403)

Зафиксированные нарушения

Art. 5(1)(a) и Art. 13(1)(f) GDPR — передача за рубеж, которую отрицают

Политика прямо обещает: данные за рубеж не передаются. Но при открытии страницы браузер сам обращается к серверам Google (США) и к сервису LiveChat, передавая им IP-адрес посетителя — ещё до какого-либо согласия. Даже несмотря на то, что в этом замере оба ответа вернулись с ошибкой 403 и сами скрипты не загрузились, сам запрос до иностранного сервера уже дошёл, а с ним и IP. Обещание «за рубеж не передаём» расходится уже на уровне самого факта обращения.
Art. 13(1)(e) GDPR — получатели не названы

Ни Google Tag Manager, ни LiveChat в политике не упомянуты. Документ говорит лишь об обобщённых «третьих лицах и получателях», не называя ни одного конкретного сервиса, которому уходят данные.
Рекомендации итальянского регулятора по cookie — трекеры выше согласия

Сайт устроен так, что вызовы к Google Tag Manager (+649 мс) и LiveChat (+752 мс) уходят сразу при открытии страницы, до любого взаимодействия с баннером. Плагин управления согласием загружает свои скрипты, но фактически не блокирует эти обращения. То, что в данном замере трекеры вернули 403 и не запустились, — случайность сессии, а не работа механизма согласия: сам контейнер Google Tag Manager на момент аудита живой и отдаёт рабочий код.

Контекст

Adiconsum — итальянская ассоциация защиты прав потребителей и окружающей среды со штаб-квартирой в Риме. Сайт сделан на WordPress с конструктором Elementor. В замере 125 обращений к трём доменам: самому сайту и двум внешним сервисам. И сразу бросается в глаза ирония: организация, чья прямая миссия — защищать права потребителей, в том числе цифровые, сама обращается с данными своих посетителей не так, как обещает на бумаге.

Был ли баннер согласия

Механизм согласия на сайте есть — это плагин для WordPress, чьи скрипты подгружаются на +519 мс. Но работает он только на бумаге. Дальнейшие обращения к внешним сервисам он не перекрывает: вызовы к Google и LiveChat уходят уже после загрузки этого плагина, и никакого следа того, что пользователь что-то выбрал, в замере нет. Иными словами, баннер согласия формально присутствует в коде, но реально не выполняет свою единственную задачу — не задерживает сторонние трекеры до выбора пользователя.

Что на самом деле произошло с трекерами

Здесь нужна точность, потому что на первый взгляд можно сделать неверный вывод в любую сторону. Факты замера такие: на +649 мс браузер обратился к Google Tag Manager, на +752 мс — к LiveChat. Оба обращения — раньше, чем посетитель мог как-то отреагировать на баннер.

Но оба ответа вернулись с ошибкой 403, и тело скриптов не пришло. Значит, в этой конкретной сессии сами трекеры не запустились: ни одного тега не сработало, ни одного следящего cookie не поставилось. Делать вид, что слежка тут вовсю работала, было бы преувеличением — в этом замере она именно что не сработала.

Но контейнер живой — и это меняет вывод

Чтобы понять, случайность это или сайт действительно не следит, я проверил контейнер Google напрямую, уже в ходе аудита. Контейнер GTM-WJD9NQ5 оказался живым: он отдаёт рабочий код. Это важный поворот. Значит, ошибка 403 в замере — это особенность той конкретной сессии (что-то заблокировало загрузку на стороне снятия), а вовсе не признак того, что трекер мёртв или отключён. Для обычного посетителя, у которого ничего не блокирует загрузку, этот же контейнер загрузился бы и отработал — со всеми тегами, которые в него заложены. То есть сайт настроен следить по-настоящему; данный замер просто поймал сессию, где загрузка сорвалась.

Что именно зашито внутрь контейнера — отсюда не видно: чтобы это узнать, код контейнера нужно исполнить, а по статичному замеру он не раскрывается. Поэтому я не утверждаю, какие конкретно теги (аналитика, реклама) он запускает, — только то, что он жив и предназначен работать.

Передача за рубеж, которую политика отрицает

Политика, обновлённая в сентябре 2021 года, прямо обещает: данные за рубеж не передаются. Реальность расходится с этим уже на уровне самого обращения. Даже при ошибке 403 запрос до серверов Google в США и до LiveChat успел дойти, а вместе с ним ушёл и IP-адрес посетителя — а IP по тому же GDPR относится к персональным данным. Добавим, что ни Google, ни LiveChat в политике не названы вовсе: документ ограничивается обтекаемой формулировкой про «третьих лиц и получателей» без единого конкретного имени.

Политика — устаревшая и общая

В отличие от аккуратных госсайтов, здесь нет ни таблицы cookie, ни имён, ни сроков жизни, ни назначений — только общее объяснение, что такое cookie в принципе. Документ датирован 2021 годом, тогда как нынешний набор плагинов на сайте заметно новее. Это само по себе говорит, что политику давно не сопровождают и не сверяют с тем, что реально установлено на сайте.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Во-первых, я не знаю причину ошибки 403 в замере — это мог быть сетевой блок, региональное ограничение или особенность среды снятия; по самому замеру причина не определяется. Во-вторых, я не вижу, какие теги заложены внутрь контейнера Google, — для этого его нужно исполнить. В-третьих, замер охватывает только главную страницу, а в этой облегчённой выгрузке не сохранены IP-адреса серверов, так что географию обращений я беру по принадлежности доменов, а не по адресам.

Вывод

Стек слежки тут минимальный — всего два внешних сервиса, и в этом замере оба вообще не запустились из-за ошибки. Соблазнительно было бы на этом успокоиться, но это была бы половина правды. Сайт устроен так, что обращается к Google и LiveChat в первую же секунду, до согласия; плагин согласия эти вызовы не перекрывает; контейнер Google на момент аудита живой и настроен работать; ни один из сервисов в политике не назван; а сама политика обещает то, что нарушается уже фактом обращения, — что данные не уходят за рубеж. Для организации, которая защищает права потребителей, разрыв между написанным и построенным — самая показательная часть разбора.

Доказательство

Оригинал (разбор)

HAR-файл: it/adiconsum-it-2026-06-15.har

SHA-256: 46b029c3ecf900ab76235dd3399ddfd72bc9d8a2b129ffc83a0b578dbafa7795

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом adiconsum.it.

2. Обстоятельства
Я посетил сайт adiconsum.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика прямо обещает: данные за рубеж не передаются. Но при открытии страницы браузер сам обращается к серверам Google (США) и к сервису LiveChat, передавая им IP-адрес посетителя — ещё до какого-либо согласия. Даже несмотря на то, что в этом замере оба ответа вернулись с ошибкой 403 и сами скрипты не загрузились, сам запрос до иностранного сервера уже дошёл, а с ним и IP. Обещание «за рубеж не передаём» расходится уже на уровне самого факта обращения.

2) Ни Google Tag Manager, ни LiveChat в политике не упомянуты. Документ говорит лишь об обобщённых «третьих лицах и получателях», не называя ни одного конкретного сервиса, которому уходят данные.

3) Сайт устроен так, что вызовы к Google Tag Manager (+649 мс) и LiveChat (+752 мс) уходят сразу при открытии страницы, до любого взаимодействия с баннером. Плагин управления согласием загружает свои скрипты, но фактически не блокирует эти обращения. То, что в данном замере трекеры вернули 403 и не запустились, — случайность сессии, а не работа механизма согласия: сам контейнер Google Tag Manager на момент аудита живой и отдаёт рабочий код.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/adiconsum-it/

3. Нарушенные положения
Art. 5(1)(a) и Art. 13(1)(f) GDPR — передача за рубеж, которую отрицают; Art. 13(1)(e) GDPR — получатели не названы; Рекомендации итальянского регулятора по cookie — трекеры выше согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]