Технический аудит · 2026-06-15

agenziaentrate.gov.it

Налоговое агентство Италии

Портал Налогового агентства Италии. 81 запрос, всего 2 домена — всё на государственной инфраструктуре, без Google и соцсетей. Но политика обещает только анонимную агрегированную статистику и отрицает профилирование, тогда как сайт записывает индивидуальную сессию посетителя — клики, курсор, прокрутку — и делает это раньше, чем появляется баннер, и без единого cookie.

Хронология утечки

+0–349 мс · загрузка портала

Портал на платформе Liferay. Все ресурсы — со своего домена. Никаких сторонних подключений, никаких систем Google или соцсетей.

+350–553 мс · аналитика и запись сессии уже работают, баннера ещё нет

Скрипт государственной аналитики Sogei загружается на +350 мс. На +460 мс уходит замер посещения, а на +462 мс запускается модуль записи сессии для конкретного идентификатора. Код cookie-баннера при этом подгружается только на +554 мс — на ~90 мс позже того, как отслеживание уже стартовало.

Весь сеанс · ни одного cookie

За всё время ни один cookie не был установлен. Отслеживание идёт бесфайлово — через идентификатор посетителя и отпечаток браузера, передаваемые прямо в запросе. Политика, построенная вокруг слова «cookie», формально не нарушена по букве — но отслеживание происходит мимо неё.

Декларация против факта

✓ Государственная аналитика Sogei — заявлена как анонимная агрегированная статистика — заявлен

+ Запись сессий и тепловые карты (модуль HeatmapSessionRecording) — не заявлен

+ Передача идентификатора посетителя и отпечатка браузера в замере посещения — не заявлен

Зафиксированные трекеры

Государственная аналитика Sogei (Matomo)
Matomo HeatmapSessionRecording — запись сессий и тепловые карты
Бесфайловое отслеживание (без единого cookie, через идентификатор и отпечаток браузера)

Зафиксированные нарушения

Art. 13(1)(e) и Art. 5(1)(a) GDPR — незадекларированная запись сессий

Политика обещает только анонимную агрегированную статистику и прямо отрицает профилирование. В замере же активен отдельный модуль записи сессий: он фиксирует поведение конкретного посетителя — клики, движение курсора, прокрутку — под индивидуальным идентификатором. Это противоположность «агрегированному и анонимному». Модуль не упомянут в документе ни единым словом. Тот же модуль найден на сайте Агентства кибербезопасности — значит, это не случайность одного портала, а особенность общей платформы поставщика Sogei.
Art. 6(1)(a) GDPR / рекомендации итальянского регулятора — слежка раньше согласия

По правилам итальянского регулятора (Garante, 2021) мониторинг поведения посетителей — это не технический cookie, а отдельный инструмент отслеживания, для которого требуется согласие. На сайте же запись сессии запускается на 462-й миллисекунде, а код cookie-баннера подгружается только на 554-й — то есть отслеживание уже идёт раньше, чем баннер вообще появился, и трактуется как не требующее согласия.
Art. 5(1)(a) GDPR — передаются данные, которых «не передают»

Документ заявляет, что не передаются сведения личного характера. При этом замер посещения уносит на сервер идентификатор посетителя, разрешение экрана, тип сетевого соединения и подробный отпечаток браузера. Это как минимум обезличенный профиль устройства, а не безличный счётчик.

Контекст

www.agenziaentrate.gov.it — портал Agenzia delle Entrate, налогового ведомства Италии. Сделан на платформе Liferay. В замере всего 81 обращение к двум доменам: самому порталу и государственной аналитической инфраструктуре поставщика Sogei. Стоит сразу отдать должное: здесь нет ни Google, ни YouTube, ни виджетов соцсетей, ни передачи данных за рубеж — всё держится на государственной инфраструктуре. По этому критерию портал заметно чище многих.

Отдельно отмечу про сам документ. Живую страницу политики прочитать «в лоб» не удалось — сайт блокирует автоматический доступ защитой от ботов. Поэтому текст я сверял по официальной публикации политики и по выгрузке с сайта Wayback Machine (web.archive.org): обе версии совпадают дословно, так что формулировки ниже точны. Политика распространяется на список сайтов и приложений Агентства и называет компанию Sogei ответственной за обработку данных навигации.

И вот при такой внешней чистоте главная проблема — внутри: то, что сайт делает с посетителем, в политике не описано.

Был ли баннер согласия — и когда

Баннер есть, но к моменту его появления отслеживание уже работает.

+0,35 сек — загружается скрипт государственной аналитики.
+0,46 сек — уходит замер посещения.
+0,462 сек — запускается модуль записи сессии для конкретного идентификатора.
+0,554 сек — и только теперь подгружается код cookie-баннера.

Разрыв небольшой по времени — меньше ста миллисекунд, — но принципиальный: и аналитика, и запись поведения стартуют раньше, чем на странице вообще появляется механизм согласия. То есть к моменту, когда посетителю можно было бы что-то предложить, его сессия уже записывается.

Сайт записывает сессию — а политика обещает только анонимную статистику

Это сердцевина разбора. Политика описывает аналитику строго как сбор сведений «в агрегированной форме» — сколько всего посетителей и как они в целом ходят по сайту, — и отдельной фразой отрицает профилирование.

Но в замере работает не агрегированный счётчик. Там активен модуль записи сессий и тепловых карт — инструмент, который фиксирует поведение конкретного посетителя: куда он кликнул, как двигал курсором, как прокручивал страницу, — и привязывает это к индивидуальному идентификатору. По своей природе это противоположность «агрегированному и анонимному»: агрегат не хранит отдельные сессии, а запись сессии только этим и занимается. В документе про эту функциональность нет ни слова.

Важная деталь, что это не разовый сбой: точно такой же модуль на той же государственной инфраструктуре обнаружен и на сайте Агентства кибербезопасности. То есть это системная особенность платформы поставщика, а не оплошность одного портала, — и, скорее всего, она же тиражируется на другие госсайты на той же основе.

Самое любопытное — как именно это сделано. За весь сеанс сайт не установил ни одного cookie. Ноль. И тут возникает ловушка: вся политика построена вокруг слова «cookie» — она обещает, что cookie не используются для профилирования и не передают личных данных. По букве это даже правда: cookie действительно нет.

Но отслеживание-то идёт. Просто не через cookie, а напрямую — через идентификатор посетителя и отпечаток браузера, которые передаются прямо в теле запроса при каждом замере. Получается, обещания политики формально соблюдены, потому что они касаются только cookie, — а реальная слежка просто обходит ту самую сущность, о которой политика говорит. Для обычного читателя это и есть подвох: ему рассказывают про cookie, чтобы успокоить, пока отслеживание происходит мимо cookie.

Что именно уходит в замере

Чтобы не быть голословным — вот что улетает на сервер вместе с фактом посещения: идентификатор посетителя, разрешение экрана, тип сетевого соединения и подробный список версий браузера и системы. Это уже не безличная единица в счётчике, а узнаваемый профиль устройства. Политика же отдельно заявляет, что сведения личного характера не передаются. Можно спорить, насколько такой профиль «личный» после обезличивания, — но передаётся явно больше, чем нужно для простого подсчёта голов.

По правилам регулятора это требует согласия

И ещё один пласт. Итальянский регулятор в своих рекомендациях прямо разделяет: технические cookie — это одно, а инструменты, которые ведут анализ и мониторинг поведения посетителей, — другое, и для них требуется явное согласие пользователя. Запись сессии — это ровно мониторинг поведения. Значит, относить её к «техническим, не требующим согласия» средствам неверно уже по позиции самого регулятора. А на сайте она именно так и работает: запускается автоматически, до баннера, без спроса.

Почему для налогового ведомства это серьёзнее

Замер снят с публичной главной страницы, и записанная сессия здесь — это поведение анонимного гостя на витрине. Но держим в уме контекст: это налоговое ведомство. Если тот же модуль записи сессий настроен и на страницах, куда заходят уже авторизованные пользователи со своими налоговыми данными, ценность и чувствительность такой записи становится принципиально иной. Подчеркну честно: по этому замеру я вижу только главную страницу и не могу утверждать, что запись включена и в личном кабинете. Но именно поэтому такую находку на таком ведомстве нельзя считать мелочью — её стоит проверить отдельно на авторизованных разделах.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Замер охватывает только публичную главную страницу — что происходит после входа в личный кабинет, отсюда не видно. Сроки жизни хранимых данных назвать нельзя, но в данном случае это и неважно: cookie не ставятся вовсе. Исходного кода скриптов у меня нет — выводы о запуске записи сделаны по самим запросам в замере. И, как сказано выше, живой текст политики читался не напрямую (доступ заблокирован защитой от ботов), а по совпадающим официальной публикации и выгрузке.

Вывод

Снаружи портал выглядит образцово: никаких сторонних трекеров, ничего за пределами государственной инфраструктуры. Но именно поэтому главная находка тем заметнее. Политика обещает только анонимную агрегированную статистику и отрицает профилирование — а сайт записывает индивидуальную сессию посетителя: клики, курсор, прокрутку. Делает это раньше, чем появляется баннер, и без единого cookie — обходя ту самую сущность, вокруг которой построена вся политика. По правилам регулятора такой мониторинг поведения требует согласия, которого здесь не спрашивают. Главное, что должен вынести читатель: отсутствие сторонних трекеров — не то же самое, что отсутствие слежки, и в данном случае слежка просто переехала туда, где политика её не ищет.

Доказательство

Оригинал (разбор)

HAR-файл: it/www-agenziaentrate-gov-it-2026-06-15.har

SHA-256: 4ced4ce3c776d771531aa1add0ea999628f9f148d1ce9526d7e451f397ae43d7

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом agenziaentrate.gov.it.

2. Обстоятельства
Я посетил сайт agenziaentrate.gov.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика обещает только анонимную агрегированную статистику и прямо отрицает профилирование. В замере же активен отдельный модуль записи сессий: он фиксирует поведение конкретного посетителя — клики, движение курсора, прокрутку — под индивидуальным идентификатором. Это противоположность «агрегированному и анонимному». Модуль не упомянут в документе ни единым словом. Тот же модуль найден на сайте Агентства кибербезопасности — значит, это не случайность одного портала, а особенность общей платформы поставщика Sogei.

2) По правилам итальянского регулятора (Garante, 2021) мониторинг поведения посетителей — это не технический cookie, а отдельный инструмент отслеживания, для которого требуется согласие. На сайте же запись сессии запускается на 462-й миллисекунде, а код cookie-баннера подгружается только на 554-й — то есть отслеживание уже идёт раньше, чем баннер вообще появился, и трактуется как не требующее согласия.

3) Документ заявляет, что не передаются сведения личного характера. При этом замер посещения уносит на сервер идентификатор посетителя, разрешение экрана, тип сетевого соединения и подробный отпечаток браузера. Это как минимум обезличенный профиль устройства, а не безличный счётчик.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/agenziaentrate-gov-it/

3. Нарушенные положения
Art. 13(1)(e) и Art. 5(1)(a) GDPR — незадекларированная запись сессий; Art. 6(1)(a) GDPR / рекомендации итальянского регулятора — слежка раньше согласия; Art. 5(1)(a) GDPR — передаются данные, которых «не передают»

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]