EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

arera.it

Регулятор энергетики, сетей и окружающей среды Италии
IT

Сайт регулятора энергетики, сетей и окружающей среды Италии (ARERA). 124 запроса, 3 домена. Аналитика — государственная, анонимная, и в cookie-политике она описана. Большинство шрифтов свои. Но иконочный шрифт грузится с серверов Google и уводит IP посетителя в США — прямо вопреки обещанию основной политики, что данные не покидают ЕС.

Хронология утечки

+0–2170 мс · загрузка портала
Портал на TYPO3, на типовой государственной теме. Основные шрифты (roboto, zilla-slab) грузятся со своего домена.
+2172–3556 мс · шрифт Google и аналитика раньше модуля согласия
На +2172 мс уходит запрос за иконочным шрифтом Material Symbols к серверам Google — единственное обращение наружу к Google. Государственная аналитика загружается на +2221 мс и отправляет замер на +3184 мс — причём замер несёт идентификатор посетителя. Модуль управления cookie подключается только на +3541–3556 мс, уже после того, как аналитика отработала.
не применимо
Остальная часть сессии — статические ресурсы темы. Ни одного cookie за весь сеанс.

Декларация против факта

Государственная аналитика Web Analytics Italia (описана в отдельной cookie-политике как анонимная) — заявлен
+ Google Fonts (иконочный шрифт Material Symbols) — передача IP в США, не названа нигде — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.arera.it — сайт ARERA, итальянского регулятора в сфере энергетики, сетей и окружающей среды: тарифы на электричество, газ, воду, обращение с отходами. Сделан на TYPO3. В замере 124 обращения к трём доменам: самому сайту, государственной аналитике и серверам шрифтов Google. Ответственным за обработку данных политика верно указывает само ведомство. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Сразу отмечу хорошее: основную типографику сайт держит у себя — шрифты roboto и zilla-slab грузятся со своего домена, а не из Google. Наружу к Google уходит только один запрос — за иконочным шрифтом. И именно он создаёт единственную, но настоящую проблему.

Был ли баннер согласия

Модуль управления cookie на сайте есть, но подключается он поздно — на +3541 мс, уже после того, как государственная аналитика отправила свой замер (+3184 мс). Для анонимной государственной статистики, приравненной к техническим средствам, согласие не требуется, поэтому само по себе это не нарушение. Стоит лишь отметить, что замер аналитики несёт идентификатор посетителя, так что «анонимность» здесь, как и на ряде других госсайтов, скорее «обезличенность с маскировкой IP», чем полная безличность.

Что сделано в основном правильно

Аналитика здесь — государственная платформа на национальной инфраструктуре, с маскировкой IP по умолчанию, и ни одного cookie за сеанс она не ставит. И, в отличие от того, что показалось по неполной выгрузке, отдельная cookie-политика у сайта есть: на самом ресурсе она доступна и описывает эту анонимную аналитику как технические cookie, не требующие согласия. То есть аналитический слой и раскрыт, и реализован корректно. Это надо зафиксировать честно.

Google Fonts уводит IP в США — а политика обещает «только ЕС»

А вот единственный реальный изъян. Основная политика содержит недвусмысленное обещание: персональные данные обрабатываются в пределах Европейского союза и хранятся на серверах внутри ЕС. Между тем иконочный шрифт Material Symbols сайт подгружает не со своего сервера, а напрямую с серверов Google. И любое такое обращение передаёт IP-адрес посетителя в Google — американскую компанию.

Тут сходятся два расхождения. Во-первых, это прямо противоречит обещанию, что данные не покидают ЕС. Во-вторых, Google как получатель не назван нигде — ни в основной политике, ни в отдельной cookie-политике. И заметнее всего то, что чинится это элементарно: основную-то типографику сайт уже разместил у себя, так что положить рядом и иконочный шрифт — дело одного шага, после которого последнее обращение к Google исчезнет.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Про маскировку IP в аналитике я опираюсь на её настройку по умолчанию и на cookie-политику; в самом замере виден идентификатор посетителя, но не cookie. Отдельную cookie-политику я читал по доступной публикации, а не выгружал целиком, поэтому ручаюсь за описание анонимной аналитики, но не за исчерпывающий список всех упомянутых там сервисов. Замер охватывает главную страницу; точные адреса серверов в облегчённой выгрузке не сохранены.

Вывод

По сути сайт сделан в основном правильно: государственная анонимная аналитика, описанная в отдельной cookie-политике, и почти вся типографика на своём домене. Единственное, что выбивается, — иконочный шрифт, который тянется с серверов Google и уводит IP посетителя в США, прямо вопреки обещанию политики держать данные в пределах ЕС, и без упоминания где-либо. Изъян маленький и чинится одним движением, но на сайте регулятора, обещающего «только ЕС», даже одна такая утечка — это расхождение слова и дела. Главное, что должен вынести читатель: почти всё здесь честно и по-европейски, кроме одной строки кода, которая отправляет ваш IP за океан.

Доказательство
Оригинал (разбор)
HAR-файл: it/www-arera-it-2026-06-15.har
SHA-256: cbdc0449fa27ca6ae788c0517257697ed701059457413b479ff3fb1e0694d728
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данныхgaranteprivacy.it 

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом arera.it.

2. Обстоятельства
Я посетил сайт arera.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Основная политика прямо заявляет, что персональные данные обрабатываются в пределах Европейского союза и хранятся на серверах внутри ЕС. При этом сайт подгружает иконочный шрифт Material Symbols напрямую с серверов Google (fonts.googleapis.com), а каждое такое обращение передаёт IP-адрес посетителя в Google — компанию США. Этот сервис не назван ни в основной политике, ни в отдельной cookie-политике. То есть обещание «данные не покидают ЕС» расходится с фактом, и получатель не раскрыт.

2) Основная политика отсылает к разделу Cookie Policy «ниже», но в выгруженном документе он отсутствует — текст обрывается на правах субъекта. Справедливости ради: отдельная cookie-политика у сайта всё же есть, она доступна на самом ресурсе и описывает анонимную аналитику. Так что речь о неполноте именно выгрузки, а не об отсутствии раздела как такового.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/arera-it/

3. Нарушенные положения
Art. 13(1)(f) GDPR — передача IP в США вопреки обещанию «только ЕС»; Art. 13(1)(e) GDPR — в выгруженном документе раздел о cookie отсутствует

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]