Технический аудит · 2026-06-15

bricofer.it

Сеть магазинов для дома и сада

Сайт сети магазинов для дома и сада Bricofer (Magento 2). 384 запроса, 22 домена. Facebook с хешированным идентификатором и TikTok отправляют реальные события трекинга с первых секунд — за двадцать с лишним секунд до фиксации согласия, без всякого режима отказа. Оба этих трекера, а также ещё три сервиса, в политике не названы.

Хронология утечки

+0–2000 мс · загрузка магазина

Сайт на Magento. Базовые ресурсы темы. Виджет отзывов Feedaty подключается уже на +2003 мс.

+2078–2912 мс · трекеры и баннер грузятся одной волной

Tag Manager (+2078 мс), библиотека Facebook (+2079 мс) и сразу запрос с хешированным идентификатором (+2293 мс), TikTok (+2455 мс), Universal Analytics (+2453 мс), Clerk (+2558 мс) — всё это загружается практически одновременно с заглушкой баннера Iubenda (+2444 мс), никак от него не завися.

+2528–24603 мс · реальные события всё это время, согласие — в самом конце

Facebook шлёт событие просмотра (+2528 мс), Universal Analytics — замер (+2841 мс), TikTok — реальные события (+3535 мс и далее), GA4 (+4379 мс). Поток событий Facebook и TikTok продолжается вплоть до +24,5 секунды. И только на +24603 мс фиксируется решение по согласию — то есть после того, как практически весь сбор данных уже состоялся.

Декларация против факта

✓ Clerk.io — заявлен

✓ PayPal — заявлен

✓ Google Tag Manager — заявлен

✓ Hotjar (заявлен, в этом замере не сработал) — заявлен

✓ Google Analytics / GA4 — заявлен

✓ Google reCAPTCHA — заявлен

✓ Google Fonts — заявлен

+ Facebook/Meta Pixel (с хешированным идентификатором) — не заявлен

+ TikTok Pixel — не заявлен

+ Connectif — не заявлен

+ LiveHelp — не заявлен

+ Feedaty — не заявлен

Зафиксированные трекеры

Facebook/Meta Pixel — передаёт хешированный идентификатор (Advanced Matching)
TikTok Pixel
Google Analytics 4 + Universal Analytics (вторая — давно отключена)
Clerk.io
Connectif
LiveHelp (чат)
Feedaty (отзывы)
Iubenda (баннер согласия, ничего не задерживает)

Зафиксированные нарушения

Art. 6(1)(a) GDPR — реклама работает с первых секунд, до согласия

Гейтинга согласия на сайте нет вообще. Facebook Pixel передаёт хешированный идентификатор посетителя (Advanced Matching) уже на +2293 мс и шлёт событие просмотра на +2528 мс; TikTok Pixel отправляет реальные события трекинга с +3535 мс; работают Google Analytics 4 и устаревший Universal Analytics. Всё это — реальные события с идентификаторами, без всякого режима «отклонено». А момент фиксации согласия наступает лишь на +24603 мс — то есть весь сбор данных происходит за двадцать с лишним секунд до согласия. Баннер согласия загружается, но трекеры от него никак не зависят.
Art. 13(1)(e) GDPR — два самых активных трекера не названы

Типовая политика, сгенерированная конструктором, перечисляет Clerk.io, PayPal, Google Tag Manager, Hotjar, Google Analytics и GA4, Google reCAPTCHA, Google Fonts. Но ни Facebook/Meta Pixel, ни TikTok Pixel — два самых активных рекламных трекера, шлющих идентификаторы в рекламные сети, — в ней не упомянуты вообще. Не названы и сервис маркетинговой автоматизации Connectif, чат LiveHelp и виджет отзывов Feedaty. Иными словами, в декларации не хватает именно тех получателей, которые собирают больше всего.

Контекст

www.bricofer.it — сайт итальянской сети магазинов товаров для дома, сада и стройматериалов Bricofer Group. Платформа — Magento. Политика сгенерирована типовым конструктором, с аккуратным списком сервисов по категориям. В замере 384 обращения к 22 доменам. Ответственным за обработку данных политика верно указывает саму компанию. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Это коммерческий сайт с насыщенным рекламным стеком, и здесь, в отличие от банка из той же серии, согласие не работает совсем.

Был ли баннер согласия

Баннер есть — это система Iubenda, её заглушка загружается на +2444 мс. Но он чисто декоративный. Рекламные трекеры грузятся и отправляют данные одной волной вместе с ним и сразу после, никак от него не завися. Решение по согласию вообще фиксируется только на +24603 мс — почти через двадцать четыре секунды, когда весь основной сбор данных давно состоялся. То есть единственную свою задачу — задержать трекеры до выбора пользователя — баннер не выполняет.

Реклама работает с первых секунд

Здесь нет ни режима отказа, ни ожидания согласия — просто реальные события трекинга с первых секунд. Facebook отправляет событие просмотра, TikTok шлёт свои реальные вызовы, работают сразу две версии Google Analytics. И всё это — задолго до того, как пользователю дали хоть что-то выбрать. Поток событий Facebook и TikTok тянется до двадцать четвёртой секунды, и лишь в самом её конце фиксируется согласие. По сути сбор данных и согласие здесь существуют независимо друг от друга.

Facebook получил хешированный идентификатор посетителя

Самое существенное. Уже на +2293 мс в запросе к Facebook уходит хешированный идентификатор посетителя — техника, которую Meta называет Advanced Matching и которая служит для сопоставления посетителя сайта с его профилем в Facebook и Instagram. На торговом сайте, где у посетителя нередко есть аккаунт, это привязанный к конкретному человеку ключ, отправленный в рекламную систему Meta ещё до какого-либо согласия. Facebook в политике не упомянут вовсе.

Два самых заметных трекера — мимо политики

Показательно, что именно не попало в декларацию. Политика добросовестно перечисляет восемь сервисов, включая аналитику Google и даже инструмент записи сессий. Но два самых активных рекламных трекера — Meta и TikTok, — которые как раз и шлют идентификаторы в рекламные сети, в ней не названы ни словом. Туда же не попали сервис маркетинговой автоматизации, чат и виджет отзывов. То есть пробел в декларации приходится ровно на тех получателей, которые собирают о посетителе больше всего.

Google Analytics — половина уже мёртвая

Небольшая деталь для полноты. Из двух установленных счётчиков Google один — устаревшая версия Universal Analytics, которую Google отключил ещё в середине 2023 года: его запрос по-прежнему уходит и уносит IP, но данные уже не обрабатываются. Второй, GA4, рабочий. Лишнее свидетельство, что стек собирали слоями и давно не пересматривали.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Хеш, отправленный в Facebook, необратим — по нему я не восстанавливаю исходный адрес и не утверждаю, чей именно это идентификатор; я фиксирую сам факт передачи привязанного к посетителю значения. Нажатия кнопки «принять» в замере не видно, так что момент на +24603 мс — это фиксация решения, а не обязательно сознательный клик живого человека; но для сбора данных это уже неважно, он состоялся раньше в любом случае. Инструмент записи сессий заявлен в политике, но в этом замере не сработал. Содержимое cookie в облегчённой выгрузке напрямую не видно; вывод о трекерах сделан по самим запросам и их параметрам.

Вывод

Это один из самых явных коммерческих случаев серии по части слежки до согласия. Рекламный стек — Facebook с хешированным идентификатором, TikTok, две версии Google Analytics — отправляет реальные события с идентификаторами с первых же секунд, за двадцать с лишним секунд до момента согласия, без всякого режима отказа. Баннер согласия при этом присутствует, но не задерживает ничего. А два самых активных трекера, Meta и TikTok, в политике даже не названы. Главное, что должен вынести читатель: здесь нет ни технического разделения «до и после согласия», ни честной декларации — данные посетителя, включая привязанный к нему ключ для Meta, уходят в рекламные сети сразу, а спрашивают будто бы потом и будто бы про другое.

Доказательство

Оригинал (разбор)

HAR-файл: it/www-bricofer-it-2026-06-15.har

SHA-256: 77913861d3ad1ca34cfeecc3b6452b818164a8dd02b19adfb9569390b0a9a3cc

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом bricofer.it.

2. Обстоятельства
Я посетил сайт bricofer.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Гейтинга согласия на сайте нет вообще. Facebook Pixel передаёт хешированный идентификатор посетителя (Advanced Matching) уже на +2293 мс и шлёт событие просмотра на +2528 мс; TikTok Pixel отправляет реальные события трекинга с +3535 мс; работают Google Analytics 4 и устаревший Universal Analytics. Всё это — реальные события с идентификаторами, без всякого режима «отклонено». А момент фиксации согласия наступает лишь на +24603 мс — то есть весь сбор данных происходит за двадцать с лишним секунд до согласия. Баннер согласия загружается, но трекеры от него никак не зависят.

2) Типовая политика, сгенерированная конструктором, перечисляет Clerk.io, PayPal, Google Tag Manager, Hotjar, Google Analytics и GA4, Google reCAPTCHA, Google Fonts. Но ни Facebook/Meta Pixel, ни TikTok Pixel — два самых активных рекламных трекера, шлющих идентификаторы в рекламные сети, — в ней не упомянуты вообще. Не названы и сервис маркетинговой автоматизации Connectif, чат LiveHelp и виджет отзывов Feedaty. Иными словами, в декларации не хватает именно тех получателей, которые собирают больше всего.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/bricofer-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — реклама работает с первых секунд, до согласия; Art. 13(1)(e) GDPR — два самых активных трекера не названы

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]