Технический аудит · 2026-06-15

comune.milano.it

Город Милан

Сайт города Милана, крупнейшего муниципалитета страны. 169 запросов, 17 доменов. На сайте мэрии работает полный рекламно-аудиторный стек Adobe плюс продуктовая аналитика Pendo — это профилирование аудитории, а не базовая статистика. Стек стартует ещё до того, как баннер согласия появляется на экране, а официальная политика при этом обещает «только технические cookie» и «никакой передачи за пределы ЕЭЗ» — оба обещания не соответствуют факту.

Хронология утечки

+902 мс · загрузка стека

Параллельно в одну миллисекунду загружаются система тегов Adobe Launch (assets.adobedtm.com) и заглушка баннера согласия OneTrust.

+1378 мс · аудитории Adobe, до баннера

Обращение к системе построения рекламных аудиторий Adobe (dpm.demdex.net/id) за идентификатором посетителя. Баннер ещё не показан.

+1384 мс · измеритель Adobe

Загрузка библиотеки Adobe Analytics (AppMeasurement) и модуля карты активности.

+1411 мс · государственная аналитика

Загрузка скрипта государственной аналитики Web Analytics Italia.

+1634 мс · геоопределение (не согласие)

Запрос к geolocation.onetrust.com определяет регион пользователя, чтобы выбрать правила баннера. Это не фиксация согласия.

+1752 мс · рекламная синхронизация Adobe, до баннера

Рекламная платформа Adobe (cm.everesttech.net) выполняет переадресацию для синхронизации идентификаторов между сайтами, а домен аудиторий Adobe (comunedimilano.demdex.net) подгружает точку назначения для сопоставления меток. Баннер всё ещё не дорисован.

+1867 мс · замер государственной аналитики

Web Analytics Italia отправляет замер посещения (idsite=1975).

+1976 мс · реальный хит Adobe Analytics

Уходит полноценный замер посещения в Adobe Analytics (comunedimilano.d3.sc.omtrdc.net).

+2083 мс · серверный сбор Adobe

Обращение к серверному узлу Adobe Experience Cloud (adobedc.demdex.net/interact) — сбор данных о визите на стороне Adobe.

+2150 мс · партнёрская синхронизация

Система аудиторий Adobe выполняет синхронизацию идентификатора с внешним партнёром данных (dpm.demdex.net, dpid=411) — то самое сведение меток между разными участниками рекламного рынка.

+2239 мс · продуктовая аналитика Pendo

Загружается и инициализируется Pendo — сервис анализа поведения пользователей (компания США).

+2729 мс · reCAPTCHA

Загрузка Google reCAPTCHA для форм. Ни одного Set-Cookie за весь сеанс в выгрузке не зафиксировано.

Декларация против факта

✓ Web Analytics Italia (упоминается в общей информативе как анонимная статистика) — заявлен

+ Adobe Audience Manager — не заявлен

+ Adobe Advertising Cloud / Everest Tech — не заявлен

+ Adobe Analytics — не заявлен

+ Adobe Experience Cloud — не заявлен

+ Pendo — не заявлен

+ партнёрская синхронизация demdex (dpid=411) — не заявлен

Зафиксированные трекеры

Adobe Audience Manager (dpm.demdex.net, comunedimilano.demdex.net) — построение рекламных аудиторий
Adobe Advertising Cloud / Everest Tech (cm.everesttech.net) — сквозная синхронизация идентификаторов
Adobe Analytics (comunedimilano.d3.sc.omtrdc.net)
Adobe Experience Cloud (adobedc.demdex.net)
Adobe Launch (assets.adobedtm.com)
Pendo (data.eu.pendo.io, cdn.eu.pendo.io)
Web Analytics Italia / Matomo (ingestion.webanalytics.italia.it, idsite=1975)
Google reCAPTCHA
OneTrust (баннер согласия)

Зафиксированные нарушения

Art. 6(1)(a) GDPR — рекламный стек стартует до баннера, без согласия

Система построения рекламных аудиторий Adobe обращается за идентификатором на +1378 мс, а рекламная синхронизация Adobe — на +1752 мс. И то и другое происходит ещё ДО того, как баннер согласия вообще дорисовывается на экране (+1806 мс). Запрос на +1634 мс — это не согласие, а геоопределение региона. Самого события «принял/отклонил» в замере нет вовсе, а реальный сбор продолжается и дальше: хит Adobe Analytics (+1976 мс), серверный сбор Adobe (+2083 мс), партнёрская синхронизация идентификатора (+2150 мс), продуктовая аналитика Pendo (+2239 мс). Никакого режима ожидания согласия нет.
Art. 13(1)(e) GDPR — политика заявляет «только технические cookie»

Официальная cookie-информатива портала дословно утверждает, что собираются исключительно технические cookie и что персональные данные третьим лицам не передаются. Фактически работает рекламно-аудиторная инфраструктура Adobe (построение аудиторий и межсайтовая синхронизация идентификаторов) и продуктовая аналитика Pendo — это не технические cookie, и они передают данные посетителя сторонним компаниям. Ни Adobe, ни Pendo в информативе не названы.
Art. 44 GDPR — заявлено «за пределы ЕЭЗ не передаём»

Информатива доступа к сайту прямо заявляет, что данные не передаются в третьи страны за пределами ЕС/ЕЭЗ. При этом получатели — Adobe и Pendo — американские компании, и обращения к их сервисам передают данные посетителя за океан.

Контекст

www.comune.milano.it — официальный сайт муниципалитета Милана, крупнейшего города-коммуны Италии. Через него граждане выходят к городским услугам: школьному питанию, социальным службам, налоговым документам, «личному кабинету жителя». В замере 169 обращений к 17 доменам. Ответственным за обработку данных верно указан сам муниципалитет. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Это один из самых серьёзных государственных случаев серии — и серьёзность не в количестве доменов, а в их природе: на сайте мэрии работает не базовая статистика, а полноценная рекламно-аудиторная машина.

Кто получает данные

Тут были замечены: Adobe, Pendo, Google.

Был ли баннер согласия

Баннер OneTrust на сайте есть, но к моменту, когда он только начинает дорисовываться на экране (+1806 мс), рекламная машина Adobe уже отработала. Запрос на +1634 мс, который легко принять за согласие, — это всего лишь геоопределение региона, чтобы выбрать правила баннера. А самого события «принял» или «отклонил» в замере нет вообще. То есть посетитель ещё не увидел никакого выбора, а его идентификатор уже запрашивается у системы рекламных аудиторий и синхронизируется между сайтами.

Рекламная машина Adobe — что это и когда сработало

Здесь важно объяснить, что именно стоит на сайте, потому что это не привычный счётчик. Система построения рекламных аудиторий собирает посетителей в сегменты для таргетинга. Рекламная платформа синхронизации идентификаторов нужна, чтобы узнавать одного и того же человека на разных сайтах, обмениваясь его метками с другими участниками рекламного рынка. Именно это здесь и происходит: на +1378 мс запрашивается идентификатор аудитории, на +1752 мс идёт межсайтовая синхронизация, а на +2150 мс метку посетителя сводят с внешним партнёром данных. Параллельно работают аналитика Adobe и её серверный сбор, а следом — продуктовая аналитика Pendo. Всё это — инструменты рекламы и профилирования поведения, а не технические средства работы сайта.

Официальная информатива портала по cookie сформулирована недвусмысленно: собираются исключительно технические cookie, а персональные данные третьим лицам не передаются. Сверка с замером показывает обратное. Рекламно-аудиторная инфраструктура Adobe и аналитика Pendo — это не технические cookie, и они именно что передают данные посетителя сторонним компаниям, причём ещё до согласия. Ни Adobe, ни Pendo в информативе не названы. Разрыв между «только техническое, никому не передаём» и фактической рекламной синхронизацией с внешним партнёром — это не мелкая неточность, а противоречие по сути.

«За пределы ЕЭЗ не передаём» — а получатели в США

Вторая категоричная фраза, которую опровергает замер. Информатива доступа к сайту прямо заявляет, что данные не передаются за пределы ЕС и Европейской экономической зоны. Но главные получатели здесь — Adobe и Pendo — американские компании, и каждое обращение к их сервисам уносит данные посетителя за океан. Обещание о границах ЕЭЗ и фактическая передача в США несовместимы.

Чего по замеру утверждать нельзя

Несколько честных оговорок. События согласия в замере нет — это автоматическая съёмка, и живому посетителю баннер, разумеется, показывается; но принципиально то, что рекламные обращения Adobe уходят ещё до того, как баннер вообще дорисован, то есть от выбора пользователя они не зависят. Установку cookie на стороне Adobe в облегчённой выгрузке напрямую не видно — о синхронизации идентификаторов я сужу по характерным переадресациям между её доменами. Официальную cookie-информативу я читал по доступной публикации, а не выгружал целиком, но формулировка про «исключительно технические cookie» в ней однозначна. Замер охватывает публичную главную страницу; услуги «личного кабинета» за входом здесь не задействованы.

Вывод

Это один из самых тяжёлых государственных случаев серии. Сайт крупнейшего города страны, через который граждане обращаются к городским услугам, несёт на себе полноценную рекламно-аудиторную машину Adobe — с построением сегментов, межсайтовой синхронизацией идентификаторов и сведением метки посетителя с внешним партнёром данных, — а также продуктовую аналитику Pendo. Всё это стартует ещё до появления баннера согласия. И всё это — на фоне официальной политики, которая обещает «только технические cookie», «никакой передачи третьим лицам» и «ничего за пределы ЕЭЗ». Ни одно из трёх обещаний не выдерживает сверки с замером. Главное, что должен вынести читатель: здесь муниципальный сайт, которому граждане доверяют по необходимости, а не по выбору, ведёт себя как коммерческая рекламная площадка — и делает это молча, вопреки собственным заверениям.

Доказательство

Оригинал (разбор)

HAR-файл: it/www-comune-milano-it-2026-06-15.har

SHA-256: 5b4a9de877bac72343bbf85c40b03b7f9b36dc85e26a6b59c2d25dfbe0defb73

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом comune.milano.it.

2. Обстоятельства
Я посетил сайт comune.milano.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Система построения рекламных аудиторий Adobe обращается за идентификатором на +1378 мс, а рекламная синхронизация Adobe — на +1752 мс. И то и другое происходит ещё ДО того, как баннер согласия вообще дорисовывается на экране (+1806 мс). Запрос на +1634 мс — это не согласие, а геоопределение региона. Самого события «принял/отклонил» в замере нет вовсе, а реальный сбор продолжается и дальше: хит Adobe Analytics (+1976 мс), серверный сбор Adobe (+2083 мс), партнёрская синхронизация идентификатора (+2150 мс), продуктовая аналитика Pendo (+2239 мс). Никакого режима ожидания согласия нет.

2) Официальная cookie-информатива портала дословно утверждает, что собираются исключительно технические cookie и что персональные данные третьим лицам не передаются. Фактически работает рекламно-аудиторная инфраструктура Adobe (построение аудиторий и межсайтовая синхронизация идентификаторов) и продуктовая аналитика Pendo — это не технические cookie, и они передают данные посетителя сторонним компаниям. Ни Adobe, ни Pendo в информативе не названы.

3) Информатива доступа к сайту прямо заявляет, что данные не передаются в третьи страны за пределами ЕС/ЕЭЗ. При этом получатели — Adobe и Pendo — американские компании, и обращения к их сервисам передают данные посетителя за океан.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/comune-milano-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — рекламный стек стартует до баннера, без согласия; Art. 13(1)(e) GDPR — политика заявляет «только технические cookie»; Art. 44 GDPR — заявлено «за пределы ЕЭЗ не передаём»

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]