Технический аудит · 2026-06-15

cortedicassazione.it

Верховный кассационный суд Италии

Сайт Верховного кассационного суда Италии. 29 запросов, 3 домена. Политика подробная и аккуратная, но без раздела о сторонних сервисах: встроенный на главной странице плеер YouTube не назван, а работает он в обычном режиме и уводит IP посетителя в Google, США.

Хронология утечки

+0–248 мс · загрузка портала

Собственная система управления контентом на платформе Министерства юстиции. В общем потоке страницы подключается вендорный скрипт плеера YouTube.

+322 мс · инфраструктура YouTube, обычный режим

Загружается интерфейс плеера с www.youtube.com — обычный, не приватный режим. Уже это обращение передаёт IP посетителя в Google.

+450–455 мс · замер аналитики и плеер

Государственная аналитика отправляет замер посещения (несёт идентификатор посетителя), следом догружается программная часть плеера YouTube. Ни одного Set-Cookie за весь сеанс.

Декларация против факта

✓ Государственная аналитика Web Analytics Italia — по имени не названа, но описана как анонимная статистика навигации — заявлен

+ YouTube (обычный режим, www.youtube.com) — не заявлен

Зафиксированные трекеры

Web Analytics Italia / Matomo (ingestion.webanalytics.italia.it) — несёт идентификатор посетителя
YouTube в обычном режиме (www.youtube.com) — передаёт IP в Google, США

Зафиксированные нарушения

Art. 13(1)(e) GDPR — встроенный YouTube не задекларирован

Подробная политика разбирает сессионные и функциональные cookie, отрицает профилирование и описывает статистику как анонимную, но раздела о сторонних сервисах в ней нет вовсе. На главной странице (медиацентр) при этом встроен видеоплеер YouTube, который в документе не упомянут ни разу.
Art. 13(1)(f) GDPR — передача IP в Google США через обычный YouTube

Видео встроено в обычном режиме (www.youtube.com), а не в приватном (youtube-nocookie.com). Уже сама загрузка инфраструктуры плеера передаёт IP-адрес посетителя в Google, американскую компанию. Политика о такой передаче молчит и при этом утверждает, что через cookie не передаётся информация личного характера, — что плохо вяжется с обращением к Google. Исправляется заменой обычного встраивания на приватный режим.

Контекст

www.cortedicassazione.it — сайт Верховного кассационного суда Италии, высшей судебной инстанции страны. Сделан на собственной системе управления контентом на платформе Министерства юстиции. В замере 29 обращений к трём доменам. Ответственным за обработку данных верно указан сам суд. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Случай в целом аккуратный: короткий замер, государственная аналитика, подробная политика. Но есть один пробел, и он касается Google.

Кто получает данные

Тут были замечены: Google.

Был ли баннер согласия

На сайте есть уведомление о cookie — его стили подгружаются в начале визита. Государственная аналитика приравнена к техническим средствам и согласия не требует, поэтому само по себе её срабатывание не нарушение. Стоит лишь отметить, что её замер несёт идентификатор посетителя, так что «анонимность» здесь, как и на других государственных сайтах, с оговоркой. А вот плеер YouTube запускается независимо от уведомления — и это главный сюжет.

Подробная политика — но без раздела о третьих сторонах

Документ тщательно разбирает категории cookie: сессионные, функциональные, прямо отрицает профилирование и постоянные cookie, а статистику называет анонимной. Сделано подробно и грамотно. Но раздела о сторонних сервисах в политике нет совсем — а на главной странице, в медиацентре, встроен видеоплеер YouTube. Он в документе не упомянут ни разу, хотя это сторонний сервис, который получает данные посетителя.

YouTube в обычном режиме уводит IP в Google

Здесь и кроется изъян. Видео можно встроить двумя способами: в обычном режиме и в приватном, специально предназначенном для того, чтобы не обращаться к Google до запуска видео и не ставить отслеживающие cookie. На этом сайте выбран обычный режим. А значит, уже сама загрузка плеера обращается к инфраструктуре Google и передаёт IP-адрес посетителя в США. Получается двойное несоответствие: сторонний сервис не назван в политике, и при этом документ утверждает, что через cookie не передаётся информация личного характера, — тогда как обращение к Google происходит. Чинится это просто, заменой обычного встраивания на приватный режим, после чего обращение к Google до запуска видео исчезает.

Чего по замеру утверждать нельзя

Несколько честных оговорок. В замере видна загрузка интерфейса и программной части плеера; более тяжёлые обращения к серверам Google происходят при запуске видео, и в этом сеансе их нет — но даже загрузка плеера в обычном режиме уже передаёт IP. Про маскировку IP в государственной аналитике я сужу по её настройке по умолчанию; идентификатор посетителя при этом виден прямо в замере. Политика, к слову, опирается на старый национальный кодекс о данных, а не на действующий регламент, — деталь, говорящая о возрасте документа. Замер охватывает главную страницу.

Вывод

Аккуратная и подробная политика с двумя связанными пробелами, и оба про одно — про молчаливое обращение к Google. Встроенный плеер YouTube работает в обычном режиме и передаёт IP посетителя в США, нигде в документе не названный, а сам документ при этом обещает, что личных данных через cookie не передаётся. Плюс государственная аналитика, описанная как анонимная, на деле несёт идентификатор посетителя. Ни то ни другое не катастрофа, и чинится в пару движений. Главное, что должен вынести читатель: даже на сайте высшего суда одно невинное встроенное видео способно тихо отправлять ваш IP в Google — ровно потому, что выбран обычный режим вместо приватного.

Доказательство

Оригинал (разбор)

HAR-файл: it/www-cortedicassazione-it-2026-06-15.har

SHA-256: c9d1b2b735d2ab0a3a02a1b5e562cc2952d56931ad60ae49a8c5de6ba51241ed

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом cortedicassazione.it.

2. Обстоятельства
Я посетил сайт cortedicassazione.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Подробная политика разбирает сессионные и функциональные cookie, отрицает профилирование и описывает статистику как анонимную, но раздела о сторонних сервисах в ней нет вовсе. На главной странице (медиацентр) при этом встроен видеоплеер YouTube, который в документе не упомянут ни разу.

2) Видео встроено в обычном режиме (www.youtube.com), а не в приватном (youtube-nocookie.com). Уже сама загрузка инфраструктуры плеера передаёт IP-адрес посетителя в Google, американскую компанию. Политика о такой передаче молчит и при этом утверждает, что через cookie не передаётся информация личного характера, — что плохо вяжется с обращением к Google. Исправляется заменой обычного встраивания на приватный режим.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/cortedicassazione-it/

3. Нарушенные положения
Art. 13(1)(e) GDPR — встроенный YouTube не задекларирован; Art. 13(1)(f) GDPR — передача IP в Google США через обычный YouTube

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]