Технический аудит · 2026-06-15

diritto.it

Юридический информационный портал

Юридический информационный портал Diritto.it (издательская группа Maggioli). 169 запросов, 13 доменов. Баннера согласия на сайте нет вовсе, а с первой секунды запускается полноценная платформа маркетинг-автоматизации SalesManago с постоянным идентификатором посетителя и веб-пушем, плюс брокер данных ShareThis и ещё несколько трекеров. Доступная политика при этом написана под кодекс до GDPR.

Хронология утечки

+112–153 мс · волна трекеров с первых миллисекунд

За первые полторы сотни миллисекунд разом подключаются: виджет шеринга ShareThis (+125 мс), форма SalesManago (+125 мс), аналитика контента Parse.ly (+132 мс), WordPress Stats (+133 мс), Cloudflare Insights (+133 мс) и Google Tag Manager (+149 мс). Баннера согласия на странице нет.

+392–1079 мс · полная платформа SalesManago и пиксель с идентификатором

Загружается ядро SalesManago и десятки модулей: трекинг событий, история посещений, источники трафика, вовлечение, веб-пуш, Firebase. На +1079 мс уходит трекинг-пиксель, несущий постоянный идентификатор посетителя (uuid). Ни одного Set-Cookie за весь сеанс — идентификатор передаётся прямо в параметрах пикселя.

Декларация против факта

+ SalesManago — не заявлен

+ ShareThis — не заявлен

+ Parse.ly — не заявлен

+ WordPress Stats / Jetpack — не заявлен

+ Cloudflare Insights — не заявлен

+ Google Tag Manager — не заявлен

Зафиксированные трекеры

SalesManago — платформа маркетинг-автоматизации, постоянный uuid посетителя, веб-пуш
ShareThis — виджет шеринга и брокер данных
Parse.ly — аналитика контента
WordPress Stats / Jetpack (Automattic)
Cloudflare Insights
Google Tag Manager + Firebase (веб-пуш)

Зафиксированные нарушения

Art. 6(1)(a) GDPR — слежка с первой секунды без согласия

Механизма согласия на сайте нет вообще — ни одного известного баннера, ни собственной реализации. При этом сразу при загрузке страницы запускается полноценная платформа маркетинг-автоматизации SalesManago: трекинг-пиксель несёт постоянный идентификатор посетителя (uuid), а вместе с ним работают модули истории посещений, определения источника трафика, веб-пуш-уведомлений и персонализации. Параллельно в первые же миллисекунды грузятся ShareThis, Parse.ly, WordPress Stats, Cloudflare Insights и Google Tag Manager. Характерная деталь: собственная форма согласия SalesManago подгружается на +1465 мс — уже после того, как трекинг-пиксель с идентификатором отправлен (+1079 мс).
Art. 13 GDPR — политика из эпохи до GDPR

Доступный документ написан под старый национальный кодекс о данных (196/2003) и не содержит ни одного упоминания действующего регламента 679/2016. Формально политика не актуализирована под нынешнее законодательство.
Art. 13(1)(e) GDPR — получатели не названы

Cookie описаны только обобщённо — «необходимые» и «таргетинговые/рекламные», — и признаётся, что данные передаются рекламодателям. Но ни один реальный инструмент (SalesManago, ShareThis, Parse.ly, WordPress Stats, Cloudflare, Google) в документе не назван.

Контекст

www.diritto.it — итальянский юридический информационный портал, принадлежащий издательской группе Maggioli. Сюда приходят читать о правовых вопросах — а это тема, по которой интересы посетителя видны довольно много. В замере 169 обращений к 13 доменам. Ответственным за обработку данных верно указано само издательство. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Случай системный: проблема не в одном просчёте, а в сочетании сразу трёх — нет согласия, нет актуальной политики, и при этом работает серьёзная машина слежки.

Кто получает данные

Тут были замечены: SalesManago, ShareThis, Parse.ly, Automattic, Cloudflare, Google.

Был ли баннер согласия

Баннера нет вообще. На сайте отсутствует какой-либо механизм согласия — ни одной из распространённых систем, ни собственной реализации. Единственное, что отдалённо напоминает согласие, — встроенная форма самой платформы SalesManago, но и она подгружается поздно, уже после того, как трекинг отработал и идентификатор посетителя отправлен. То есть согласие здесь отсутствует на уровне сайта и запаздывает даже внутри самого маркетингового инструмента.

Полноценная платформа слежки с первой секунды

Главное, что стоит понять про этот сайт: SalesManago — это не форма подписки, а развёрнутая платформа маркетинг-автоматизации. Она ведёт трекинг событий, хранит историю посещений, определяет источник трафика, умеет слать веб-пуш-уведомления и персонализировать контент. И ключевое — её пиксель несёт постоянный идентификатор посетителя, по которому человека можно узнавать между визитами. Всё это запускается сразу при заходе, без какого-либо согласия. Рядом с первых же миллисекунд работают ещё несколько сторонних сервисов, и среди них ShareThis — виджет кнопок «поделиться», который по своей бизнес-модели ещё и собирает данные о посетителях для рекламного рынка. В сумме это серьёзный объём слежки, включающийся раньше, чем пользователь успевает что-либо понять.

Доступный документ примечателен своим возрастом. Он написан под старый национальный кодекс о персональных данных и не содержит ни единого упоминания действующего европейского регламента, вступившего в силу в 2018 году. То есть за прошедшие годы политику формально не привели в соответствие с нынешним законом. Содержательно она описывает лишь обобщённые категории — «необходимые» и «рекламные» cookie — и честно признаёт, что данные передаются рекламодателям, но не называет ни одного конкретного получателя из тех, что реально работают на сайте.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Возможно, у сайта есть и более свежая версия политики; то, что доступно для сверки, — документ догдпровской эпохи. Роль ShareThis как сборщика данных — это его известная бизнес-модель, а не вывод из самого замера; в замере я вижу лишь факт загрузки его виджета. Идентификатор посетителя виден прямо в параметрах трекинг-пикселя. Замер охватывает главную страницу.

Вывод

Это системный случай, где совпали сразу три проблемы. На сайте нет механизма согласия как такового. Действующей, приведённой под нынешний закон политики тоже нет — доступен только документ многолетней давности, не называющий ни одного реального инструмента. А на этом фоне с первой же секунды работает полноценная платформа поведенческой слежки с постоянным идентификатором посетителя и веб-пушем, плюс брокер данных и ещё несколько трекеров. Главное, что должен вынести читатель: на портале, куда заходят разбираться со своими юридическими проблемами, его узнают и начинают вести с порога — молча, без спроса и без актуального документа, который хотя бы объяснил, кто за этим стоит.

Доказательство

Оригинал (разбор)

HAR-файл: it/www-diritto-it-2026-06-15.har

SHA-256: 546a8142ad5c99148dcd9c11f2855eb5a25b8e55909ac2c25f9a07c2c2dd6e1a

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом diritto.it.

2. Обстоятельства
Я посетил сайт diritto.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Механизма согласия на сайте нет вообще — ни одного известного баннера, ни собственной реализации. При этом сразу при загрузке страницы запускается полноценная платформа маркетинг-автоматизации SalesManago: трекинг-пиксель несёт постоянный идентификатор посетителя (uuid), а вместе с ним работают модули истории посещений, определения источника трафика, веб-пуш-уведомлений и персонализации. Параллельно в первые же миллисекунды грузятся ShareThis, Parse.ly, WordPress Stats, Cloudflare Insights и Google Tag Manager. Характерная деталь: собственная форма согласия SalesManago подгружается на +1465 мс — уже после того, как трекинг-пиксель с идентификатором отправлен (+1079 мс).

2) Доступный документ написан под старый национальный кодекс о данных (196/2003) и не содержит ни одного упоминания действующего регламента 679/2016. Формально политика не актуализирована под нынешнее законодательство.

3) Cookie описаны только обобщённо — «необходимые» и «таргетинговые/рекламные», — и признаётся, что данные передаются рекламодателям. Но ни один реальный инструмент (SalesManago, ShareThis, Parse.ly, WordPress Stats, Cloudflare, Google) в документе не назван.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/diritto-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — слежка с первой секунды без согласия; Art. 13 GDPR — политика из эпохи до GDPR; Art. 13(1)(e) GDPR — получатели не названы

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]