Технический аудит · 2026-06-15

epicentro.iss.it

Портал эпидемиологии Института здравоохранения Италии

EpiCentro — портал эпидемиологического надзора Института здравоохранения Италии (ISS). 16 запросов, 7 доменов. Заявленные в политике ShinyStat и Google Analytics в сессии не сработали, а единственный реально активный сторонний сервис — Google Fonts — не задекларирован и уводит IP в США.

Хронология утечки

+0–180 мс · только CDN-библиотеки

Стандартный фронтенд-стек: Bootstrap (BootstrapCDN), jQuery (code.jquery.com), Popper (jsDelivr), Font Awesome (Cloudflare). Трекеров на этом этапе нет.

+192–193 мс · Google Fonts

Описание стилей шрифтов с fonts.googleapis.com и сам файл шрифта с fonts.gstatic.com — единственный реально активный внешний сервис за сессию. Ни ShinyStat, ни Google Analytics, ни одного Set-Cookie.

Декларация против факта

✓ ShinyStat — заявлен, в сессии не активен — заявлен

✓ Google Analytics — заявлен, в сессии не активен — заявлен

+ Google Fonts — не заявлен

Зафиксированные трекеры

Google Fonts (fonts.googleapis.com, fonts.gstatic.com) — передаёт IP в Google, США
CDN-библиотеки: BootstrapCDN, Cloudflare, jQuery, jsDelivr

Зафиксированные нарушения

Art. 13(1)(e) GDPR — заявленная аналитика не работает, реальный сервис не назван

Политика называет два инструмента статистики — ShinyStat и Google Analytics, оба с анонимизированным IP. В замере не появляется ни один из них. При этом единственный реально работающий внешний сервис — Google Fonts — в документе не упомянут вовсе. Получается двойное несоответствие: названо то, чего нет, и не названо то, что есть.
Art. 13(1)(f) GDPR — Google Fonts уводит IP в США

Шрифты Google подгружаются напрямую с серверов Google, и каждое такое обращение передаёт IP-адрес посетителя в Google (США). В политике этот сервис не назван, раздела о передаче данных за пределы ЕС в ней нет. Дополнительно несколько фронтенд-библиотек грузятся с внешних CDN, что также раскрывает IP сторонним площадкам.

Контекст

epicentro.iss.it — портал EpiCentro, ресурс эпидемиологического надзора Истинута здравоохранения Италии (ISS). Сюда заходят читать о здоровье и эпидемиологии — тема, по которой интересы посетителя кое-что говорят. В замере 16 обращений к семи доменам — сайт лёгкий. Ответственным за обработку данных верно указан сам институт, политика опирается на действующий регламент. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Находка здесь минорная, но характерная: документ и реальность разошлись сразу в двух направлениях.

Кто получает данные

Тут был замечен: Google.

Был ли баннер согласия

Уведомления о согласии нет. Политика прямо разрешает анонимную аналитику без предварительного согласия — со ссылкой на старое решение регулятора. Но тут есть нюанс: сама эта заявленная аналитика в замере не сработала, так что разрешать по факту нечего. А единственный реально активный сторонний сервис — Google Fonts — это не аналитика, и под разрешение для статистики он не подпадает.

Заявленная аналитика не сработала

Политика называет два инструмента статистики — ShinyStat и Google Analytics, оба с пометкой об анонимизации IP. В замере не появляется ни один из них. Это можно прочитать по-разному: либо инструменты убрали, а документ обновить забыли, либо они грузятся при каких-то условиях, не наступивших при этом заходе. Если аналитику и правда убрали — это в пользу приватности; но тогда документ стоило бы привести в соответствие. В любом случае заявленное и наблюдаемое не совпадают.

Назван не тот сервис Google

Самое любопытное — в направлении несоответствия. Документ упоминает Google Analytics, которого на сайте нет. И при этом молчит о Google Fonts, который на сайте есть и работает. То есть из двух сервисов Google назван отсутствующий, а реально работающий — пропущен. А ведь именно Google Fonts передаёт IP-адрес посетителя в Google в США при каждой загрузке страницы. Плюс несколько фронтенд-библиотек подтягиваются с внешних CDN, что тоже раскрывает IP сторонним площадкам, — мелочь на фоне остального, но в сумме картина «лёгкого» сайта оказывается чуть менее замкнутой на себя, чем кажется.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Отсутствие аналитики в этом сеансе не доказывает, что её убрали навсегда, — она могла бы грузиться при других условиях; я фиксирую лишь то, что в замере её нет. Обращение к Google Fonts уже само по себе передаёт IP, независимо от дальнейшего. Замер лёгкий, всего шестнадцать запросов, и охватывает главную страницу.

Вывод

Лёгкий сайт с устаревшей декларацией. Политика называет два инструмента аналитики, включая Google Analytics, ни один из которых в замере не работает, — а единственный реально активный сторонний сервис, Google Fonts, не назван и тихо отправляет IP посетителя в Google в США. Если аналитику убрали — это хорошо, но документ должен это отражать и заодно называть тот сервис Google, который действительно используется. Чинится всё в пару движений: перенести шрифты на свой сервер и обновить политику. Главное, что должен вынести читатель: иногда расхождение документа с реальностью работает в обе стороны — называют отсутствующее и умалчивают о присутствующем.

Доказательство

Оригинал (разбор)

HAR-файл: it/epicentro-iss-it-2026-06-15.har

SHA-256: 5514b2c5e5c746dcb1c0410f85d877bbca03e31644afd57a69bbfa13f44df712

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом epicentro.iss.it.

2. Обстоятельства
Я посетил сайт epicentro.iss.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика называет два инструмента статистики — ShinyStat и Google Analytics, оба с анонимизированным IP. В замере не появляется ни один из них. При этом единственный реально работающий внешний сервис — Google Fonts — в документе не упомянут вовсе. Получается двойное несоответствие: названо то, чего нет, и не названо то, что есть.

2) Шрифты Google подгружаются напрямую с серверов Google, и каждое такое обращение передаёт IP-адрес посетителя в Google (США). В политике этот сервис не назван, раздела о передаче данных за пределы ЕС в ней нет. Дополнительно несколько фронтенд-библиотек грузятся с внешних CDN, что также раскрывает IP сторонним площадкам.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/epicentro-iss-it/

3. Нарушенные положения
Art. 13(1)(e) GDPR — заявленная аналитика не работает, реальный сервис не назван; Art. 13(1)(f) GDPR — Google Fonts уводит IP в США

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]