Технический аудит · 2026-06-15

finanze.gov.it

Департамент финансов Минэкономики и финансов Италии

Сайт Департамента финансов Министерства экономики и финансов Италии. 44 запроса, 2 домена. Аналитика заявлена как анонимная агрегированная статистика, но фактически работает модуль записи сессий на той же государственной инфраструктуре Sogei, что и у ряда других госсайтов серии. За пределы страны при этом не уходит ничего.

Хронология утечки

+0–206 мс · загрузка портала

Сайт на системе управления контентом от государственного подрядчика Sogei. Все ресурсы темы — со своего домена.

+301–811 мс · аналитика и запись сессий

Скрипт аналитики Sogei загружается на +301 мс. Замер посещения уходит на +801 мс (несёт идентификатор посетителя), и сразу следом, на +811 мс, активируется модуль записи сессий. Ни одного Set-Cookie за весь сеанс.

Декларация против факта

+ Matomo на инфраструктуре Sogei — с записью сессий — не заявлен

Зафиксированные трекеры

Matomo на инфраструктуре Sogei (aaws-aanalytics.sogei.it, idsite=8) — несёт идентификатор посетителя, с активным модулем записи сессий

Зафиксированные нарушения

Art. 13(1)(e) и Art. 5(1)(a) GDPR — запись сессий не задекларирована

Политика описывает данные навигации как используемые только для получения анонимной статистики и прямо отрицает профилирование, не называя конкретного инструмента. Фактически наряду с обычным замером посещения активен модуль записи сессий (HeatmapSessionRecording, configs.php отвечает 200) на государственной инфраструктуре Sogei. Это фиксация поведения посетителя, а не агрегированная анонимная статистика, и в документе она не упомянута. Тот же модуль Sogei уже встречался в серии на сайтах налоговой службы, агентства кибербезопасности и правительства — то есть это особенность общей государственной платформы.
Art. 6(1)(a) GDPR / рекомендации регулятора — запись поведения без согласия

Баннера согласия в замере нет. По позиции итальянского регулятора мониторинг поведения требует согласия и не может проходить как технический cookie. Здесь запись сессий запускается без какого-либо спроса.

Контекст

finanze.gov.it — сайт Департамента финансов (Dipartimento delle Finanze), структурного подразделения Министерства экономики и финансов Италии, отвечающего за налоговую и фискальную политику. Сделан на системе управления контентом государственного подрядчика Sogei. В замере 44 обращения к двум доменам: самому сайту и аналитике Sogei. Ответственным за обработку данных верно указан сам департамент. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Случай, который к этому моменту серии стал, к сожалению, узнаваемым: государственный сайт на инфраструктуре Sogei, и на нём всё тот же модуль записи сессий.

Кто получает данные

Тут была замечена: Sogei (государственная, Италия). Иностранных и коммерческих получателей нет.

Был ли баннер согласия

Уведомления о согласии в замере нет. Государственная анонимная статистика приравнена к техническим средствам и согласия не требует — но, как и на других сайтах с этим модулем, под это послабление подпадает только обычный подсчёт, а не запись поведения. Стоит также отметить, что замер несёт идентификатор посетителя, так что «анонимность» здесь с оговоркой.

Тот же модуль записи сессий — снова

Помимо обычного замера посещения на сайте активен модуль записи сессий — он фиксирует поведение конкретного посетителя, а не считает обезличенные визиты. Запрос к нему проходит успешно, то есть модуль реально работает. Это ровно тот же инструмент на той же инфраструктуре Sogei, что уже встречался в серии на сайтах налоговой службы, агентства кибербезопасности и самого правительства. Повторяемость на разных ведомствах указывает, что это не настройка отдельного сайта, а свойство общей государственной платформы — и оно тиражируется на все построенные на ней порталы.

Политика обещает «анонимно и без профилирования»

Документ описывает сбор как анонимный и прямо отрицает профилирование. Замер уточняет: счётчик несёт идентификатор посетителя, а вдобавок ведётся запись сессий. И то и другое плохо вяжется со словами «анонимно» и «без профилирования» — точнее было бы сказать «обезличено частично». При этом сам инструмент в политике не назван, и о записи сессий нет ни слова.

Куда уходят данные — никуда за рубеж

Существенный плюс, который надо назвать честно. Вся аналитика — на государственной инфраструктуре Sogei, и за пределы страны не уходит ничего: ни Google, ни иных иностранных получателей. На фоне коммерческих сайтов серии, отдававших данные за океан, это важное отличие. Проблема здесь не в том, куда уходят данные, а в том, что о записи поведения умалчивают и не спрашивают согласия.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Об активности записи сессий я сужу по успешному ответу её модуля; содержимое самой записи в замере не видно. Уведомление о согласии в этом сеансе не зафиксировано — возможно, оно показывается в других условиях, но к моменту замера запись уже отработала. Идентификатор посетителя виден прямо в замере. Аналитика государственная, поэтому вопрос географии серверов не стоит. Замер охватывает главную страницу.

Вывод

Ещё один государственный сайт, повторяющий знакомый по серии пробел: аналитика обещана как анонимная и без профилирования, а на деле наряду с подсчётом ведётся запись сессий, и счётчик помечает посетителя идентификатором. Важно, что всё это остаётся в государственной инфраструктуре и за рубеж не уходит, — это реальный плюс. Но системный модуль записи сессий Sogei всплывает снова, теперь на департаменте, отвечающем за фискальную политику. Главное, что должен вынести читатель: это уже не оплошность отдельного ведомства, а свойство платформы, на которой построены десятки госсайтов, — и закрывать его нужно тоже на уровне платформы: либо честно описать запись сессий в политике, либо спрашивать на неё согласие.

Доказательство

Оригинал (разбор)

HAR-файл: it/finanze-gov-it-2026-06-15.har

SHA-256: 659fab1915c8fee0db0c6f8cbd54c84f1c93d6a1e0653a733a498d345d2f9136

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом finanze.gov.it.

2. Обстоятельства
Я посетил сайт finanze.gov.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика описывает данные навигации как используемые только для получения анонимной статистики и прямо отрицает профилирование, не называя конкретного инструмента. Фактически наряду с обычным замером посещения активен модуль записи сессий (HeatmapSessionRecording, configs.php отвечает 200) на государственной инфраструктуре Sogei. Это фиксация поведения посетителя, а не агрегированная анонимная статистика, и в документе она не упомянута. Тот же модуль Sogei уже встречался в серии на сайтах налоговой службы, агентства кибербезопасности и правительства — то есть это особенность общей государственной платформы.

2) Баннера согласия в замере нет. По позиции итальянского регулятора мониторинг поведения требует согласия и не может проходить как технический cookie. Здесь запись сессий запускается без какого-либо спроса.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/finanze-gov-it/

3. Нарушенные положения
Art. 13(1)(e) и Art. 5(1)(a) GDPR — запись сессий не задекларирована; Art. 6(1)(a) GDPR / рекомендации регулятора — запись поведения без согласия

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]