Технический аудит · 2026-06-15

finecobank.com

Итальянский онлайн-банк

Итальянский онлайн-банк FinecoBank (группа UniCredit). 99 запросов, 22 домена. Здесь, в отличие от большинства коммерческих сайтов серии, механизм согласия реализован правильно: до согласия не уходит ничего идентифицирующего, а весь маркетинговый стек (Google, Amazon, Bing, Salesforce) включается только после фиксации согласия. Открытый вопрос — лишь то, что веб-партнёры не названы в самом документе, а вынесены на отдельную страницу.

Хронология утечки

+0–1357 мс · загрузка приложения

Сайт на Next.js, шрифты — со своих доменов. Публичные данные (рыночные индексы, статус чат-консультанта) грузятся без трекеров.

+1358–2788 мс · согласие в состоянии «отклонено»

Tag Manager и заглушка баннера OneTrust загружаются почти одновременно (+1358–1359 мс). Машинный флаг согласия Google в это время стоит в положении «отклонено»: первые пинги идут обезличенными, без сохранения идентификаторов. Полная отрисовка баннера завершается к +2788 мс.

+4609–5295 мс · согласие зафиксировано, стек включается

OneTrust фиксирует квитанцию согласия (+4681–4740 мс), флаг Google переключается в положение «разрешено», и только тогда залпом — примерно за 700 мс — активируются GA4, DoubleClick, Amazon, Bing и Salesforce Evergage, а также подключается YouTube. До этого момента ничего идентифицирующего не уходило.

Декларация против факта

+ Google (Tag Manager, Analytics 4, DoubleClick) — не заявлен

+ Amazon Advertising (APS) — не заявлен

+ Microsoft/Bing Ads — не заявлен

+ Salesforce Evergage — не заявлен

Зафиксированные трекеры

Google (Tag Manager через собственный серверный домен, Analytics 4, DoubleClick) — активируется только после согласия
Amazon Advertising (APS)
Microsoft/Bing Ads
Salesforce Evergage (поведенческая персонализация)
OneTrust (баннер согласия)
YouTube

Зафиксированные нарушения

Art. 13(1)(e) GDPR — получатели не названы в выгруженном документе

Основная политика конфиденциальности подробна по банковским темам (около 77 тысяч знаков: скоринг, биометрия, переводы SWIFT, чат-бот на Azure), но раздел о cookie сведён к одной фразе с отсылкой к отдельной cookie-области на домене www.finecobank.com. В самом документе ни Google, ни Amazon, ни Microsoft/Bing, ни Salesforce не названы. Оговорюсь: отдельная cookie-страница — нормальная практика, и при используемой здесь системе OneTrust список получателей на ней, скорее всего, есть; проверить её в ходе аудита не удалось, поэтому речь о неполноте именно выгруженного документа, а не о доказанном сокрытии.

Контекст

it.finecobank.com — сайт итальянского онлайн-банка FinecoBank S.p.A. (входит в группу UniCredit). Современное приложение на Next.js. Политика конфиденциальности — одна из самых подробных во всей серии: около семидесяти семи тысяч знаков, охватывающих кредитный скоринг, биометрию (голосовой пароль, графометрическую подпись), международные переводы и чат-бота на облаке Azure. В замере 99 обращений к 22 доменам. Замер, как и вся серия, снят на чистом браузере Edge без VPN и блокировщика.

Этот сайт интересен тем, что показывает: правильно сделать согласие — можно. И на фоне коммерческих сайтов серии он выгодно выделяется именно механикой.

Был ли баннер согласия

Баннер есть — это система OneTrust, и работает она как положено. Её заглушка загружается в самом начале, полная отрисовка баннера завершается примерно ко второй-третьей секунде, а решение пользователя фиксируется отдельной квитанцией около +4,7 секунды. Главное — что происходит вокруг этого баннера, и здесь всё устроено правильно.

Согласие реализовано правильно

Это ключевое наблюдение и большой плюс сайту. У Google есть машинный флаг, который сообщает встроенным инструментам, разрешено ли сохранять данные и идентификаторы. До согласия этот флаг стоит в положении «отклонено» — и в этом состоянии уходят только сами библиотеки да обезличенные служебные пинги без сохранения чего-либо опознающего. Никакие маркетинговые трекеры в это время не работают.

И только после того, как согласие зафиксировано квитанцией, флаг переключается в положение «разрешено» — и вот тогда, и ни секундой раньше, залпом включается весь маркетинговый стек. То есть последовательность правильная: сначала спрашивают, потом собирают. Это прямая противоположность тому, что мы видели, например, на рекламном блоге, где трекеры работали вопреки отказу.

Отдельно стоит отметить ещё одну зрелую деталь: аналитика Google идёт здесь не напрямую, а через собственный серверный узел банка. Данные сперва приходят на инфраструктуру самого Fineco, и лишь затем передаются дальше — это даёт банку больше контроля над тем, что именно уходит наружу.

Что включается после согласия

Чтобы было видно масштаб, вот кто оживает после фиксации согласия: аналитика и рекламные теги Google, рекламная система Amazon, реклама Microsoft/Bing и система поведенческой персонализации Salesforce Evergage, а также проигрыватель YouTube. Набор серьёзный, особенно Salesforce Evergage — инструмент, который подстраивает контент под поведение конкретного посетителя. Но принципиально, что весь этот набор включается только с согласия, а не до него.

Получатели — где они названы?

Вот единственная настоящая зацепка, и её надо изложить честно и без перегиба. Подробнейшая основная политика, которая дотошно расписывает банковские процессы, о cookie говорит буквально одной фразой и отсылает к отдельной cookie-области на другом адресе. В самом этом документе ни один из веб-партнёров — Google, Amazon, Microsoft/Bing, Salesforce — не назван.

Но раздувать это не стоит. Выносить детальный список cookie на отдельную страницу — обычная и законная практика, так устроены многие сайты. А поскольку здесь работает система OneTrust, которая как раз и составляет перечень всех вендоров автоматически, на той отдельной странице список получателей почти наверняка есть. Проверить её в ходе аудита мне не удалось, поэтому корректная формулировка такая: получатели не названы в выгруженном документе, а отдельную cookie-страницу подтвердить не получилось. Это вопрос полноты доступной картины, а не доказанное умолчание.

Как получено согласие — честная оговорка

Ещё один момент, который нельзя замолчать. В замере флаг согласия переключается из «отклонено» в «разрешено», и фиксируется квитанция, — но явного нажатия кнопки «принять» в записи не видно. Поэтому по одному замеру я не могу сказать наверняка, нажал ли согласие живой человек, сделал ли это автоматически инструмент съёмки, или баннер засчитал согласие без действия пользователя. Если верно последнее — это подточило бы в остальном правильный механизм. Но утверждать этого по замеру нельзя, и сама архитектура «сначала спрашиваем» здесь выстроена верно.

Чего по замеру утверждать нельзя

Помимо сказанного: отдельную cookie-страницу с перечнем вендоров я не проверил; происхождение согласия в замере неоднозначно; замер охватывает публичную главную страницу, а описанные в политике банковские процессы (биометрия, скоринг, переводы) на ней не задействованы; IP-адреса серверов в облегчённой выгрузке не сохранены.

Вывод

На фоне коммерческих сайтов серии это один из лучших примеров по механике согласия. До согласия не уходит ничего идентифицирующего, маркетинговый стек включается строго после фиксации решения, а аналитика проходит через собственный серверный узел банка — всё это сделано грамотно и ответственно, прямо противоположно блогу с рекламным аукционом. Единственная незакрытая точка — что веб-партнёры не названы в самом документе и вынесены на отдельную страницу, которую не удалось проверить; при используемой системе согласия они там, скорее всего, перечислены. Главное, что должен вынести читатель: банк показывает, что собирать данные с согласия и под контролем — реально, и здесь это в основном так и сделано; вопросы остаются к полноте раскрытия, а не к самой механике.

Доказательство

Оригинал (разбор)

HAR-файл: it/it-finecobank-com-2026-06-15.har

SHA-256: 5a7597772664a46f8712b76242bf95e17b776388a77a5c95c6575d9d9dadd1a4

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом finecobank.com.

2. Обстоятельства
Я посетил сайт finecobank.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Основная политика конфиденциальности подробна по банковским темам (около 77 тысяч знаков: скоринг, биометрия, переводы SWIFT, чат-бот на Azure), но раздел о cookie сведён к одной фразе с отсылкой к отдельной cookie-области на домене www.finecobank.com. В самом документе ни Google, ни Amazon, ни Microsoft/Bing, ни Salesforce не названы. Оговорюсь: отдельная cookie-страница — нормальная практика, и при используемой здесь системе OneTrust список получателей на ней, скорее всего, есть; проверить её в ходе аудита не удалось, поэтому речь о неполноте именно выгруженного документа, а не о доказанном сокрытии.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/finecobank-com/

3. Нарушенные положения
Art. 13(1)(e) GDPR — получатели не названы в выгруженном документе

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]