EUGDPR Audit
RU EN
Технический аудит · 2026-06-15

italotreno.com

Частный высокоскоростной железнодорожный перевозчик
IT

Italo — крупнейший частный высокоскоростной железнодорожный перевозчик Италии и первый частный оператор на сети высокоскоростных линий в Европе. 111 обращений, 9 доменов — сайт компактный и на первый взгляд аккуратный: стоит платформа сбора согласия Didomi, рекламные cookie отключены. Но основная аналитика — это Google Analytics, замаскированный под собственный домен сайта: данные уходят через поддомен italotreno.com (физически на серверах Microsoft Azure) и дальше в Google. И отправляется запись о визите вместе с постоянным идентификатором посетителя ещё до того, как человек что-либо выбрал, при включённом по умолчанию разрешении на аналитику. А политика при этом обещает, что для собственных cookie сайта передачи за пределы ЕС нет, и называет аналитику «анонимной, приравненной к технической» — тогда как этот поток несёт уникальный идентификатор и уходит в Google.

Хронология утечки

586 мс · платформа отзывов раньше всех
Первым же сторонним обращением — ещё до загрузки платформы согласия — подключается виджет отзывов Skeepers. Позже к нему добавляются его служебные данные (статистика и ссылки).
816–983 мс · согласие и системы тегов Google
Загружается платформа сбора согласия Didomi, а параллельно — система управления тегами Google (Google Tag Manager) и библиотека мониторинга производительности Akamai.
1857 мс · появляется баннер согласия
Дорисовывается видимая часть баннера согласия Didomi. С этого момента пользователю показан выбор — но никакого решения в замере не зафиксировано: за весь сеанс сайт не установил ни одной cookie.
3122–3362 мс · ещё теги Google и настройка Akamai
Подгружается дополнительный тег Google и настройки сервиса мониторинга Akamai. Дополнительно с собственного домена сайта отдаются пиксель и поведенческие сенсоры Akamai — это телеметрия производительности и защита от ботов.
4578 мс · аналитика уходит до выбора
Ключевой момент. На адрес analytics.italotreno.com — то есть с виду собственный домен, а на деле Google Analytics — уходит запись о просмотре страницы вместе с постоянным идентификатором посетителя и адресом страницы. Технический сигнал согласия в запросе показывает: разрешение на аналитику включено по умолчанию. Тут же уходит и событие о просмотре акции. Пользователь при этом ничего не нажимал.
11–27 с · регулярные сигналы активности
Тот же поток продолжает слать в Google сигналы вовлечённости — повторные события на 11-й, 19-й и 27-й секундах, с тем же идентификатором посетителя и тем же включённым по умолчанию разрешением.

Декларация против факта

+ Google Analytics — не заявлен
+ Didomi — не заявлен
+ Skeepers — не заявлен
+ Akamai mPulse — не заявлен

Зафиксированные трекеры

Зафиксированные нарушения

Контекст

www.italotreno.com — сайт компании Italo, крупнейшего частного высокоскоростного железнодорожного перевозчика Италии и первого в Европе частного оператора на высокоскоростной сети. Через сайт продаются билеты, поэтому здесь есть и поиск рейсов, и оплата, и витрина акций.

Замер компактный: 111 обращений к 9 доменам, снят на чистом браузере Edge без VPN и блокировщика. На сайте стоит платформа сбора согласия Didomi, а рекламные cookie в этом сеансе действительно отключены. На первый взгляд — аккуратная картина. Интерес в том, что основная аналитика спрятана так, чтобы выглядеть как «своя».

Кто получает данные

Тут были замечены: Google, Didomi, Skeepers, Akamai.

Оговорка по ролям: Didomi — это сама платформа сбора согласия, её присутствие ожидаемо и претензией не является. Skeepers — платформа отзывов покупателей. Akamai — мониторинг производительности и защита от ботов. Центральная фигура разбора — Google: именно его аналитика замаскирована под собственный домен Italo.

Был ли баннер согласия

Да, это Didomi, и его видимая часть дорисовывается примерно на 1,9 секунды. Но в этом сеансе пользователь не нажал ничего: за весь замер сайт не установил ни одной cookie, то есть cookie согласия не появилась. Это чистый первый контакт — и именно в нём видно поведение «по умолчанию».

Google Analytics, замаскированный под собственный домен

Главная находка. Основной поток аналитики идёт не на привычный домен Google, а на адрес analytics.italotreno.com — то есть на поддомен самого Italo. Но содержимое этого потока не оставляет сомнений: это Google Analytics — тот же счётчик и тот же формат данных, что у Google, лишь пропущенные через собственный домен сайта (физически — серверы Microsoft Azure). Это распространённый приём: аналитику Google заворачивают на свой адрес, чтобы она выглядела как «первая сторона» — так она обходит блокировщики и ограничения браузеров и перестаёт «выглядеть» как передача данных Google.

Эффект двойной. Технический — данные всё равно попадают в Google. И юридический — о нём ниже.

Аналитика ушла до согласия, при разрешении, включённом по умолчанию

Примерно на 4,6 секунды этот поток отправляет полноценную запись о просмотре страницы. В ней — постоянный идентификатор посетителя (присвоенный в этом же сеансе), адрес и заголовок страницы. А технический сигнал согласия, который сопровождает запрос, показывает: разрешение на рекламу отключено, а вот разрешение на аналитику — включено по умолчанию, до любого выбора пользователя. Следом уходит событие о просмотре акции, а затем — сигналы активности на 11-й, 19-й и 27-й секундах.

Поскольку браузер чистый и cookie согласия нет, единственное непротиворечивое объяснение: разрешение на аналитику стоит «включено» по умолчанию, и Google Analytics собирает данные с первого экрана, не дожидаясь решения.

«Анонимно и технически» — против постоянного идентификатора

Освобождение этой аналитики от согласия политика обосновывает прямо: аналитические cookie она относит к «приравненным к техническим», описывая их как сбор «в анонимной и агрегированной форме», который «не идентифицирует пользователя», — и потому «согласие не требуется». Вся конструкция держится на слове «анонимно».

Замер это слово снимает. Google Analytics передаёт постоянный идентификатор посетителя — устойчивую метку браузера, по которой одного человека отличают от другого (на ней же построен и подсчёт «уникальных пользователей»). Это не анонимные и не агрегированные данные. А раз так — основание «технический cookie, согласие не нужно» под этим конкретным потоком не стоит: для аналитики с постоянным идентификатором, уходящей третьей стороне, требуется согласие.

«За пределы ЕС не передаём» — против Google в США

И вот где маскировка под собственный домен бьёт по самой политике. Документ обещает: для собственных cookie сайта (Italo) передача за пределы ЕС не предусмотрена, а по сторонним — «смотрите таблицу или политику третьей стороны». Поскольку аналитика отдаётся с поддомена самого italotreno.com, она и предъявляется как «собственная» — то есть как раз тот случай, где «передачи за рубеж нет».

Но содержимое этого «собственного» потока — Google Analytics, и его конечный получатель — Google. То есть вид собственного домена создаёт ровно то впечатление, которое политика и закрепляет словами — «это наше, за рубеж не уходит», — тогда как фактически данные о визите идут в Google. Обещание и факт расходятся, и расходятся не случайно, а именно за счёт этой обёртки.

Получатели не названы

Ни cookie-политика сайта, ни основная политика конфиденциальности не называют поимённо ни Google и Google Analytics, ни Didomi, ни Skeepers, ни Akamai. Вместо этого — общие формулы про «третьи стороны, занимающиеся веб-аналитикой, рекламой и соцсетями» и отсылка к «таблице или политике третьей стороны». Из самих документов узнать фактических получателей нельзя.

Чего по замеру утверждать нельзя

Несколько честных оговорок. Отдельную таблицу cookie, на которую ссылается политика, я не проверял по полному тексту — возможно, в ней Google и другие поименованы; фиксирую лишь, что в теле обеих политик их нет. Почему именно разрешение на аналитику оказалось включено — настройка по умолчанию или трактовка аналитики как «технической» — по замеру однозначно сказать нельзя; доказан факт: на чистом браузере без cookie согласия Google Analytics отправил данные с включённым разрешением на аналитику. Поддомен analytics.italotreno.com физически на серверах Microsoft Azure — это промежуточное звено; конечный получатель аналитики — Google, и именно к нему относится вопрос передачи за рубеж. Skeepers сработал раньше всех — это отмечаю как факт очерёдности, не как доказанную передачу профиля. Akamai с его мониторингом и сенсорами — функция производительности и защиты от ботов, защитимая как техническая, хотя сама компания американская и данные уходят до согласия. Замер охватывает главную страницу.

Вывод

Italo выглядит как «хороший ученик»: платформа согласия на месте, рекламные cookie выключены, число сторонних сведено к минимуму. Но основная аналитика — это Google Analytics, завёрнутый на собственный поддомен (физически на серверах Microsoft Azure), который отправляет запись о визите с постоянным идентификатором посетителя ещё до того, как человек что-либо выбрал, при включённом по умолчанию разрешении на аналитику. А политика этот же поток описывает дважды неверно: называет аналитику «анонимной, приравненной к технической» (тогда как она несёт уникальный идентификатор) и обещает, что для собственных cookie сайта передачи за пределы ЕС нет (тогда как это Google, уходящий в США). Главное, что должен вынести читатель: маскировка трекера под собственный домен — это не «приватность по умолчанию», а обратное; она лишь делает стороннюю передачу неотличимой от «своей» на глаз, и ровно на этой неотличимости держатся оба обещания политики, которых замер не подтверждает.

Доказательство
Оригинал (разбор)
HAR-файл: it/italotreno-com-2026-06-15.har
SHA-256: 676322ecc995b9ba4ef015f0ffb3c5e05a28f991233a79397308e52be48766f2
Контрольный снимок
Ждём изменений
HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.
ВАЖНО: прежде чем подавать жалобу регулятору — сначала обратитесь напрямую в компанию и дайте 30 дней на ответ. Без этого шага регулятор может отклонить жалобу. Подробности и шаблон письма компании — в разделе Методология.
Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данныхgaranteprivacy.it 

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом italotreno.com.

2. Обстоятельства
Я посетил сайт italotreno.com и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Политика сайта прямо обещает: для собственных cookie сайта (Italo) передача за пределы ЕС не предусмотрена, а по сторонним отсылает к отдельной таблице. Но основной поток аналитики идёт на адрес analytics.italotreno.com — то есть выглядит как собственный домен сайта. На деле это Google Analytics: тот же счётчик и тот же формат, что у Google, лишь пропущенные через свой поддомен (физически — серверы Microsoft Azure). Каждое такое обращение передаёт данные о визите в Google. Именно вид «собственного домена» и создаёт у пользователя впечатление, что никакой сторонней передачи и тем более передачи за рубеж нет, — тогда как фактически это Google, а его конечный получатель находится в США.

2) Замер снят на чистом браузере: за весь сеанс сайт не установил ни одной cookie, то есть cookie согласия Didomi не появилась и пользователь ничего не выбирал. Видимая часть баннера согласия дорисовывается примерно на 1,9 секунды. Тем не менее уже на 4,6 секунды Google Analytics отправляет полноценную запись о просмотре страницы вместе с постоянным идентификатором посетителя, а технический сигнал согласия в этом запросе показывает: разрешение на аналитику включено по умолчанию (при этом разрешение на рекламу отключено). То есть аналитическое слежение разрешено заранее, до всякого решения пользователя, и сбор уходит сразу. Дальше идут события о просмотре акций и регулярные «сигналы активности» на 11-й, 19-й и 27-й секундах.

3) Освобождение этой аналитики от согласия политика обосновывает тем, что аналитические cookie «приравнены к техническим», собирают данные «в анонимной и агрегированной форме» и «не идентифицируют пользователя», а значит согласие для них «не требуется». Но замер это опровергает: Google Analytics передаёт постоянный идентификатор посетителя — устойчивую метку браузера, по которой одного человека отличают от другого (на ней же строится подсчёт «уникальных пользователей»). Это не анонимные и не агрегированные данные. Следовательно, основание «технический cookie, согласие не нужно» под этим потоком не стоит.

4) Ни cookie-политика сайта, ни основная политика конфиденциальности не называют конкретных получателей: ни Google и Google Analytics, ни Didomi, ни Skeepers, ни Akamai. Документ оперирует общими формулами («третьи стороны, занимающиеся веб-аналитикой, рекламой и соцсетями») и отсылает к «таблице или политике третьей стороны». Кто фактически получает данные — из самих политик понять нельзя.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/italotreno-com/

3. Нарушенные положения
Art. 44 GDPR — обещание «данные за пределы ЕС не передаём» против скрытого Google Analytics в США; Art. 6(1)(a) GDPR — аналитика отправлена до согласия, при включённом по умолчанию разрешении; Art. 6(1)(a) GDPR + неверная квалификация — аналитика объявлена «анонимной» и «технической», хотя несёт постоянный идентификатор; Art. 13(1)(e) GDPR — получатели не названы поимённо

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]