Технический аудит · 2026-06-15

quirinale.it

Сайт Президента Итальянской Республики

Quirinale.it — официальный сайт Президента Итальянской Республики, высшего конституционного органа. Замер главной страницы: 65 обращений, 7 доменов. По меркам серии набор сдержанный: ни Google Analytics, ни рекламы, ни рекламных доменов, ни YouTube. Но на загрузке страницы, без согласия, отрабатывают социальные виджеты: виджет Twitter/X обменивается с серверами Twitter данными о визите, а скрипт встраивания Instagram обращается к Meta. Баннер согласия на сайте есть, но эти сервисы срабатывают до него, а в политике они не названы и согласие под них не предусмотрено. Дополнительно работает приватная аналитика Cloudflare Insights — она как раз названа в политике. Главная проблема: на сайте главы государства данные о посещении уходят в Twitter и Meta раньше согласия.

Хронология утечки

140 мс · шрифты Google Fonts

Загружаются шрифты с домена Google. Статический ресурс, но IP посетителя уходит в Google.

145 мс · виджет Twitter/X

Загружается скрипт виджета Twitter/X. Сторонний сервис соцсети подключается на первом контакте, до согласия.

146 мс · встраивание Instagram

Загружается скрипт встраивания Instagram, обращаясь к Meta. То есть Meta получает обращение о визите ещё до согласия.

148 мс · баннер согласия

Загружается баннер согласия. Механизм согласия на сайте предусмотрен — значит то, что отработало раньше, произошло до согласия.

149 мс · аналитика Cloudflare Insights

Подключается сторонняя аналитика Cloudflare Insights. Она приватная, без cookie, и в политике названа — наименее проблемная часть.

457 мс · обмен данными с Twitter

Виджет Twitter обращается к syndication.twitter.com и обменивается данными о визите. То есть виджет не просто отрисован — он передал данные в Twitter, по-прежнему без согласия.

Декларация против факта

✓ Cloudflare — заявлен

+ Twitter / X — не заявлен

+ Instagram — не заявлен

Зафиксированные трекеры

Twitter / X (виджет)
Instagram (Meta)
Cloudflare Insights
Google Fonts

Зафиксированные нарушения

Art. 6(1)(a) GDPR — социальные виджеты передают данные о визите до согласия

На сайте есть баннер согласия, но в чистом сеансе, на загрузке страницы и без какого-либо решения пользователя, отрабатывают сторонние социальные сервисы. Виджет Twitter/X загружается и обращается к серверам Twitter, обмениваясь данными о визите. Скрипт встраивания Instagram обращается к Meta. Оба — сторонние получатели в США, и оба срабатывают до согласия. Дополнительно работает сторонняя аналитика Cloudflare Insights (она приватная, без cookie, и в политике названа). При этом сами социальные виджеты в политике не упомянуты, а механизм согласия под них не предусмотрен — слово «согласие» в документе вовсе не встречается. То есть на сайте главы государства данные о посещении уходят в Twitter и Meta раньше любого согласия.
Art. 13 GDPR — фактические социальные получатели в политике не названы

Политика называет сторонними сервисами Cloudflare (оптимизация доступа), а также YouTube и Vimeo (видео). Однако ни YouTube, ни Vimeo на главной странице не сработали. Реально отрабатывают виджет Twitter/X и встраивание Instagram — и ни один из них в политике не назван. Получается зеркальное расхождение: названы сервисы, которые здесь не сработали, и не названы те, что фактически передают данные о визите в Twitter и Meta.

Контекст

www.quirinale.it — официальный сайт Президента Итальянской Республики (Quirinale). Контролёр данных — Presidenza della Repubblica. Это высший конституционный орган; сайт информационный: о деятельности Президента, институциональных событиях, документах, доступе к Библиотеке.

Замер: 65 обращений к 7 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. На сайте есть баннер согласия. Тяжёлого рекламно-аналитического слоя нет, но присутствуют социальные виджеты и сторонняя аналитика.

Кто получает данные

Тут были замечены: Twitter / X, Meta / Instagram.

Twitter получает данные через свой виджет: он обращается к серверам Twitter и обменивается данными о визите. Meta — через скрипт встраивания Instagram, который обращается к её серверам на загрузке страницы. Оба сервиса размещены в США. Дополнительно работает аналитика Cloudflare Insights — она приватная (без cookie) и в политике названа, поэтому наименее проблемна. Шрифты подгружаются с Google Fonts.

Был ли баннер согласия

Да, баннер согласия на сайте есть. Решение «принять/отклонить» в этом визите не делалось, и cookie за сеанс не выставлено ни одной — то есть согласие не дано.

И именно на этом фоне видно расхождение: социальные виджеты отрабатывают до согласия, а в политике они не упомянуты вовсе. Слово «согласие» в тексте политики не встречается, то есть механизм согласия под социальные сервисы и не предусмотрен.

Что срабатывает до согласия

На загрузке страницы, без какого-либо выбора пользователя, отрабатывают:

виджет Twitter/X — с обменом данными о визите с серверами Twitter;
встраивание Instagram — с обращением к Meta;
сторонняя аналитика Cloudflare Insights (приватная, без cookie — наименее проблемная);
загрузка шрифтов Google Fonts.

Ключевые — два социальных виджета. Под устоявшейся практикой социальный плагин, передающий данные о визите в соцсеть при загрузке страницы, требует предварительного согласия; здесь оно не запрашивается.

Расхождение документов с реальностью

Отдельная нестыковка — зеркальная. Политика называет сторонними сервисами Cloudflare, а также YouTube и Vimeo. Но YouTube и Vimeo на главной не сработали. Реально работают виджет Twitter/X и встраивание Instagram — и ни один из них в политике не назван. То есть документ называет сервисы, которых здесь нет, и молчит о тех, что фактически передают данные о визите в Twitter и Meta.

Вывод

Quirinale.it — сдержанный по сравнению с другими госсайтами серии случай: рекламы, рекламных доменов и Google Analytics здесь нет, а единственная аналитика — приватная и названная. Но на сайте главы государства социальные виджеты Twitter и Instagram передают данные о визите в Twitter и Meta на загрузке страницы — без согласия и без упоминания в политике, при том что баннер согласия на сайте есть. Главное, что должен вынести читатель: даже на сайте Президента социальные виджеты оказываются включены по умолчанию и отдают сведения о визите зарубежным соцсетям раньше согласия, а политика называет одни сервисы, тогда как работают другие. Достаточно сделать соцвиджеты загружаемыми по клику и привести политику в соответствие с фактическими получателями.

Доказательство

Оригинал (разбор)

HAR-файл: it/quirinale-it-2026-06-15.har

SHA-256: d5f374ff0a02e832ed66a66fd7e603c3b8cb8482f9bd8ecb810d28abcf218e60

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом quirinale.it.

2. Обстоятельства
Я посетил сайт quirinale.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) На сайте есть баннер согласия, но в чистом сеансе, на загрузке страницы и без какого-либо решения пользователя, отрабатывают сторонние социальные сервисы. Виджет Twitter/X загружается и обращается к серверам Twitter, обмениваясь данными о визите. Скрипт встраивания Instagram обращается к Meta. Оба — сторонние получатели в США, и оба срабатывают до согласия. Дополнительно работает сторонняя аналитика Cloudflare Insights (она приватная, без cookie, и в политике названа). При этом сами социальные виджеты в политике не упомянуты, а механизм согласия под них не предусмотрен — слово «согласие» в документе вовсе не встречается. То есть на сайте главы государства данные о посещении уходят в Twitter и Meta раньше любого согласия.

2) Политика называет сторонними сервисами Cloudflare (оптимизация доступа), а также YouTube и Vimeo (видео). Однако ни YouTube, ни Vimeo на главной странице не сработали. Реально отрабатывают виджет Twitter/X и встраивание Instagram — и ни один из них в политике не назван. Получается зеркальное расхождение: названы сервисы, которые здесь не сработали, и не названы те, что фактически передают данные о визите в Twitter и Meta.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/quirinale-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — социальные виджеты передают данные о визите до согласия; Art. 13 GDPR — фактические социальные получатели в политике не названы

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата] [Подпись/имя]