Технический аудит · 2026-06-15

registroimprese.it

Официальный реестр предприятий Италии

Registroimprese.it — официальный реестр предприятий Италии, который ведёт InfoCamere (ИТ-компания торговых палат). Замер главной страницы: 165 обращений, 11 доменов. Для государственного реестра набор сторонних сервисов неожиданно коммерческий: Google Analytics, рекламный тег Google AdSense, SDK Facebook, бот-защита Google reCAPTCHA Enterprise, плюс CMP Didomi. В пользу сайта: рекламный слой Google соблюдает согласие — состояние «не дано», реклама неперсонализированная, cookie не выставлено. Но контакты с США всё равно происходят до согласия: GA4 шлёт просмотр и прокрутку, AdSense-тег пингует, SDK Facebook грузится (IP уходит в Meta), reCAPTCHA собирает данные устройства. И это при том, что правовые условия сайта прямо обещают использовать сторонние трекеры только после согласия.

Хронология утечки

183 мс · шрифты Google Fonts

Загружаются стили шрифтов с домена Google. Статический ресурс, но IP посетителя уходит в Google.

211 мс · платформа согласия Didomi

Загружается платформа сбора согласия Didomi. То есть механизм согласия на сайте предусмотрен.

384 мс · бот-защита Google reCAPTCHA Enterprise

Подключается reCAPTCHA Enterprise от Google: загружается скрипт и запускается фоновый обработчик. Это обычно оправдывают защитой от ботов, но сервис собирает характеристики устройства и обращается к Google ещё до согласия.

498 мс · рекламный тег Google AdSense

Рекламный тег Google AdSense отправляет служебный пинг. Согласие при этом помечено как «не дано», реклама неперсонализированная — Google режим согласия учитывает.

875 мс · Google Analytics шлёт просмотр

Google Analytics отправляет событие просмотра страницы. Сигнал согласия — «не дано», передача обезличенная, но факт визита уходит в Google.

1021 мс · загрузка SDK Facebook

Загружается программный модуль (SDK) Facebook. Отдельного события пикселя не зафиксировано, но само обращение передаёт в Meta IP посетителя — и происходит до согласия.

6021 мс · Google Analytics шлёт прокрутку

Google Analytics отправляет событие прокрутки страницы — то есть отслеживается и поведение, по-прежнему в режиме «согласие не дано».

Декларация против факта

+ Google Analytics — не заявлен

+ Google AdSense — не заявлен

+ Facebook SDK — не заявлен

+ reCAPTCHA Enterprise — не заявлен

Зафиксированные трекеры

Google Analytics 4
Google AdSense (тег)
Facebook SDK
reCAPTCHA Enterprise
Google Tag Manager
Didomi
Google Fonts

Зафиксированные нарушения

Art. 6(1)(a) GDPR — сторонние сервисы контактируют до согласия, вопреки собственному обещанию политики

Правовые условия сайта прямо обещают: сторонние cookie и инструменты отслеживания используются «solo previo consenso» — только после предварительного согласия. Тем не менее в чистом сеансе, до какого-либо решения и при стоящем баннере Didomi, до согласия успевают обратиться сразу несколько сторонних сервисов в США. В пользу сайта надо честно сказать: рекламно-аналитический слой Google настроен на соблюдение согласия — Google Consent Mode передаёт состояние «не дано», реклама помечена как неперсонализированная, cookie за сеанс не выставлено ни одной. Но это не отменяет самих контактов: Google Analytics отправляет события просмотра страницы и прокрутки, рекламный тег Google AdSense шлёт служебный пинг, загружается SDK Facebook (то есть IP уходит в Meta), а также работает бот-защита Google reCAPTCHA Enterprise, собирающая характеристики устройства. Все эти обращения к Google и Meta происходят до согласия, которое политика сама объявляет обязательным условием для сторонних инструментов.

Контекст

www.registroimprese.it — официальный публичный реестр предприятий Италии: данные обо всех зарегистрированных компаниях, их руководителях, акционерах, балансах. Технический оператор и контролёр — InfoCamere S.C.p.A., ИТ-компания системы торговых палат. Это высокочувствительная категория: реестр содержит персональные данные множества физических лиц, связанных с компаниями.

Замер: 165 обращений к 11 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия Didomi. Технический стек включает заметный коммерческий слой Google и Meta.

Кто получает данные

Тут были замечены: Google, Meta / Facebook.

Google присутствует сразу несколькими сервисами: аналитика (Google Analytics), рекламный тег (AdSense), система тегов (Tag Manager), бот-защита (reCAPTCHA Enterprise) и шрифты (Google Fonts). Meta — через загрузку SDK Facebook. Оба — получатели в США. Платформа согласия Didomi — европейская (Дания) и сама по себе претензией не является.

Важно по-честному: рекламно-аналитический слой Google настроен на соблюдение согласия. Состояние согласия передаётся как «не дано», реклама помечена неперсонализированной, отслеживающие cookie за сеанс не выставлены. То есть Google здесь не игнорирует отказ — в отличие от ряда коммерческих сайтов серии.

Был ли баннер согласия

Да, баннер Didomi присутствует и загружается на 211-й миллисекунде. Решение «принять/отклонить» в этом визите не делалось — замер снят в чистом сеансе.

И именно на этом фоне видна нестыковка с собственным документом. Правовые условия сайта прямо обещают: сторонние cookie и инструменты отслеживания используются только после предварительного согласия («solo previo consenso»). А по замеру до согласия уже происходят обращения к Google и Meta.

Что срабатывает до согласия

До какого-либо решения пользователя успевает отработать:

Google Analytics — события просмотра страницы и прокрутки (обезличенно, но факт визита уходит в Google);
рекламный тег Google AdSense — служебный пинг (в неперсонализированном режиме);
SDK Facebook — загрузка модуля, при которой IP уходит в Meta;
reCAPTCHA Enterprise — бот-защита Google со сбором характеристик устройства;
Google Fonts — загрузка шрифтов с передачей IP в Google.

Ключевой момент в разделении. Часть из этого Google держит в «согласие не дано» — без cookie и без персонализации, и это засчитываем сайту. Но контакты как таковые всё равно случаются: загрузка SDK Facebook не привязана к режиму согласия Google и просто отправляет обращение в Meta, а аналитика и reCAPTCHA обращаются к Google. Для сайта, который сам обещал не задействовать сторонние инструменты до согласия, это расхождение между обещанным и происходящим.

Чем это особенно чувствительно

Это официальный реестр предприятий — ресурс с большим объёмом персональных данных физических лиц. Наличие на нём рекламного тега AdSense и SDK Facebook само по себе показательно: коммерческая рекламно-социальная инфраструктура на государственном реестре. Даже при том что Google соблюдает согласие, а событие пикселя Facebook не сработало, присутствие этих сервисов и их обращения до согласия плохо сочетаются с ролью официального реестра.

Вывод

Registroimprese.it — смешанный случай. Положительная часть реальна: рекламно-аналитический слой Google настроен на соблюдение согласия — «не дано», без cookie, реклама неперсонализированная, и это выгодно отличает сайт от тех, кто отказ игнорирует. Но картина не чистая: до согласия всё равно загружается SDK Facebook (IP в Meta), Google Analytics шлёт просмотр и прокрутку, рекламный тег AdSense пингует, а reCAPTCHA собирает данные устройства — притом что собственные правовые условия обещают задействовать сторонние инструменты только после согласия. Главное, что должен вынести читатель: даже корректная настройка согласия для одного поставщика (Google) не делает страницу чистой, если рядом до согласия грузится сторонний социальный SDK и работает рекламно-аналитический слой, а официальный реестр персональных данных — последнее место, где уместны рекламный тег и инфраструктура соцсети.

Доказательство

Оригинал (разбор)

HAR-файл: it/registroimprese-it-2026-06-15.har

SHA-256: 5e4a2e30a54ac3bef1ba66b84a409dda1f9140ff24d1a0b5e8a8033e6f7f6ce9

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом registroimprese.it.

2. Обстоятельства
Я посетил сайт registroimprese.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) Правовые условия сайта прямо обещают: сторонние cookie и инструменты отслеживания используются «solo previo consenso» — только после предварительного согласия. Тем не менее в чистом сеансе, до какого-либо решения и при стоящем баннере Didomi, до согласия успевают обратиться сразу несколько сторонних сервисов в США. В пользу сайта надо честно сказать: рекламно-аналитический слой Google настроен на соблюдение согласия — Google Consent Mode передаёт состояние «не дано», реклама помечена как неперсонализированная, cookie за сеанс не выставлено ни одной. Но это не отменяет самих контактов: Google Analytics отправляет события просмотра страницы и прокрутки, рекламный тег Google AdSense шлёт служебный пинг, загружается SDK Facebook (то есть IP уходит в Meta), а также работает бот-защита Google reCAPTCHA Enterprise, собирающая характеристики устройства. Все эти обращения к Google и Meta происходят до согласия, которое политика сама объявляет обязательным условием для сторонних инструментов.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/registroimprese-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — сторонние сервисы контактируют до согласия, вопреки собственному обещанию политики

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]