Технический аудит · 2026-06-15

tecnomat.it

Сеть строительных материалов и товаров для ремонта

Tecnomat (сеть строительных материалов и товаров для ремонта, группа Adeo) — самый тяжёлый по слежке сайт серии: 539 обращений, 69 доменов. Согласие собрано на OneTrust, баннер на экране — но не нажат. И всё равно на первых секундах запускается полный рекламно-аналитический шторм: Google (GA4, Ads, DoubleClick), пиксель Meta с просмотром страницы, Criteo, Adobe Audience Manager, запись сессий Hotjar и десятки программатик-бирж. Google Consent Mode во всех обращениях сразу стоит «granted», состояния «denied» нет ни разу — то есть сайт по умолчанию считает согласие данным, не дожидаясь пользователя, вопреки тексту собственного баннера (без принятия — только технические инструменты). Вдобавок интерфейс согласия построен как тёмный паттерн: принять — один клик, отказаться — нет равноценной кнопки. И даже подробнейшая cookie-политика на ~60 получателей не покрывает всех, кто реально сработал.

Хронология утечки

226–839 мс · платформа согласия с авто-блокировкой

Загружается OneTrust, включая модуль авто-блокировки тегов, и отрисовывается баннер согласия. С этого момента баннер на экране, но решения пользователь не принимает.

234 мс · сторонний A/B-сервис

Ещё до отрисовки баннера подключается сторонний инструмент A/B-тестирования Convert. Сторонний домен получает обращение на первом контакте.

5800 мс и далее · рекламный шторм без согласия

Запускается весь рекламно-аналитический слой: Criteo, Hotjar, Google (Ads/DoubleClick/GA4), пиксель Meta с просмотром страницы, Adobe Audience Manager и десятки программатик-синков. Во всех обращениях Google сигнал согласия сразу «granted».

состояние «denied» отсутствует

Ни одного обращения с сигналом «согласие не дано» в замере нет — то есть переход «отказано → дано» после клика не происходил. Согласие выставлено в «дано» по умолчанию.

Декларация против факта

✓ Google — заявлен

✓ Meta / Facebook — заявлен

✓ Criteo — заявлен

✓ Adobe Audience Manager — заявлен

✓ PubMatic — заявлен

✓ Index Exchange — заявлен

✓ Adform — заявлен

✓ AppNexus / Xandr — заявлен

✓ ID5 — заявлен

✓ Smart AdServer — заявлен

✓ 360yield — заявлен

✓ 1RX — заявлен

✓ Neustar — заявлен

+ Hotjar — не заявлен

+ Taboola — не заявлен

+ Outbrain — не заявлен

+ Rubicon / Magnite — не заявлен

+ Microsoft Bing — не заявлен

+ TripleLift — не заявлен

+ Yieldlab — не заявлен

+ BidSwitch — не заявлен

+ Teads — не заявлен

+ Zemanta — не заявлен

+ vzbl.eu — не заявлен

Зафиксированные трекеры

Google
Meta / Facebook
Criteo
Adobe Audience Manager
Hotjar
Программатик-биржи (RTB)
OneTrust

Зафиксированные нарушения

Art. 6(1)(a) GDPR — рекламно-аналитический слой работает без согласия, по умолчанию «granted»

В чистом сеансе баннер согласия OneTrust показан, но не нажат — выбор пользователь не делал. Несмотря на это, на первых же секундах запускается весь рекламно-аналитический слой: Google (GA4, Ads, DoubleClick), рекламный пиксель Meta с событием просмотра страницы, Criteo, Adobe Audience Manager и десятки программатик-бирж. Сигнал Google Consent Mode при этом во всех обращениях сразу «granted» (и для рекламы, и для аналитики) — ни одного обращения в состоянии «denied» в замере нет вовсе. Это означает, что сайт выставил согласие в положение «дано» по умолчанию, не дожидаясь решения пользователя. Записи о нажатии «принять» у OneTrust тоже нет. Тем самым обработка для рекламы и профилирования идёт без правового основания. Прямое противоречие: текст самого баннера обещает, что без принятия будут работать только технические инструменты, а собственная cookie-политика относит рекламные и аналитические cookie к тем, для которых согласие требуется.
Art. 4(11), 7(3) GDPR — тёмный паттерн в интерфейсе согласия

Согласие не является свободным и равноценным. На первом слое баннера видна яркая кнопка «Accetta tutti i cookie», но равнозначной кнопки «отклонить всё» рядом нет — только «Impostazioni cookie» и крестик. Во втором слое (центр предпочтений) есть «Позвольте всем», но снова нет простого однокликового «отклонить всё»: отказ требует ручного перещёлкивания категорий. Согласие даётся в один клик, отказ — в несколько действий. Эта асимметрия — типичный недопустимый паттерн дизайна по гайдлайнам EDPB о deceptive design и позиции Garante: отказаться должно быть так же легко, как согласиться.
Art. 13(1)(e) GDPR — часть фактических получателей не названа даже в подробной политике

Cookie-политика перечисляет около шестидесяти сторонних получателей — список очень длинный. Тем не менее ряд сервисов, реально сработавших в замере, в нём отсутствует: сторонняя запись сессий Hotjar, нативные рекламные сети Taboola и Outbrain, рекламные биржи Rubicon (Magnite), TripleLift, Yieldlab, BidSwitch, Teads, рекламная платформа Zemanta, конверсионное отслеживание Microsoft Bing и адтех-домен vzbl.eu. То есть даже исчерпывающая на вид простыня получателей не покрывает фактический набор — особенно показательно отсутствие Hotjar, ведущего запись поведения пользователя на странице.

Контекст

www.tecnomat.it — итальянский сайт сети Tecnomat (бывший Bricoman), крупной розницы строительных материалов и товаров для ремонта, входящей в группу Adeo (та же группа, что Leroy Merlin). Ответственный за обработку — Tecnomat / соответствующее юридическое лицо группы. Это коммерческий интернет-магазин с каталогом, выбором магазина, корзиной и оплатой.

Замер: 539 обращений к 69 доменам, главная страница, снят на чистом браузере Edge без VPN и блокировщика. Стоит платформа сбора согласия OneTrust с модулем авто-блокировки. Это самый тяжёлый по числу сторонних получателей сайт серии — полноценный программатик-рекламный стек.

Кто получает данные

Тут были замечены: Google, Meta / Facebook, Criteo, Adobe Audience Manager, Microsoft (Bing / Xandr), PubMatic, Index Exchange, Rubicon / Magnite, Taboola, Outbrain, Adform, Hotjar, ID5, TripleLift, Teads — и это не полный список, а наиболее заметные из десятков.

Слой делится на несколько ролей: веб-аналитика (GA4), рекламное профилирование и ретаргетинг (Criteo, Meta, Google Ads), сведение идентификаторов между площадками (Adobe Audience Manager, ID5, Neustar), программатик-биржи и RTB-синхронизации (PubMatic, Index Exchange, Rubicon, Adform, Xandr, Smart AdServer, 360yield, TripleLift, Yieldlab, BidSwitch и другие), нативная реклама (Taboola, Outbrain) и отдельно — сторонняя запись поведения пользователя на странице (Hotjar).

Был ли баннер согласия

Да — баннер OneTrust показан. Но в этом и суть: он не нажат, а рекламно-аналитический слой работает всё равно.

Доказательство — в сигналах самого сайта. Google Consent Mode в каждом обращении сразу передаёт состояние «granted» (согласие дано на рекламу и аналитику). При нормальной настройке до клика передавалось бы «denied», а после нажатия «принять» — переход в «granted». В замере состояния «denied» нет ни разу, и записи о нажатии «принять» у OneTrust тоже нет. Значит, сайт выставил согласие в «дано» по умолчанию, не дожидаясь решения пользователя.

Это прямо противоречит двум собственным документам площадки. Текст баннера обещает: без принятия работают только технические инструменты. Cookie-политика относит рекламные и аналитические cookie к категориям, для которых согласие требуется. По факту и то, и другое игнорируется.

Тёмный паттерн согласия

Отдельная проблема — сам интерфейс выбора. На первом слое баннера ярко выделена кнопка «принять все cookie», но равноценной кнопки «отклонить все» рядом нет — только «настройки» и крестик. Во втором слое, в центре предпочтений, есть кнопка «позволить всем», но снова нет простого однокликового отказа: чтобы отказаться, нужно вручную перещёлкивать категории. Согласие — одно движение, отказ — несколько. Такая асимметрия признаётся недопустимым приёмом дизайна: отказаться должно быть так же легко, как согласиться.

Получатели сверх списка

Cookie-политика у сайта очень подробная — перечисляет около шестидесяти сторонних получателей. Но даже она не покрывает всех, кто реально сработал. В замере отметились, но в политике отсутствуют: сторонняя запись сессий Hotjar, нативные сети Taboola и Outbrain, рекламные биржи Rubicon (Magnite), TripleLift, Yieldlab, BidSwitch, Teads, платформа Zemanta, конверсионное отслеживание Microsoft Bing и адтех-домен vzbl.eu. Особенно показательно отсутствие Hotjar — инструмента, записывающего поведение пользователя на странице.

Отдельно стоит отметить, как до этой политики вообще добраться: страница отдаётся только после того, как сайт получает доступ к геолокации или выбору магазина. То есть обязательную информацию о трекерах прячут за дополнительным условием.

Вывод

Tecnomat — крайний полюс серии и её показательный антипример. Здесь не «несколько трекеров проскочили до баннера» — здесь рекламно-аналитический шторм из десятков получателей работает фактически без согласия: Google Consent Mode выставлен в «granted» по умолчанию, состояния «отказано» нет ни разу, нажатия «принять» не было, а баннер тем временем висит на экране и обещает обратное. Поверх этого — тёмный паттерн, где отказаться труднее, чем согласиться, и подробная политика, которая всё равно не называет всех реально работающих получателей, включая запись сессий Hotjar. Главное, что должен вынести читатель: наличие баннера, платформы согласия и многостраничной политики само по себе не значит ничего — проверяется только сетевым замером, и здесь он показывает, что согласие имитируется по умолчанию, отказ затруднён, а фактический список получателей шире заявленного..

Доказательство

Оригинал (разбор)

HAR-файл: it/tecnomat-it-2026-06-15.har

SHA-256: eb18200553dfba01837edf164373abaeace910d9fc2316a4ee6b6d39211765e9

Контрольный снимок

Ждём изменений

HAR-файлы хранятся в EU-инфраструктуре (Proton Drive). SHA-256 публикуется для проверки целостности.

Готовое письмо для подачи жалобы

Куда подавать: Garante — Итальянский гарант защиты данных — garanteprivacy.it

Кому: Garante — Итальянский гарант защиты данных
От: [Ваше имя], [контактный email]

1. Предмет жалобы
Я подаю жалобу в отношении обработки моих персональных данных сайтом tecnomat.it.

2. Обстоятельства
Я посетил сайт tecnomat.it и обнаружил, что мои персональные данные обрабатывались с нарушением требований GDPR. Технический разбор, опубликованный на gdpru.eu 15.06.2026 (открытая методология, воспроизводимые измерения), документирует следующее:

1) В чистом сеансе баннер согласия OneTrust показан, но не нажат — выбор пользователь не делал. Несмотря на это, на первых же секундах запускается весь рекламно-аналитический слой: Google (GA4, Ads, DoubleClick), рекламный пиксель Meta с событием просмотра страницы, Criteo, Adobe Audience Manager и десятки программатик-бирж. Сигнал Google Consent Mode при этом во всех обращениях сразу «granted» (и для рекламы, и для аналитики) — ни одного обращения в состоянии «denied» в замере нет вовсе. Это означает, что сайт выставил согласие в положение «дано» по умолчанию, не дожидаясь решения пользователя. Записи о нажатии «принять» у OneTrust тоже нет. Тем самым обработка для рекламы и профилирования идёт без правового основания. Прямое противоречие: текст самого баннера обещает, что без принятия будут работать только технические инструменты, а собственная cookie-политика относит рекламные и аналитические cookie к тем, для которых согласие требуется.

2) Согласие не является свободным и равноценным. На первом слое баннера видна яркая кнопка «Accetta tutti i cookie», но равнозначной кнопки «отклонить всё» рядом нет — только «Impostazioni cookie» и крестик. Во втором слое (центр предпочтений) есть «Позвольте всем», но снова нет простого однокликового «отклонить всё»: отказ требует ручного перещёлкивания категорий. Согласие даётся в один клик, отказ — в несколько действий. Эта асимметрия — типичный недопустимый паттерн дизайна по гайдлайнам EDPB о deceptive design и позиции Garante: отказаться должно быть так же легко, как согласиться.

3) Cookie-политика перечисляет около шестидесяти сторонних получателей — список очень длинный. Тем не менее ряд сервисов, реально сработавших в замере, в нём отсутствует: сторонняя запись сессий Hotjar, нативные рекламные сети Taboola и Outbrain, рекламные биржи Rubicon (Magnite), TripleLift, Yieldlab, BidSwitch, Teads, рекламная платформа Zemanta, конверсионное отслеживание Microsoft Bing и адтех-домен vzbl.eu. То есть даже исчерпывающая на вид простыня получателей не покрывает фактический набор — особенно показательно отсутствие Hotjar, ведущего запись поведения пользователя на странице.

Полная техническая документация опубликована по адресу: https://gdpru.eu/audits/tecnomat-it/

3. Нарушенные положения
Art. 6(1)(a) GDPR — рекламно-аналитический слой работает без согласия, по умолчанию «granted»; Art. 4(11), 7(3) GDPR — тёмный паттерн в интерфейсе согласия; Art. 13(1)(e) GDPR — часть фактических получателей не названа даже в подробной политике

4. Требование
Прошу провести проверку указанных нарушений и принять меры, предусмотренные статьёй 58(2) GDPR.

5. Приложения
Полная доказательная база — HAR-файл, контрольная сумма SHA-256
и цитата из политики конфиденциальности сайта, документирующая
указанное противоречие — опубликована и проверяема по ссылке
в пункте 2 выше.

[Дата]                                    [Подпись/имя]