Antitrust contro i servizi mobile indesiderati

Sotto accusa i servizi a pagamento non richiesti dagli utenti, o non opportunamente spiegati nei dettagli. H3G, Telecom Italia, Vodafone e Wind potranno dare la loro versione

Roma – L’Autorità Garante della Concorrenza e del Mercato (Agcm) ha aperto un’ istruttoria nei confronti degli operatori telefonici mobile italiani dopo la denuncia ricevuta dal Codacons . Al centro dell’indagine di Agcm, l’accusa dell’associazione dei consumatori secondo cui gli operatori avrebbero fornito agli utenti servizi a pagamento (definiti premium) non chiaramente specificati .

In pratica, secondo Codacons ai consumatori sarebbero stati addebitati sul proprio credito telefonico importi relativi ad abbonamenti e servizi non richiesti o non adeguatamente spiegati nei loro costi e modalità.

Coinvolti nell’indagine dell’antitrust sono H3G, Telecom Italia, Vodafone e Wind .

Nel dettaglio – secondo quanto si legge nel bollettino del 21 luglio dell’Agcm – a queste ultime due vengono contestate “l’omissione di informazioni rilevanti e/o la diffusione di informazioni non rispondenti al vero circa l’oggetto del contratto di telefonia mobile (cioè per quanto riguarda le caratteristiche essenziali, le modalità di fornitura e di pagamento dei suddetti servizi, nonché circa l’esistenza del c.d. blocco selettivo e la necessità per l’utente di doversi attivare mediante una richiesta esplicita di adesione alla procedura di blocco), nonché l’implementazione di un sistema automatico per trasferire il numero di telefono dell’utente “dal gestore ai Content Service Provider (CSP) che editano i contenuti digitali a pagamento e il successivo automatico addebito del servizio sul credito telefonico dell’utente senza che quest’ultimo abbia mai inserito il proprio numero telefonico o si sia, in altro modo consapevole, reso riconoscibile”.

Nei confronti di Telecom Italia e H3G, ad essere contestato è invece l’utilizzo di “modalità di presentazione dei messaggi volti a promuovere i servizi a pagamento (link, pop up e banner presenti nelle app o sui siti web) contenenti informazioni non rispondenti al vero e/o omissioni informative circa gli elementi principali dell’offerta (caratteristiche, prezzo ecc.) e i diritti dei consumatori nella contrattazione a distanza (recesso ecc.), nonché caratterizzate da meccanismi che determinano l’accesso ai predetti servizi e la loro attivazione con conseguente relativo addebito sul credito telefonico, in modo accidentale o, comunque, in assenza di una espressa manifestazione di volontà del consumatore”: basta per esempio pensare agli sfioramenti accidentali di uno schermo touch screen che possono portare l’utente ad aprire inavvertitamente una finestra o alla difficoltà nel cliccare il comando di chiusura di un banner innescando invece l’apertura di un link.

Le aziende interessate potranno intervenire nel procedimento inviando le relative osservazioni e appunti all’Autorità.

Claudio Tamburrino

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • ratte scrive:
    ebbravo
    ..."l'utilizzo di filtri e ad blocker con Adblock Plus non servono a nulla"...ebbravo, te lo credi... quando e se servisse AdBlock, Ghostery & Co. comincerebbero a prendere il canvas html5 a calci nel sedere... ed AddThis e gli altri criminogeni potrebbero solo attaccarsi al cosidetto tram.Leggo ora delle caretteristiche di Torch comunque... grazie delle info... già lo uso perchè ha prestazioni eccellenti per l'audioHTML5. W Torch, W Ghostery e BlockOgnunquecosa 8)
  • xifkuibw scrive:
    Re: La profilazione è una tigre di carta.
    - Scritto da: thinshadow
    1) Tor e NoScript (e, meglio ancora, Javascript
    disattivato), in prima battuta. Probabilmente
    basterebbe.


    Ma se non bastasse ecco che si passa a

    2) in seconda battuta: Tor e NoScript usati in
    una macchina virtuale, crittografata dentro uno
    hidden volume di TrueCrypt: anche se riuscissero
    a "profilare" la VM a cosa gli servirebbe? E'
    invisibile e introvabile, possono esaminare
    finchè vogliono il PC ma la famigerata "impronta
    digitale" della profilazione (oltre ad ogni altra
    informazione significativa!) non la troverebbero
    mai.3) Far saltare la scheda di rete con 2kg di C-4
  • umby scrive:
    non ho capito..
    .. come funziona il gioco.Il browser visualizza una immagine, su questa si sovrappone un qualcosa.Poi ti scaricano l'immagine dal pc e la analizzano?unaDuraLezione, mi puoi chiarire meglio la cosa?
    • unaDuraLezione scrive:
      Re: non ho capito..
      contenuto non disponibile
      • Jack scrive:
        Re: non ho capito..
        Leggendo l'articolo (e la classifica), sembra che le sottili differenze di renter siano più evidenti nel render dei font.Aggiungerei che IE sembra renderizzare senza usare il cleartype, mentre firefox sembra utilizzarlo: secondo me proprio il cleartype rende più evidente le differenze tra una configurazione e l'altra...
      • vrioexo scrive:
        Re: non ho capito..
        - Scritto da: unaDuraLezione
        m'è venuta voglia di provare e ho fatto una
        paginetta per vedere se è vero:
        http://html5demo.altervista.org/supercookie.htmlCome ho già accennato nel mio precedente post l'unico modo per difendersi da questo tipo di attacco è utilizzare TorBrowser (meglio se installato/utilizzato in versione inglese):http://img7.imagevenue.com/img.php?image=48924_ScreenShot_canvas_122_455lo.jpgTra l'altro questo specifico tipo di hack sta diventando sempre più frequente (l'ultima volta è mi è capitato proprio ieri pomeriggio!) e da inizio anno sarà la quinta o sesta volta che mi imbatto in questi potenziali tentativi di profilazione via canvas.Riguardo i super-cookie non penso siano un problema visto che di default TorBrowser non accetta neppure quelli normali.Per chi invece usa Firefox consiglio queste estensioni:1) Self destructing cookieshttps://addons.mozilla.org/it/firefox/addon/self-destructing-cookies2) RequestPolicyhttps://addons.mozilla.org/it/firefox/addon/requestpolicy3) Adblock Edgehttps://addons.mozilla.org/it/firefox/addon/adblock-edgeLa seconda estensione è il naturale complemento di no-script mentre la terza è un fork di AdBlockPlus con regole anti-pubblicità più rigide, quindi senza la whitelist degli 'acceptable ads'.
      • umby scrive:
        Re: non ho capito..
        Ok. Chiaro.Comunque, ho fatto una capatina alla tua pagina di test, ma a parte il rettangolo con le 2 curve, non é comparso nulla, ne la scritta ne l'alert.Una capatina anche su http://www.browserleaks.com/canvas che dovrebbe fare anche lui un test, mi da risultati negativi.Non avrei mai immaginato fosse possibile creare immagini ed analizzare il risultato ottenuto.Grazie.
        • vrioexo scrive:
          Re: non ho capito..
          - Scritto da: umby
          Una capatina anche su
          http://www.browserleaks.com/canvas
          che dovrebbe fare anche lui un test,
          mi da risultati negativi.Su Firefox standard non appare nessun messaggio di allerta per il semplice motivo che Firefox non è in grado di intercettare questi tentativi di profilazione via Canvas: non devi usare Firefox ma TorBrowser con JavaScript abilitato sulla pagina del test (e i permessi li devi concedere da no-script), altrimenti - con JavaScript bloccato - questo tentativo di fingerprint via Canvas non avviene e quindi non compare nessun messaggio di allerta da parte di TorBrowser; se esegui il test alle condizioni di cui sopra e poi vai a vedere nel dettaglio il risultato della scansione alla voce 'General Conclusion' noterai:''Canvas Protection was detected, it seems that Tor Browser is here!''
  • ... scrive:
    Re: La profilazione è una tigre di carta.
    - Scritto da: thinshadow
    E se invece non avete bisogno di tanto anonimato,
    probabilmente possono pure profilarvi senza
    causarvi danni, anche perchè probabilmente non
    verranno mai a cercarvi.Motivo per cui la paura della profilazione è più paranoia che una reale paura giustificata dai fatti.
    • thinshadow scrive:
      Re: La profilazione è una tigre di carta.
      - Scritto da: ...
      Motivo per cui la paura della profilazione è più
      paranoia che una reale paura giustificata dai
      fatti.Esatto.Ed è per questo che trovo grave la cocciutaggine degli sviluppatori di Tor, che perfino dopo i noti fatti continuano a lasciare Javascript attivato di default "per ridurre la profilazione".Occorrerebbe invece sensibilizzare gli utenti e far loro capire che ogni elemento eseguibile controllato dal server web è potenzialmente un pericolo e che anche senza Javascript molti siti sono utilizzabili.L'attivarlo dovrebbe essere l'eccezione (come ha sempre fatto chi ne capisce un minimo) e, comunque, non dovrebbe essere il default.
  • vrioexo scrive:
    Re: La profilazione è una tigre di carta.
    - Scritto da: thinshadow
    1) Tor e NoScript (e, meglio ancora, Javascript
    disattivato), in prima battuta. Probabilmente
    basterebbe.Se ti riferisci a TorBrowser leva il 'probabilmente': TorBrowser di default impedisce il tracciamento via Canvas e ti avverte (tramite il pop-up degli add-on) chiedendoti se vuoi bloccare l'elemento oppure consentirne l'esecuzione.----@AlfonsoUn nuovo metodo di tracciamento? nuovo come Babbo Natale... ;)Articolo accademico della UCSDCSE, University of California in pdf del 18-06-2012:http://cseweb.ucsd.edu/~hovav/dist/canvas.pdfIn realtà i primi studi in tal senso (vedere bibliografia del pdf) risalgono al 2009...
  • suc scrive:
    sanno che siamo sempre noi, ma non chi è
    sanno che siamo sempre noi, ma non sanno chi siamo noi
  • bubba scrive:
    less is more....
    vecchia lezione, sempre valida.Nello specifico si puo' vedere che il 99% degli spammatori indicati sono del tutto inutili (aka il js che iniettano nella tua pagina non serve alla fruizione del servizio), ergo un uso banale di no-script li tiene fuori dal collioni.Peggio sono i flash cookie (+ subdoli.. spesso parte del servizio... aka se mi vuoi vedere devi attivare flash ,se mi attivi potrei paciugarti & co)Cmq, come sempre, resta un tema preoccupante... gli spammer aumentano, si piazzano come parte integrante del servizio (il malvezzo di far ogni sternuto in html riempiendolo di API terze non aiuta) e, ovviamente, rimane la questione mobile browser. di default + limitati e proni a fastidi.
    • domanda scrive:
      Re: less is more....
      - Scritto da: bubba
      vecchia lezione, sempre valida.

      Nello specifico si puo' vedere che il 99% degli
      spammatori indicati sono del tutto inutili (aka
      il js che iniettano nella tua pagina non serve
      alla fruizione del servizio), ergo un uso banale
      di no-script li tiene fuori dal
      collioni.io sono uscito dal tunnel di no-script: mi ero rotto di aggiungere eccezioni. Ci vorrebbe una lista di eccezioni predefinite come le liste di adblock.Esistono?
      • panda rossa scrive:
        Re: less is more....
        - Scritto da: domanda
        - Scritto da: bubba

        vecchia lezione, sempre valida.



        Nello specifico si puo' vedere che il 99%
        degli

        spammatori indicati sono del tutto inutili
        (aka

        il js che iniettano nella tua pagina non
        serve

        alla fruizione del servizio), ergo un uso
        banale

        di no-script li tiene fuori dal

        collioni.

        io sono uscito dal tunnel di no-script: mi ero
        rotto di aggiungere eccezioni.Se ti piace la sodomia passiva, buon per te.Le eccezioni si aggiungono solo la prima volta.
      • bubba scrive:
        Re: less is more....
        - Scritto da: domanda
        - Scritto da: bubba

        vecchia lezione, sempre valida.



        Nello specifico si puo' vedere che il 99%
        degli

        spammatori indicati sono del tutto inutili
        (aka

        il js che iniettano nella tua pagina non
        serve

        alla fruizione del servizio), ergo un uso
        banale

        di no-script li tiene fuori dal

        collioni.

        io sono uscito dal tunnel di no-script: mi ero
        rotto di aggiungere eccezioni. Ci vorrebbe una
        lista di eccezioni predefinite come le liste di
        adblock.

        Esistono?mhh non comprendo la domanda... nel senso ..noscript -alla grossa- ha 2 liste, gli fqdn fidati e i non fidati. sono fqdn salvabili/caricabili. ma di default GIUSTAMENTE la lista dei fidati e' MOLTO corta (e anzi c'e' troppa gente ). Cio' di cui reputa di fidarsi Caio, non e' cio' di cui mi fido io, quindi .. a che pro avere delle liste predefinite da un estraneo (tantopiu' che varia anche sull'ampiezza del dominio... 1,2'liv, host..)? E in seconda istanza... cio' di cui mi fido oggi, magari non e' cio di cui mi fido domani (es: lo spam di facebook sparpagliato nei -mila siti deve stare a cuccia di default... ma se domani mi devo loggare proprio su FB, me lo abilito)Il tutto e' -come dicevo- detto grossolanamente, xche si possono fare setup piu' "fini" e/o integrati tra le due categorie (con ABE, il clickjacking ecc). noscript cmq ha effettivamente 2-3 cose noiose nel setup (non granulare e/o trooopo hackish) che mi piacerebbe mettessero, ma cmq...
        • domanda scrive:
          Re: less is more....
          - Scritto da: bubba
          - Scritto da: domanda

          - Scritto da: bubba


          vecchia lezione, sempre valida.





          Nello specifico si puo' vedere che il 99%

          degli


          spammatori indicati sono del tutto inutili

          (aka


          il js che iniettano nella tua pagina non

          serve


          alla fruizione del servizio), ergo un uso

          banale


          di no-script li tiene fuori dal


          collioni.



          io sono uscito dal tunnel di no-script: mi ero

          rotto di aggiungere eccezioni. Ci vorrebbe una

          lista di eccezioni predefinite come le liste di

          adblock.



          Esistono?
          mhh non comprendo la domanda... nel senso
          ..noscript -alla grossa- ha 2 liste, gli fqdn
          fidati e i non fidati. sono fqdn
          salvabili/caricabili. ma di default GIUSTAMENTE
          la lista dei fidati e' MOLTO corta (e anzi c'e'
          troppa gente ).

          Cio' di cui reputa di fidarsi Caio, non e' cio'
          di cui mi fido io, quindi .. a che pro avere
          delle liste predefinite da un estraneo (tantopiu'
          che varia anche sull'ampiezza del dominio...
          1,2'liv, host..)?

          E in seconda istanza... cio' di cui mi fido oggi,
          magari non e' cio di cui mi fido domani (es: lo
          spam di facebook sparpagliato nei -mila siti deve
          stare a cuccia di default... ma se domani mi devo
          loggare proprio su FB, me lo
          abilito)
          Il tutto e' -come dicevo- detto grossolanamente,
          xche si possono fare setup piu' "fini" e/o
          integrati tra le due categorie (con ABE, il
          clickjacking ecc). noscript cmq ha
          effettivamente 2-3 cose noiose nel setup (non
          granulare e/o trooopo hackish) che mi piacerebbe
          mettessero, ma
          cmq...forse è cambiato un po' dall'ultima volta che l'ho usato, non c'era niente di default.tuttavia star lì ad indovinare quale script abilitare per far funzionare un sito non è mai stata una mia passione. Meglio rendere il brower più anonimo possibile e cancellare tutti i dati di navigazione ad ogni sessione.Ah si c'era un'altra cosa che mi dava fastidio: si aggiornava due o tre volte al giorno.
  • Etype scrive:
    HTML5
    L'inizio di HTML5 malware...
    • unaDuraLezione scrive:
      Re: HTML5
      contenuto non disponibile
      • bubba scrive:
        Re: HTML5
        - Scritto da: unaDuraLezione
        - Scritto da: Etype

        L'inizio di HTML5 malware...

        e non hai idea di quanta roba si possa fare
        sfruttandone le
        caratteristiche.raccontaci... che sia plain html5 pero'... senza js..per es websocket, e piu' webgl e webrtc sono 'bestie' notevoli... cmq.. raccontaci..
        • unaDuraLezione scrive:
          Re: HTML5
          contenuto non disponibile
          • daniele_dll _rosica scrive:
            Re: HTML5
            - Scritto da: unaDuraLezione
            - Scritto da: bubba



            per es websocket

            Esatto. Già con queste puoi trasformare un
            browser in un
            bot.
            Non possono non averlo pensato e devono prevedere
            un meccanismo di whitelist con pop-up per ogni
            sito, così come avviene già con certe
            funzionalità. Nativo, non deve essere gestito da
            add.ons.Mah, non vedo affatto questo rischio: cosa te ne fai di un bot che resta attivo per una manciata di secondi?Non è un programma che si installa in locale e viene eseguito in autonomia ma piuttosto una pagina web in un browser gestito dall'utente quindi al massimo la si può usare per inviare dati (come quelli per la profilazione, ma ci sono metodi più easy come le care vecchie immagini finte).

            webgl

            Anche se fossero implementate alla perfezione,
            lavorare direttamente con gli shaders implica una
            certa dose di rischio, visto il bassissimo
            livello a cui si
            trovano.
            In ogni caso, se fossi l'ENEL/A2A/... farei in
            modo che tutte la pagine utilizzino
            intensivamente webgl
            ;)Anche questo punto è piuttosto discutibile, sei sempre dentro una pagina web quindi quello che puoi fare con uno shader è limitato a quello che il compilatore e la runtime ti permettono di fare (lo shader non lo carichi già compilato, ne carichi il sorgente)Certamente ci possono essere bug (ma le runtime di base sono le directx e le opengl quindi comunque non sono spuntate ieri), ma stai comunque girando sulla scheda video quindi quello che puoi fare è abbastanza limitato (calcoli ... o farla riscaldare fino a far spegnere il pc se ha problemi di raffreddaemento)

            raccontaci..

            in generale quasi tutte le caratteristiche di
            HTML5 mettono a disposizione risorse quali cpu,
            gpu, spazio su disco, connettività, esecuzione
            diretta di audio e video,
            ....
            alcune (poche) sono gestite da permessi che
            l'utente deve esplicitamente accordare, la
            maggior parte
            no.

            abusare di ognuno di questi aspetti per dossare,
            infastidire, identificare ed altro è solo
            questione di fantasia e gli spammer, i
            malintenzionati e gli spioni (FB/google/..) non
            hanno limiti quanto a
            fantasiasi ma tutto questo ... è dentro un browser ... e mi basta cliccare una X per risolvere il problema (un pallino rosso su mac)
          • unaDuraLezione scrive:
            Re: HTML5
            contenuto non disponibile
          • Shu scrive:
            Re: HTML5
            - Scritto da: unaDuraLezione
            facciamo che defacciano l'homepage di un
            quotidiano molto diffuso e fanno eseguire a tutti
            i visitatori un bel DDOS contr un
            bersaglio?In Javascript c'è sempre e comunque la SOP, che non ti permette di conetterti (via AJAX o websocket) a domini diversi da quelli da cui hai scaricato lo script.Quindi per attaccare un bersaglio dovrebbero prima hackerare il bersaglio e iniettargli lo script che poi servirà per fare il DDoS. E poi anche hackerare il quotidiano per iniettargli uno script che vada a scaricare lo script dal server della vittima.Non la vedi molto pratica come cosa...
          • 2014 scrive:
            Re: HTML5
            - Scritto da: Shu
            - Scritto da: unaDuraLezione


            facciamo che defacciano l'homepage di un

            quotidiano molto diffuso e fanno eseguire a
            tutti

            i visitatori un bel DDOS contr un

            bersaglio?

            In Javascript c'è sempre e comunque la SOP, che
            non ti permette di conetterti (via AJAX o
            websocket) a domini diversi da quelli da cui hai
            scaricato lo
            script.

            Quindi per attaccare un bersaglio dovrebbero
            prima hackerare il bersaglio e iniettargli lo
            script che poi servirà per fare il DDoS. E poi
            anche hackerare il quotidiano per iniettargli uno
            script che vada a scaricare lo script dal server
            della
            vittima.
            Non la vedi molto pratica come cosa...Basta acquistare la pubblicità, non è così difficile
          • Albedo 0,9 scrive:
            Re: HTML5
            - Scritto da: Shu
            In Javascript c'è sempre e comunque la SOP, che
            non ti permette di conetterti (via AJAX o
            websocket) a domini diversi da quelli da cui hai
            scaricato lo
            script.Della SOP te ne fai niente visto che alla male peggio attende comunque la risposta del server per assicurarsene ("Access-Control-Allow-Origin: *" nell'header di risposta dal server - su differente dominio).Ergo una richiesta HTTP parte sempre, anche su domini differenti (non ti evita il rischio DDOS).
          • 2014 scrive:
            Re: HTML5
            - Scritto da: daniele_dll _rosica
            - Scritto da: unaDuraLezione

            - Scritto da: bubba






            per es websocket



            Esatto. Già con queste puoi trasformare un

            browser in un

            bot.

            Non possono non averlo pensato e devono
            prevedere

            un meccanismo di whitelist con pop-up per
            ogni

            sito, così come avviene già con certe

            funzionalità. Nativo, non deve essere
            gestito
            da

            add.ons.

            Mah, non vedo affatto questo rischio: cosa te ne
            fai di un bot che resta attivo per una manciata
            di
            secondi?
            minatore di bitcoin?
          • bubba scrive:
            Re: HTML5
            - Scritto da: unaDuraLezione
            - Scritto da: bubba



            per es websocket

            Esatto. Già con queste puoi trasformare un
            browser in un
            bot.(cut)si... quello che dici lo sapevo e concordo... ovviamente coi websocket (e anche altro in generale) c'e' da lottare con la same origin policy ecc, ma ci saranno sempre clever hack o veri bug (molti dei quali non li ho neanche mai sentiti nominare probabilmente :P)Ma ero curioso di vedere se avevi qualche hack senza js... (in astratto anche , per dire, esiste senza js ... ma poi cosa ci fai?)ps: per daniele_dll .. via opengl hanno exploitato virtualbox, per dire.. non e' roba sana ... (ok, webgl non e' proprio opengl, ma le libs quelle sono)
          • unaDuraLezione scrive:
            Re: HTML5
            contenuto non disponibile
Chiudi i commenti