I servizi in abbonamento o anche detti servizi a valore aggiunto che i gestori telefonici, Wind, Tim, Vodafone, Tre, offrono ai propri clienti abbonandoli tramite un click sbagliato, sono stati puniti dalla legge ed è anche un comportamento che viola la privacy.

I servizi di tipo premium sono tipicamente servizi erotici pagati diversi euro a settimana quando YouPorn è accessibile gratuitamente h24. È evidente che solo tramite l'inganno è possibile abbonare qualcuno a questi servizi oppure trovando qualche sprovveduto che sono molto rari.

Nella immagine a fianco vedete il sito del Corriere della Sera nella sua pagina dove offre un servizio in abbonamento. Se vi collegate a questa pagina web con un IP della Wind, Tim, Vodafone o Tre, vedrete il vostro numero di cellulare.

Edit: Ho notato che oggi, gennaio 2016, la pagina del Corriere è stata cambiata in una generica pagina che prevede l'inserimento del proprio operatore e del proprio numero di cellulare. Quindi non vi è più la visualizzazione del proprio numero ma è immaginabile che continuino a disporre di questa informazione ma solo non la mostrano. Proverò a connettermi tramite altri provider per cercare conferme.

Il servizio è offerto da Mobile Pay che evidentemente ha un collegamento diretto con gli operatori telefonici e sulla base del nostro IP chiede a Wind, nel mio caso, il mio numero personale mobile e in maniera stupefacente la Wind, senza un mandato del giudice, glielo fornisce e poi Mobile Pay me lo mostra.

Ovviamente è Mobile Pay che offre i servizi a valore aggiunto su licenza della Wind.

Ma il numero di cellulare non era un dato sensibile o comunque un dato personale?

Sulla base del mio IP come 151.44.44.72, che appartiene a Wind, la compagnia telefonica fornisce a Mobile Pay alcuni dati sensibili dell'utenza con quell'IP tra cui il mio numero mobile che vedete nella figura a fianco. Questo viola la privacy dell'utente.

Si tratta poi di un comportamento punito dalla legge in quanto:

L’Antitrust ha chiesto ai principali operatori di telefonia cinque milioni di euro dopo una valanga di segnalazioni da parte dei consumatori per i servizi premium non richiesti che erodono il credito di nascosto.

come descritto in questo articolo del Fatto quotidiano.

A chi si chiedesse come fanno quelli della Wind ad avere il mio numero è presto detto. La Wind presumibilmente espone una API cui Mobile Pay accede fornendo il mio IP (151.44.44.72) e l'ora della connessione e riceve come risposta i miei dati tra cui il mio numero mobile.

Alcuni si sono addentrati in particolari tecnici e hanno tirato in ballo un fantomatico javascript che accede al numero di telefono della SIM che è dentro lo smartphone: nulla di più inesatto. Io non ho lo smartphone eppure hanno letto il mio numero della SIM.

Per la precisione ho una SIM che è dentro una chiavetta 3G che è collegata via USB a un router che è collegato via Ethernet al mio PC: impossibile per qualunque javascript poter accedere alla mia SIM che è nascosta dietro numerose interfacce sia hardware che software. Semplicemente la Wind espone una API cui Mobile Pay accede.

Kensan.it

Di solito su richiesta della Polizia postale si ottengono i dati tra cui il numero di cellulare degli indiziati a partire dall'IP del computer. Mobile Pay fa tutto automaticamente e a partire dall'IP ottiene istantaneamente il numero di cellulare senza passare per la magistratura.

Aggiornamento 6 lug 2015: Avendo un PC fisso ho a disposizione TOR che mi permette di uscire su Internet con un IP qualsiasi. L'IP con cui sono uscito è 37.157.195.196 e si tratta di un Server con una connessione in banda larga. In tal caso l'immagine che mostra Mobile Pay è quella a fianco dove il mio numero di telefono non è più mostrato.

Preciso che su TOR il javascript è abilitato.

Ovviamente 37.157.195.196 non è un IP né di Wind-3, né di Vodafone e né di Tim per cui Mobile Pay non è in grado di dirmi chi sono. In realtà il mio IP e la mia SIM è della Wind.

Aggiornamento 2 mar 2024: Per quanto riguarda l'inchiesta su WIND il FQ.it afferma: «La Procura aveva ipotizzato un sistema illecito che, tra il 2017 e il 2020, avrebbe consentito una “media di 30/40mila attivazioni” indebite “al giorno” di “servizi premium, cosiddetti Vas”, ossia giochi, oroscopi, suonerie, per “ignari consumatori che si vedevano addebitare i relativi costi pari a 5 euro a settimana”.»

Per quanto riguarda l'inchiesta su TIM che non è indagata il FQ.it afferma: «Il decreto di sequestro al netto dei circa 250 milioni di Tim, riguarda altri 70 milioni e oltre di euro spalmati su cinque società con sedi tra Milano, Roma, Torino e Madrid, che avrebbero realizzato e lavorato per la vendita dei servizi aggiuntivi a pagamento e non richiesti dai clienti.» Fonte.

Inoltre nell'articolo si afferma che le SIM messe dentro a macchine automatiche che gestiscono la sim e inviano messaggi automaticamente (IoT), avevano lo stesso attivazioni di VAS, cosa non possibile perché una macchina IoT non naviga, non tappa sui banner e non attiva servizi VAS. Aggiungo che nel mio caso e presumo in molti altri casi le attivazioni dei servizi a luce rossa era fatta da queste società truffaldine in relazioni economiche con le compagnie telefoniche solo sulla base del numero di telefono.

Quindi avevano il mio (e di molti altri) numero di telefono che era dato da Wind e mi appioppavano un servizio a luce rossa pagato diversi euro alla settimana che mi svuotava il credito telefonico fino a farlo arrivare a zero e quindi mi si bloccava la navigazione a Internet. Così mi accorgevo che qualche cosa non andava e risalendo al problema contattavo il servizio telefonico di Wind che mi spiegava la "truffa" dicendomi che avevo attivato un VAS a luce rossa e che solo per questa volta mi avrebbero restituito (una parte) dei soldi "rubati" e sotto intendevano che per questo dovevo essere loro grati. Io cambiavo operatore ma trovavo la stessa ruberia. Negli anni sono passato da TIM a Vodafone a Wind, con le stesse truffe sui VAS.