Premessa

Giugno 2025, BfDI Bundesbeauftragter für den Datenschutz und die Informationsfreiheit ha comminato due sanzioni a Vodafone per un importo totale di 45 milioni di euro BfDI verhängt Geldbußen gegen Vodafone a seguito di gravi carenze nei controlli interni e nei meccanismi di autenticazione. Nello specifico, sono emerse criticità significative che hanno consentito ad alcune agenzie partner di effettuare un utilizzo illecito dei dati personali, giungendo persino alla sottoscrizione di contratti inesistenti. Le vulnerabilità del sistema di autenticazione di Vodafone hanno esposto i dati dei clienti a potenziali accessi abusivi da parte di soggetti terzi, compromettendo così la sicurezza e la riservatezza delle informazioni personali.

Cosa sta succedendo all’App My Vodafone Italia? L’applicativo è disponibile per gli ambienti App Store e Google Play, clicca qui.

ATTENZIONE: dopo aver riscontrato disservizi nel sistema di autenticazione (su account personale), è stato condotto un test approfondito, evidenziando criticità significative relative all’acquisizione dei consensi. L’indagine, effettuata tramite accesso web da Linux Mint e dispositivo mobile Android, ha rivelato un approccio eccessivamente invasivo nella raccolta delle autorizzazioni da parte degli utenti, compromettendo potenzialmente i principi di tutela della privacy.

L’analisi

L’evoluzione dei sistemi di accesso web di Vodafone ha progressivamente complicato l’esperienza degli utenti, trasformando quella che un tempo era una semplice procedura in un labirinto di autenticazione. Se inizialmente bastava inserire username e password, oggi ci si trova coinvolti in un processo sempre più articolato e invasivo. Si è passati dall’introduzione degli SMS di verifica, presentati come misura di sicurezza, all’obbligo di associare un indirizzo email, con l’obiettivo dichiarato di irrobustire l’autenticazione. Questo meccanismo si è rivelato come un efficace strumento per acquisire informazioni aggiuntive sui clienti: un secondo numero di cellulare e un contatto email aggiornato.

Il peggio non è ancora finito… ad un certo punto il sito web blocca l’utenza e pretende che venga installato sul proprio cellulare l’app My Vodafone Italia.

La domanda cruciale è: fino a che punto un’azienda può spingersi nel nome della sicurezza e della contrappposta e semplice necessità del cliente di accedere indiscriminatamente ai suoi dati? Esempio banale, ottenere il credito residuo della propria linea telefonica!

Google Play Store recensione My Vodafone Italia:

Google Play Store recensione My Vodafone Italia

Installazione applicazione in ambiente controllato

L’installazione è stata effettuata su utenza test su sistema operativo GrapheneOS servizi google sandboxed con app scaricata da Aurora Store controllo traffico internet Rethink.

Controllo tracker presenti nell’app

Da εxodus sono segnalati i seguenti tracker:

My Vodafone Italia - tracker

Approfondisci l’argomento clicca qui, ricorda che i tracker si subiscono non puoi esprimere un diniego.

Strategia controllo traffico App

Con l’app in ascolto Rethink, è possibile iniziare a comprendere come si svolge il traffico sulla rete, monitorando i siti che svolgono attività di tracking, supportati anche dalle informazioni raccolte da εxodus.

Ricorda che è sempre importante verificare il flusso del traffico, poiché può variare a seconda delle versioni installate e delle funzioni richieste dal software.

Esempio di regole di dominio bloccate con Rethink:

My Vodafone Italia - regole di dominio bloccate con Rethink

Un primo consiglio bloccare tealium

Tealium maggiori dettagli del tracker da εxodus.

Immagina un occhio elettronico invisibile che segue ogni tuo passo sul web. Tealium è proprio questo: un sistema sofisticato di tracciamento digitale che registra, analizza e memorizza ogni minimo dettaglio della tua navigazione online.

Cosa fa concretamente? Cattura ogni click, ogni movimento, ogni istante della tua esperienza digitale. Tealium inizia immediatamente a costruire un profilo dettagliato del tuo comportamento. Registra l’indirizzo IP, identifica il dispositivo che stai utilizzando, misura con precisione il tempo che trascorri su ogni pagina e traccia la sequenza esatta dei tuoi spostamenti virtuali. Le informazioni raccolte vengono elaborate istantaneamente e archiviate in database estremamente profilati. Questi dati diventano poi un prezioso patrimonio per aziende di marketing che possono utilizzarli per costruire pubblicità estremamente mirate e personalizzate. È come avere un investigatore digitale che conosce i tuoi movimenti online meglio di quanto tu stesso li ricordi. Ogni pagina visitata, ogni interesse mostrato, ogni preferenza viene catturata e trasformata in un profilo dettagliato che può essere venduto, analizzato e utilizzato per scopi commerciali.

Tealium rappresenta l’evoluzione più avanzata della sorveglianza digitale: un sistema che trasforma la tua navigazione in un libro aperto, dove ogni pagina racconta qualcosa di te.

Il ridicolo consenso informato richiesto

La schermata parte con un consenso informato senza via di scampo, non è possibile selezionare o negare i consensi.

My Vodafone Italia - il ridicolo consenso informato richiesto

Cerchiamo di capire:

  • Quali permessi ti chiederemo… ti richiediamo! Ma se ti devo chiedere dei permessi poi indico che ti richiedo come se avessero perso i consensi informati, l’occasione è quella giusta per chiederli di nuovo: richiederli ma, se ti richiedo qualcosa dovrei avere la possibilità di dire no grazie!
  • Gestione delle telefonate e registri chiamate. Perché hanno attenzione di migliorare l’esperienza delle chiamate dal servizio clienti, cosa importa al gestore visto che le stesse sono monitorate dai centralini e che sono anche registrate, spero che solo su consenso. Cosa se ne devono fare delle telefonate del mio registro telefonico! Ma, la ricezione delle telefonate e la loro qualità dipende dall’infrastruttura di rete telefonica a me sembra una presa in giro, una supercazzola!
  • Perché devi sapere la posizione del mio dispositivo, con la scusa subdola di farmi conoscere i negozi più vicini? Mi stai tracciando per suggerire un’eventuale punto Vodafone, che attenzione per il cliente!
  • Posizione in background, questa è una chicca, siccome hanno bisogno di raccogliere dati sulla migliore esperienza dati e voce e identificare le zone da ottimizzare anche quando l’app è chiusa! Se ti devo fare da tecnico, mi devi pagare! Ma Vodafone non ha una struttura con propri dipendenti che monitorano il territorio e misurano la qualità del segnale etc. etc. perché il cliente deve essere a sua insaputa una cavia e sostenere un costo energetico oltre al consumo precoce dell’apparato telefonico!
  • Notifiche è la pubblicità mirata, perché mai!

Diniego consenso informato

Se il software è progettato senza cursori per esprimere il diniego al consenso e visto che c’è intenzione di renderli obbligatori, al momento è possibile bloccare solo tramite il sistema operativo ma, questa opzione potrebbe non essere sempre valida e può variare tra sistemi operativi. Inoltre, non è garantito che a livello di programmazione questa negazione possa in futuro essere bloccante.

My Vodafone Italia - diniego consenso informato

Pretendo i tuoi documenti altrimenti niente app e sito web

Se sono un cliente Vodafone e ho acquistato una SIM, Vodafone già possiede i miei dati anagrafici e mi gestisce come cliente. Pertanto, è improprio richiedere l’inserimento dei documenti per accedere al sito. In questo caso, è necessario intervenire attraverso la tutela del Garante per la protezione dei dati personali.

My Vodafone Italia - documenti identificativi

Conclusione

Nel frattempo per la gestione dei passaggi amministrativi a nuovo gestore, c’è la possibilità di accedere al loro servizio telefonico. Leggi le info Come posso gestire i miei prodotti se non accedo sui nuovi sistemi Vodafone? Clicca qui.