Autenticazione tramite i servizi VK, Mail.ru, OK

Discussione
,
1

A partire dal fine del 2025, VK è passato al dominio .ru e l’applicazione per l’accesso al sito è stata modificata. Nelle impostazioni è stata aggiunta la possibilità di collegare anche l’autenticazione tramite Mail.ru e OK. Di conseguenza, di seguito sono analizzati i cambiamenti giuridicamente significativi.

:red_circle: 1. Obbligo di fornire documenti entro 3 giorni lavorativi

Articoli:

  • Nel PDF (Odnoklassniki): art. 3.3.1
  • Nel contratto testuale (Mail.ru): art. 3.3.1

«Nel termine non superiore a 3 (tre) giorni lavorativi dal momento della ricezione della richiesta da parte della Società, fornire copie autenticate dei documenti che confermano le informazioni fornite dal Partner durante la registrazione dell’applicazione».

:magnifying_glass_tilted_left: Cosa significa in pratica:

  • Durante la registrazione dell’applicazione (ad esempio, qui) fornisci i seguenti dati:
    • Per persone fisiche: nome, cognome, dati del passaporto, informazioni di contatto.
    • Per persone giuridiche: denominazione, OGRN/INN, indirizzo, ecc.
  • Se VK/Mail.ru richiede di confermare questi dati (ad esempio, in caso di sospetto di frode, registrazione di massa o violazione delle regole), sei obbligato a inviare scansioni dei documenti (passaporto, estratto dall’EGRIUL, lettera di rappresentanza, ecc.) entro 3 giorni.
  • Rischio: mancato adempimento → sospensione o blocco dell’accesso all’API e all’OAuth in via unilaterale (art. 3.2.2 di entrambi i contratti), senza preavviso, solo con notifica dopo.

:white_check_mark: Consiglio:

  • Prepara in anticipo il pacchetto di documenti.
  • Assicurati che i dati forniti durante la registrazione dell’applicazione siano attuali e verificabili — altrimenti la richiesta di conferma è quasi inevitabile.

:red_circle: 2. Obbligo di ottenere il consenso esplicito degli utenti per la trasmissione dei dati personali

Articoli:

  • OK PDF: art. 3.3.4
  • Mail.ru: art. 3.3.4

Il Partner deve ottenere il consenso degli utenti (tra cui in conformità con il FZ-152) alla trasmissione dei loro dati dai servizi della Società → consenso esplicito, indicando:

  • Volume dei dati richiesti (email, nome, foto, ecc.)
  • Finalità dell’elaborazione dei dati
  • Link alla tua politica sulla privacy

:warning: Critico:

  • Non puoi trasmettere automaticamente i dati (ad esempio, l’email) senza consenso esplicito e informato dell’utente — anche se ha cliccato su «Accedi tramite OK/Mail».
  • Il consenso deve essere espresso tramite una casella di controllo prima o insieme al pulsante di accesso, con una formulazione chiara, ad esempio:

«Accetto la trasmissione dei miei dati (nome, email, foto del profilo) da Odnoklassniki/Mail.ru per l’accesso al sito example.com e l’elaborazione in conformità con la Politica sulla privacy

  • Non puoi richiedere dati superflui (art. 3.3.5): ad esempio, richiedere la data di nascita se non è necessaria per l’autenticazione.

:red_circle: 3. Divieto di modificare loghi, pulsanti e elementi UI

Articoli:

  • OK: art. 3.3.3
  • Mail.ru: art. 3.3.3

È vietato:

  • Nascondere o modificare i loghi («Accedi tramite OK» → non si può rinominare in «Accesso rapido»),
  • Rimuovere i link verso OK/Mail,
  • Usare pulsanti e immagini non ufficiali.

:white_check_mark: Soluzione:

:red_circle: 4. Limitazioni nell’uso dei dati degli utenti

Articoli:

  • OK: art. 3.3.6
  • Mail.ru: art. 3.3.6

È vietato:

  • Conservare, elaborare o trasmettere a terzi i dati degli utenti (email, nome, ecc.) ottenuti tramite OAuth, se non è necessario per l’autenticazione e non è specificato nel contratto.
  • Usare i dati per newsletter, analisi, profili pubblicitari — senza consenso aggiuntivo.

:warning: Esempio di rischio:

Se ottieni l’email tramite OAuth e la aggiungi subito a una newsletter — questo è un infrangimento.

:white_check_mark: Soluzione:

  • Distingui chiaramente:
    • Dati per l’accesso (solo per l’autenticazione),
    • Dati per l’uso successivo (newsletter, profilo, ecc.) → devono essere raccolti separatamente, con consenso specifico.

:red_circle: 5. L’accordo è valido “come è” — senza garanzie o responsabilità

Articolo:

La Società non garantisce il funzionamento senza interruzioni, non assume responsabilità per malfunzionamenti, fughe di dati, blocchi, ecc.

:shield: Cosa fare:

  • Non affidarti all’OAuth come unico metodo di accesso. Mantieni sempre un metodo di backup (ad esempio, email + password).
  • Nell’interfaccia comunica: «L’accesso tramite OK è temporaneamente non disponibile — prova più tardi o usa un altro metodo».

:pushpin: Conclusione: Punti critici che richiedono la tua attenzione immediata
1 Preparare e, se necessario, inviare documenti autenticati 3 giorni dal momento della richiesta Blocco dell’API/OAuth
2 Ottenere il consenso esplicito degli utenti per la trasmissione dei dati personali prima dell’autenticazione Sanzioni per il FZ-152, blocco per reclami
3 Usare solo pulsanti e elementi UI ufficiali subito Rifiuto dell’accreditamento dell’applicazione
4 Non utilizzare i dati ottenuti oltre l’autenticazione costantemente Blocco + reclami da parte dei regolatori
5 Seguire le istruzioni e le regole ufficiali costantemente Rischio di sospensione senza preavviso