Grave violazione della privacy

Salve, vi racconto quanto successo con l’app IO, la utilizzo ormai da tempo per il pagamento di bolli auto ecc., tutto ha funzionato sempre regolarmente, in previsione dell’avvio del cashback ho registrato anche altri metodi di pagamento e fin qui tutto ok.
Mio padre ha lo spid, quindi una sua identità associata al suo codice fiscale, installo l’app nel suo smartphone ed effettuo il login con le sue credenziali, con mia sorpresa scopro che tra i suoi metodi di pagamento ci sono tutte le mie carte, stupito da ciò decido di eliminarle dalla sua applicazione, una volta effettuata l’operazione apro l’app dal mio smartphone con le mie credenziali e anche lì i metodi di pagamento spariti.
Armato di tanta pazienza inserisco nuovamente le carte nella mia applicazione, una volta terminato riapro l’app dallo smartphone di mio padre e come per magia ricomparse anche lì, a questo punto decido di non eliminarle ma di inserire la sua carta nella sua applicazione, una volta terminato riapro la mia applicazione, sempre con le mie credenziali sul mio smartphone, e nuovamente le carte sono sparite.
A questo punto riapro l’applicazione di mio padre e noto che la sua carta è regolarmente registrata, ci sono anche le mie però con il messaggio che non possono essere utilizzate per il cashback in quanto utilizzate già da qualcun altro, ovvero da me.
Naturalmente a me è toccato reinserire nuovamente tutte le carte sulla mia applicazione.
Ma non finisce qui, nella sezione portafoglio è possibile visualizzare lo storico di tutti i pagamenti effettuati nei confronti della pubblica amministrazione, da me sono spariti del tutto e adesso li ritrovo nell’applicazione di mio padre, ricordo che sono due smartphone diversi con credenziali spid diverse.
Sto valutando di intraprendere azioni legali per questa grave violazione della privacy, è successo ad altri?
A chi mi consigliate di rivolgermi per eventuale causa legale?

@Fabio_Riggio …a chi rivolgersi? Certamente ad un avvocato, possibilmente esperto in commerciale (non un divorzista per intenderci).
Prima però ti direi di concentrarti su quanto accaduto, sui danni ricevuti; in sostanza…ma chi te lo fa fare? Ammesso, ma è tutto da valutare, che tu abbia effettivamente avuto dei danni; sono di carattere morale e nessuna rilevanza economica. È chiaro che hai subito un malfunzionamento (si sono accavallate carte e SPID, e tale malfunzionamento si è andato ripetendo nel susseguirsi delle tue successive cancellazioni e reinserimenti. Questo è certo ma…dove sono i danni? Ricorda la massima per le cause legali
1)Aver ragione
2)avere tempo
3) avere soldi
Secondo me hai fatto benissimo a scrivere questa tua storia, renderla pubblica e spero che molti te la sostengano in modo che qualcuno dell’App provi a chiarire; ma per il resto…

Salve. Premetto che, purtroppo, non sono un esperto. Sembra un caso molto grave e particolare, mai riportato prima nonostante milioni di download. Ho alcune domande:

1. Se ho ben capito (lo scrive due volte) l’app IO è stata installata su due cellulari diversi e sono stati effettuati accessi con due credenziali SPID sempre diverse in ciascun cellulare . In altre parole, la sua (di lei) identità SPID non è mai stata usata per entrare sull’app nel cellulare di suo padre, e l’identità SPID di suo padre non è mai stata usata per entrare sull’app nel suo (di lei) cellulare. Ho capito bene?

2. Quando ha visto le sue carte sulla app IO di suo padre, ha anche controllato che tutti gli altri dati (nome, data di nascita, codice fiscale e quant’altro) fossero effettivamente di suo padre?

3. Sicuramente non sarà così, ma le carte si riferiscono a conti cointestati a lei e suo padre?

4. Per quanto questo non chiarirebbe la causa del problema, perché il problema non dovrebbe accadere comunque, varrebbe la pena considerare la possibilità che i codici fiscale suo e di suo padre fossero collegati in qualche modo sbagliato in un dataset della PA (per esempio, uno fiscalmente dipendente dall’altro per un sussidio). Per la privacy, non scriva nulla in proposito su questo forum, ma ci pensi nel caso un servizio assistenza le ponga questa domanda.

Come prima cosa mi rivolgerei urgentemente all’assistenza del provider SPID (o dei provider SPID, se lei e suo padre ne usate due diversi).

Come seconda cosa proverei a scrivere una mail descrivendo il problema a security@pagopa.it (veda la pagina https://io.italia.it/security.html). Non ho idea se la mail sia riservata a professionisti informatici e se riguardi questo tipo di problema, ma è possibile, e tentare non costa.

In bocca al lupo!

Questa è la possibilità che è venuta in mente anche a me, non è che magari è stato inserito codice fiscale del figlio al al momento della creazione dello SPID del padre ? cosa che comunque non dovrebbe essere possibile perché risulterebbe nei controlli automatici che vengono fatti al momento della creazione dello SPID.

Rispondo alle tue domante

1. Ti confermo che l’app è installlata su due smartphone differenti e login unici, nel senso nel mio ho effettuato il login solamente con le mie credenziali e in quello di mio padre solamente con le sue.

2. Naturalemnte ho controllato tutti i dati dell’account, nome cognome codice fiscale ecc erano tutti di mio padre.

3. Le carte si riferiscono esclusivamente a conti che nulla hanno a che fare con mio padre.

4. L’unico collegamento fiscale che ho con i miei genitori è semplicemente un libretto postale dove hanno inserito anche me casomai, facendo gli scongiuri, dovve succedrgli qualcosa.

Aggiungo inoltre che l’unico collegamento dello spid di mio padre che era riconducibile a me è l’indirizzo email, nel senso che io ho lo spid con poste dove è inserito il mio indirizzo email, in fase di creazione dello spid a mio padre, con aruba quindi fornitore diverso, ho inserito lo stesso indirizzo email ma non credo che ciò comporti tutti questi problemi in quanto dovrebbe prevalere il codice fiscale su tutto.
Ad ogni modo dopo tutto sto casino ho anche modificato l’email associata allo spid di mio padre dal portale aruba ma nulla è cambiato.

Assolutamente no, tutto fatto a regola d’arte, anche il riconoscomento fatto di persona, come scritto in precedenza l’unico collegamento tra i due spid era l’indirizzo email.

Ciao Fabio,

è possibile che negli anni scorsi tu abbia usato una carta di tuo padre per il pagamento di qualcosa nei confronti della PA (multe, tasse universitarie, …) o viceversa?

Riccardo

Che io ricordi no, non credo sia mai successo.

Ciao,

Ti suggerirei di verificare dallo storico delle transazioni, tutte quelle che riesci a recuperare. Te lo dico perché PagoPA è in giro da diversi anni, e a me personalmente è capitato di trovare “registrati” metodi di pagamento mai inseriti su IO, solo perché li avevo salvati (la solita casellina “memorizza questo metodo per il futuro”) anni fa.

Certamente la tua esperienza è disorientante e suggerisce un miglioramento necessario nell’interfaccia utente, ma considerando che questa sezione è gestita dalle reti interbancarie (che di solito sono molto attente agli errori di sicurezza) mi sembra la motivazione più plausibile.

Potrei verificare, ma comunque non mi spiego il motivo per cui tutti i pagamenti effettuati nei confronti della PA, con le mie carte, adesso vengono visualizzate nell’app di mio padre e non più nella mia.

spiega bene questa storia dell’indirizzo email

se hai effettuato pagamenti per lui con le tue carte i pagamenti potrebbero essere rimasti associati al suo CF e quindi al suo account IO

In fase di registrazione sul sito Aruba avevo utilizzato il mio indirizzo email, poi l’ho modificato

Se non ricordo male ho fatto pagamenti con la mia carta per mio padre ma non verso le PA

Salve, per avere chiarimenti in merito al tuo problema ti consiglio di scrivere all’assistenza all’interno dell’App IO premendo il “?” in alto a destra.

Ciao, ho già percorso questa strada, mi hanno risposto di attendere perché devono effettuare delle verifiche, secondo me nemmeno loro ci stanno capendo nulla.

Ottimo il suggerimento di Riccardo. Comprensibile quanto dice Marco, ma a mio avviso questo errore sarebbe significativo soprattutto se fosse sintomo che un’applicazione (per esempio IO autorizzata ai soli fini del rimborso) abbia accesso a dei dati (per esempio lo storico dei dati PagoPA) a cui non dovrebbe avere accesso.

Da come era scritto nel primo messaggio sembrava quasi che ti fossi ritrovato in IO l’estratto conto della tua carta di credito, il che mi ha fatto saltare sulla sedia: il garante privacy è stato molto restrittivo sull’uso che l’Agenzia delle Entrate può fare dei dati ricevuti dalle banche, quindi mi aspetto che quei database non siano affatto connessi. Se invece si tratta “solo” di trasmissione di dati già presenti in PagoPA, il problema è piú circostanziato e comprensibile, è “solo” un baco.

Probabilmente mi sfugge qualcosa, ma mi pare che un facile miglioramento sarebbe un limite temporale. Il sistema dei rimborsi non ha nessun bisogno di conoscere i tuoi pagamenti di anni fa, quindi attivarlo non dovrebbe produrre nessun trasferimenti di dati sul regresso.

Se invece si potesse collegare la propria installazione di IO a un’identità presente in PagoPA semplicemente con un indirizzo di posta elettronica, come hai scritto, questo sarebbe un rischio significativo (praticamente una permission escalation, quasi un furto d’identità). Peraltro è capitato anche in note applicazioni sensibili. Spero e confido che almeno l’indirizzo sia verificato, perché in caso contrario chiunque potrebbe “rubare” le registrazioni di chiunque semplicemente conoscendone l’indirizzo di posta elettronica.

la causa del problema sembra essere l’email, a prescindere dei due provider diversi, probabilmente AgID, o solo l’app IO, ha identificato gli utenti tramite l’username ovvero l’email Il fatto che ci possano essere due persone con due cf registrate con la stessa email secondo me non dovrebbe essere permesso.

Mah, ha usato la stessa “rete” ovvero l’I.P. è uguale per tutti e due i smartphone? A me è capitato qualcosa di simile col fascicolo sanitario (regione Lombardia) tra me e mia moglie ma su PC fisso.

L’app io, installata da me prima dell’avvio del cashback, mi ha sempre permesso, prima di attivare l’app a mio padre, li storico dei pagamenti nei confronti della PA, ora non saprei in effetti il perché di ciò dato che la sua utilità principale non era questa ma è anche vero che tramite IO è anche possibile pagare un avviso di pagamento.
L’indirizzo email era uguale solamente per lo spid, serve semplicemente per ricevere le notifiche di accesso o in fase di prima registrazione, però questo dato me lo ritrovavo all’interno del dettaglio account di IO, difatti lì è possibile visualizzare l’indirizzo email ereditato dall’account spid.
Rispondendo alla domanda di Luigi quando ho attivato l’app IO a mio padre naturalmente eravamo connessi alla stessa rete ma sembra una cosa assurda che tale incrocio di dati possa dipendere da ciò, parto da presupposto che l’unico e solo dato che dovrebbero tenere in considerazione è il codice fiscale, se io ho effettuato un pagamento verso la PA con le mie credenziali spid, quindi con il mio codice fiscale, tali pagamenti non dovrebbero essere visibili in un’applicazione di una persona terza, parente o meno, che ha effettuato il login con le sue credenziali e quindi un codice fiscale diverso.

IMG_20201227_1247061080×969 148 KB

IMG_20201227_1246401080×2281 181 KB