Buongiorno, riguardo l’inserimento dei dati della Carta di credito,mi chiedo come mai sia richiesto di inserire anche il codice CVV della carta. Non vie ne messa a rischio la sicurezza della carta stessa?
non andrebbe mai comunicato ma la APP lo “pretende”
ci fidiamo ???!!!???
Suggerisco di attivare il cashback dalle proprie carte di pagamento e relative app.
Emanuele, mi sa che hai proprio ragione ma ormai ho inserito su IO dopo tutta la pubblicità che è stata fatta pensavo che si potesse avviare il programma cash backup solo da app IO. Come sempre tanti proclami autoreferenziali e comunicazione parziale.
se ne hai piu di una non puoi, (viaggerebbero separate, con il limite del massimale, etc etc…)
IO invece ti permette di collegare piu carte allo stesso utente.
Provo a rispondere da persona esperta di informatica e sicurezza.
La sicurezza non vieme messa a rischio, semmai garantita. PagoPA aderisce agli standard PCI-DSS che sono lo stato dell’arte della sicurezza dei sistemi di pagamento. Vorrei farti anche notare che Amazon non chiede il CVV della carta, ma in contropartita se ne assume il rischio frode e la cosa è arci-nota (ricordo un servizio delle Iene ma non si carica il video, oggi).
PagoPA utilizza il CVV della carta proprio per rendere più sicura la procedura di pagamento, simulando un micro-addebito per verificare che tu sia l’intestatario ed impedire ad un malintenzionato, che disponga solo del numero carta, di appropriarsi del tuo cashback.
Cito un parere del Garante Privacy:
g) di definire, in chiave di maggior garanzia, alcune misure di sicurezza da adottare nel trattamento dei dati, con particolare riferimento alla protezione, mediante funzioni crittografiche non reversibili, degli identificativi degli strumenti di pagamento elettronici (PAN, Primary Account Number) in uso ai soggetti che aderiscono all’iniziativa, anche in conformità allo standard PCI DSS (Payment Card Industry Data Security Standard) (art. 4, comma 1);
Lo faceva anche l’INPS quando ci ha mostrato i dati di tutti gli altri utenti ad ogni refresh della pagina?
La vera questione e’ che non ha senso fare il test della carta con un addebito (motivo per cui viene richiesto data di scadenza e CVV) …
le carte per cash back non sono necessariamente le stesse abilitate per i pagamenti da App OnLine … ovvero abilitate per l’e-commerce … di solito ed a garanzia di tutti per l’e-commerce si usano prepagate proprio per limitare i danni in caso di violazione della sicurezza … anche accidentale
La carte cash back sono le carte personali che normalmente usiamo di persona in negozio e che molti utenti hanno anche disabilitato per e-commerce ( e che pertanto fallirebbero il test di addebito dei 0,02 €) … oltretutto le carte del cash back devono essere intestate allo stesso codice fiscale dell’identificato da IO mentre il bollo od i ticket posso pagarli con le carte di tutta la mia famiglia ed infatti e’ possibile modificare l’intestatario della carta … e’ quindi formalmente scorretto utilizzare il portafoglio pagamenti dell’App IO come serbatoio di dati di catalogazione delle carte di pagamento cash back … che quindi non hanno nessuna necessità di essere “Validate” per i pagamenti on line bastava il numero ( e l’intestatario fisso) … se la carta non fosse valida il proprietario non puo’ pagare in negozio … ed il check di esistenza ed itestazione della carta si puo’ fare senza conoscere codici di sicurezza … anzi non e’ neppure necessario farlo.
I Metodi per il pagamento on line di APP IO non hanno nulla a che fare con i metodi di pagamento usati in negozio e accreditati al cash back … le due cose hanno problematiche di gestione, identificazione, sicurezza, attribuzione, validazione completamente diversi tra loro …
dovrebbero quindi essere gestite in due liste separte o perlomeno avere due livelli diversi di definizione, il piu’ generico con pochi dati (es intestazione e numero) … il piu’ specializzato (uno o piu’ di uno) con i dati necessari alle diverse funzioni …
mi sembra invece che ci sia tanta tanta tanta confusione … oltre al fatto che ad oggi e’ quasi impossibile accedere alla registrazione delle varie carte …
Ti sorprenderò
- L’informazione sull’intestazione della carta è al più presente in Anagrafe Tributaria, ma non lavorandoci direttamente non sono sicuro al 200% che dal PAN si ricavi il numero rapporto AdE, da cui ricavi il codice fiscale. Qui la documentazione e la normativa
- E’ possibile fare transazioni sotto altro nome perché nessun circuito controlla a monte (“the information is not sent over the wire”)
Non esiste alcun obbligo, in ambito commerciale che il soggetto pagatore sia il titolare effettivo dello strumento di pagamento. Idem con patate puoi acquistare online (ma questo farebbe scattare almeno un alert) un prodotto con una carta e spedire il prodotto, come regalo, ad un indirizzo diverso.
Il bollo, la TARI, ecc. sono imposte che lo Stato deve riscuotere, non che il cittadino (“quel tale” cittadino) deve pagare. Quindi chi paga non importa, purché il pagamento sia autorizzato e vada a buon fine.
Se davvero non e’ possibile controllare l’associazione CF al PAN … ancor piu’ mi sembra inadeguato il sistema adottato dall’App IO per il cash back … ed il solito giurin giurella che si chiede di confermare che la carta sia davvero intestata a te, se pur legalmente inoppugnabile, e’ decisamente debole come controllo …
Riassumo il pensiero …
- intanto parliamo solo ed esclusivante di cash back, per le altre applicazioni e prima di ora IO era una meraviglia …
- transazioni con carte di credito/debito o altri metodi di pagamento … carte e metodi devono essere associate al CF dell’identificato da IO … è dunque noto il proprietario e tutte le sue generalità visto che l’accesso a IO e’ effettuato con SPID o CIE …
- non si effettuano pagamenti per il cash back su IO … le carte (e da anche i metodi) sono usate da altre parti … di solito in presenza (come si usa dire oggi) … e dunque possono essere anche non abilitate all e-commerce o “electron”
- da qualche parte, qualche genere di software andra’ a fare una scansione degli archivi AdE delle transazioni effettuate da tutte le carte note all’AdE comunicategli da IO … ed estrarrà e calcolerà il mitico cash back …
ora
le domande che sorgono sono …
- … ma era proprio necessario far inveire tutta la popolazione contro le sigle e la tecnologia quando, gira gira … l’Agenzia delle Entrate poteva fare tutto il mestiere in perfetta autonomia ? …
le transazioni le conosce … i contribuenti li conosce … gli esercizi commerciali li conosce …
ma che bisogno c’era di scatenare tutto ‘sto putiferio ?
2)… ma perche’ non far nascere, magari da una costola della stessa IO, un’applicazione solo e soltanto per gestire il cash back … che cosi’ si semplificava … si snelliva … e tutto era piu’ chiaro …
Pensare di poter realizzare e manutenere una sola App che fa (e farà) tutto mi sembra una delle cose meno sensate che chiunque possa immaginare …
o forse e’ perche’ quando si ha solo un martello … tutto sembra essere un chiodo ?
Grazie @djechelon per essere cosi’ disponibile ed informat(ic)a
Privacy! Il GDPR è una cosa serissima e il Garante ha già tuonato diverse volte. Il fatto che AdE possieda i dati non significa assolutamente che questi dati, da un giorno al successivo, possano essere sfruttati e incrociati a piacimento in modalità automatica.
Il cashback è stato vagliato, come la Lotteria, a diversi giri dal Garante. Il fatto che il sistema sia sicuro e tuteli la sicurezza dei dati non vuol dire che il MEF (che non è AdE) possa usare questa scusa per incaricare PagoPA (che è esterna ad AdE) a pescare a strascico dall’Anagrafe Tributaria (di AdE) e dagli acquirer per monitorare le spese fatte dal cittadino.
Come se un bel giorno ti arriva una notifica o un SMS inaspettato
Caro Tizio Sempronio, per mesi abbiamo incrociato i dati delle banche dati pubbliche e quelli che ci hanno fornito Mastercard & Co [semplifico, eh!], quindi ti vogliamo assegnare 128€ di rimborso e abbiamo deciso di farlo sull’IBAN del conto più recente che hai aperto. E ricorda che la tua privacy è tutelata perché anche se sappiamo quanti conti hai non possiamo vedere cosa hai comprato [sigarette, oggetti vibranti, alcolici, analcolici, dolci, salati, pannolini, pannoloni…]
Ma sai qual è la risposta del cittadino???
E chica*z vi ha detto di monitorare le mie spese?
La procedura macchinosa serve ad acquisire il consenso.
Non sono addentro a PagoPA o al Ministero, ma la scelta è verosimilmente politica. Ricordiamo le ultime iniziative “digital-only” per promuovere la cittadinanza digitale e SPID, ricordando che SPID fino all’anno scorso lo avevamo in otto e ci sono ancora carte di identità cartacee che scadono dopo il 2024 (deadline 
dopodiché Schengen ce le cassa)
- Bonus docenti
- Bonus 18app
- Reddito di cittadinanza
- Ristori Covid
- Bonus vacanze
- Bonus cashback
Aggiungi quelle che ho dimenticato
Questo richiederebbe a PagoPA, che è l’azienda pubblica che gestisce IO, di diventare un PSP (prestatore servizi di pagamento), o acquirer che dir si voglia. Poiché ho familiarità col mondo FinTech ti dico che è nyet. Diventare un PSP richiede ingenti quantità di denaro ed assicurazioni. Questo lavoro lo fanno già Apple, Google, Satispay, Nexi e tutti quelli che gestiscono i pagamenti, perché hanno deciso di farci su un business. Una roba che non immagini. Ti cito un acronimo: PCI-DSS, un incubo che toglie il sonno a noi informatici 
.
In Italia abbiamo una Guardia di Finanza molto attenta e sempre sul pezzo. Mi sembra abbastanza chiaro che uno è libero di spuntare oggi una casella che non dovrebbe spuntare ed incassarsi il cashback, ma poi le conseguenze domani potrebbero superare di gran lunga quei 1500€ in palio ai primi 100mila spendaccioni (alleggerisco il tono!).
1 Mi Piace
… discussione sui massimi sistemi …
per poi scoprire che il consenso bastava chiederlo ?!?
… vuoi tu cittadino delle lotterie che ti si spulci spese e pagamenti perche’ ti si possa regalare al massimo 25 € al mese ?
oppure ancora piu’ semplice come la lotteria degli scontrini …
… se vuoi partecipare al cash back immetti qui il tuo CF e ci dai il permesso che ti si spulci spese e carte e pagamenti perche’ ti si possa regalare al massimo 25 € al mese
… piu’ semplice piu’ schietto piu’ rapido senza App senza telefono … aperto a tutti anche a chi ha meno risorse e meno nipoti telematici … … e che la finanza lavori pure … e spero lo faccia anche su chi il permesso poi non l’ha dato …
… alla fine il consenso me lo hai chiesto piu’ e piu’ volte … gia’ installare IO e’ identificarsi … vuol dire che sei una persona qualunque … con un telefono intestato a te e non ad una società … uno spid o una cie intestata a te … che fai le operazioni di persona … e non le fai fare al tuo commercialista o ad un prestanome … che firmi tu … e non il tuo legale rappresentante … ma soprattuto … che sei disposto a dichiarare tutte le tue carte Black o Oro o anche solo argento o rosse (e con tanto di CVV) che tanto sono intestate a te ed appoggiate sul tuo conto corrente ovviamente IT aliano… … per 25€ al mese …
… temo che davvero si sia perso di vista l’obiettivo finale … e la dimensione del problema …
O.T.
e per la lotteria degli scontrini basta immettere il proprio codice fiscale in una pagina su un sito …
… li’ certo il consenso lo dai se mostri la tesserina al commerciante… che nel frattempo s’e’ dovuto (obbligatoriamente entro il 1/1/2021) adeguare magari comprandosi un lettore di bar code … (se si rifiuta lo puoi denunciare direttamente all’ AdE
e quando ti compri lo yacht con la carta di credito (badaben quella che non hai regisrato su AppIO) la tesserina te ne guardi bene dal tirarla fuori … AH no scusa lì rimani anonimo hai solo un numerello … anzi uno per ogni euro speso … non si puo’ sapere se quell’euro era quello del caffè al bar od uno dei tanti dello yacht … allora sissì mostrala pure … la tesserina … a quello dello yacht …
@djechelon con tutto il rispetto … non me ne volere … ma IO per il cash back … e’ veramente un grave errore di valutazione … e molto molto lontano dalla realtà delle popolo delle lotterie
grazie della tua pazienza,
un saluto
p.s.
… ma poi … almeno si fosse relizzato un App che funziona … era cosi’ difficile prevederne il boom degli accessi !!! e l’inadeguatezza dei mezzi ??? … mah? … sull’avvio sperimentale pero’ non metto lingua quello e’ tutt’altro problema che si risolverà piano piano … tutti gli altri guai ahime’ invece temo rimarranno … in secula seculorum
@skgnam volevo fare comunque una precisazione.
Associare un PAN (numero di 16 cifre della carta che vedi oscurato sullo scontrino) ad una carta censita in Anagrafe Tributaria (identificata dal cd. Codice Rapporto AdE) non è una cosa immediatamente fattibile, ossia si sarebbe dovuta emanare una normativa tecnica ad hoc. Dal mio intervento, rileggendolo, è emerso il contrario.
Non è possibile risalire nè a IBAN dei conti nè a numeri carte da Anagrafe Tributaria. Essa nasce per scopi diversi, in particolare indagini finanziare a posteriori.
A proposito della questione privacy, ti segnalo questo articolo:
Elena buongiorno a te e a tutti, l’articolo, anche se vero al 10%, è IMBARAZZANTE.
Ciao @Elena_S, il problema è serissimo e va affrontato con il giusto approccio critico.
Non sono dipendente di PagoPA, non ho nessun conflitto di interesse e non ho particolare interesse politico alla diffusione di Io. Quindi sono neutrale.
L’articolo, così come presentato, dice cose meritevoli di verifica quantomeno esaminando la privacy policy.
Dalla privacy policy confermo di aver preso conoscenza della lista dei fornitori extra-UE e delle finalità.
In questa pagina, accessibile direttamente da app IO, si vedono elencati i fornitori esterni che trattano i dati degli utenti.
Il problema sta nel come è presentato l’articolo, e in che modo può essere interpretato. L’articolo dice cose vere ma può essere interpretato con troppa leggerezza
Dal sottotitolo:
IO invia dati a soggetti terzi negli Stati Uniti
Vero. Invia dei dati. Ma quali dati? La questione va approfondita, perché i dati personali non vanno trattati con leggerezza, sia quando si parla della pizza che ti piace ordinare tanto quando si parla dei tuoi referti medici. Se i dati fossero scambiati con troppa leggerezza sarebbe gravissimo
senza specificare in alcun modo quali dati e per quali finalità
Falso. La finalità è specificata nella privacy policy. Letta così chiunque potrebbe gridare allo scandalo. Che per 150 euro stiamo svendendo (perché ormai sappiamo che tutti cliccano accetta senza leggere tutto) la nostra vita privata contrariamente a quando abbiamo rifiutato Immuni per timori sulla privacy.
l’invio di dati negli Stati Uniti è ormai ritenuto non sicuro da parte dell’Unione Europea. Il Governo USA, difatti, ha potere di accesso ai dati, un potere che, si badi, non è meramente ipotetico. Il Governo USA può accedere ai dati degli europei e, nei fatti, questo potere viene costantemente esercitato. Lo dice la sentenza Schrems, lo dicono le FAQ del Garante, lo dice la legge americana. Non si tratta quindi di uno scenario meramente ipotetico.
Vero. Quindi dobbiamo vedere quali dati e quanto sono sensibili
Tra i fornitori di IO mi piace in questa sede citare RTI Leonardo SpA, fornitore rigorosamente italiano ma di recente vittima di un gravissimo incidente di sicurezza. Sorvoliamo…
Il fornitore magnus di IO è Azure Microsoft Ireland Operations Limited che esercita il trattamento in Paesi Bassi e Irlanda, quindi in UE.
Sui dati trattati un USA, ripeto sto facendo un fact checking all’11/12/2020, ci sono
Mixpanel, che tratta dati di utilizzo (di solito anonimi, non posso mettere la mano sul fuoco) e che PagoPA sta valutando di sostituire (<<in corso di valutazione la sostituzione del fornitore>>). Per ora li tratta, comunque, e scommetto che i numeri delle carte e gli importi acquistati non vanno a MixpanelInstabug, che è un servizio per la gestione e la segnalazione dei bug con l’apposita icona
, così come eventualmente le segnalazioni crash automatiche. Può meritare un approfondimento ulterioreSlackè un sistema di chat e notifiche dei più popolari. Non è chiaro, in effetti, quali dati transitino da Slack, ma sicuramente le chat interne del personale di PagoPA, che deve ovviamente avere la diligenza nel trattare i dati sensibili dagli ambienti di produzione. Poi anche se per assurdo Slack usasse crittografia simile a Whatsapp, il trattamento è ufficialmente svolto negli USA. Può forse meritare una disamina più approfondita?Googleinvia solo le notifiche push. Ricordo un provvedimento del Garante, e mi scuso con tutto il pubblico per non essere in grado di fornire un link, nel quale si raccomanda che le notifiche push contengano solo l’indicazione dell’evento e non il payload. Può essere un tema complesso, dovrei organizzare un convegno con slide e app demo per dettagliarlo. Google sta spostando la sede del trattamento in Belgio ad ogni modo
In conclusione, il tema del trattamento dei dati degli utenti italiani negli USA o peggio altrove merita una disamina molto attenta, e l’intervento di Elena è comunque apprezzabile vista la oggettiva delicatezza del tema.
Tuttavia a me sembra che la modalità con cui il concetto viene presentato si presti eccessivamente all’amplificazione mediatica ed al fraintendimento. Non posso giudicare la qualità della testata Agenda Digitale nè Privacy Network, ma la modalità ricorda purtroppo lo sfortunato fenomeno del clickbait in cui una notizia inizialmente veritiera viene presentata ed ingigantita fino a stravolgerla.
Stiamo inviando in un luogo non sicuro i dati relativi alle abitudini finanziarie ed alle preferenze di acquisto di milioni di italiani
Se questa affermazione viene fatta in grassetto io rispondo che è, fino a prova contraria, fake news. Non mi risulta, e pongo l’onere della prova sull’autore dell’affermazione, che siano i dati finanziari a essere girati verso gli USA.
Questo mi dispiace perché rileggendo la mia penultima affermazione sul clickbait questa potrebbe essere facilmente interpretata come un’accusa alla testata di essere bufalara, quando invece ho giò detto di non poter/voler giudicare le fonti nel merito. Quindi ho fatto pure autocritica. Limitiamoci a dire che dopo questo fact checking sulla privacy policy la notizia di Agenda è fondata ma imprecisa.
3 Mi Piace
L’articolo in effetti non brilla per profondità di indagine ma prende spunto da una espressione infelice dell’informativa. Resta il fatto che in una informativa privacy di una app ritenuta strategica per la esercitare i diritti di cittadinanza (lascia perdere il Cashback, ma IO è “l’unico punto di accesso ai servizi della p.a. italiana”), non puoi dire “alcuni dati li inviamo extra UE”…
2 Mi Piace
Eheheh… beh, pagopa e’ una spa pubblica che ha assunto fior fiore di professionisti, pagandoli con cifre che un ente pubblico si sogna. pagopa spa è una startup giovane,dionamica, innovativa. Si valuta e autovaluta, misura la sua performance. Pagopa spa crede molto in IO. Se molti la scaricano, IO è un successo, pagopa spa è uan startup di successo, i suoi manager e dipendenti raggiungono gli obbiettivi di performance ecc. ecc. Poi che il valore sociale iniziale di IO è mettere in contatto cittadini e amministrazione e che da ultimo si e’ aggiunto anche consentire di avviare e partecipare ai procedimenti amministrativi è un’altra questione. Del resto, in una kermesse organizzata da un soggetto privato, alla presenza di circa 200 RTD e affini, l’account manager di pagoPA ha ben difeso la creatura IO dalle osservazioni dei presenti che, ai fini dell’erogazione dei servizi, per adesso IO e’ solo una casella postale che funziona in un verso solo: “non è vero, non è solo una casella, consente anche di pagare!!”…
… ok mando a loro il mio curriculum …
… 