Come viene assicurata la sicurezza nella gestione carte di credito, visto che viene chiesto di inserire numero carta e codice di sicurezza della stessa ?
App IO: approfondimento sulla privacy e conservazione dei dati personali
PagoPA S.p.A. opera nella ferma convinzione che la privacy dei cittadini sia un valore irrinunciabile e un elemento essenziale della digitalizzazione della Pubblica Amministrazione. Proprio per questo, tutti i nostri progetti sono attentamente verificati dal nostro team di esperti privacy. Tra questi, anche l’App IO è stata analizzata nei minimi dettagli per assicurare il pieno rispetto del Regolamento Generale sulla protezione dei dati (GDPR) ai propri utenti.
Per quanto riguarda il programma Cashback, il decreto del Ministero dell’economia e delle finanze (DM n.156/2020), su cui il Garante per la protezione dei dati personali ha espresso il proprio parere positivo, ha disciplinato nel dettaglio le modalità di trattamento dei dati raccolti tramite il programma. Inoltre, il Garante ha approvato la valutazione di impatto (DPIA) che è stata predisposta dal Ministero dell’Economia e delle Finanze, in quanto titolare del programma, con la collaborazione di PagoPA S.p.A., e che descrive tutti i flussi e trattamenti che quest’ultima svolge per conto del Ministero stesso.
Il sistema alla base dell’App IO non comporta alcuna profilazione o geolocalizzazione degli utenti. Nel caso specifico del Cashback, il sistema non registra né la tipologia di acquisto né il luogo in cui sono effettuati gli acquisti da parte dell’utente, ma memorizza unicamente: un codice crittografato in modo irreversibile (tecnicamente detto “hash PAN”) che corrisponde allo strumento di pagamento registrato ai fini del programma; data, ora e importo dell’acquisto effettuato tramite quello strumento di pagamento, unicamente per rendere visibili all’utente le transazioni che permettono il calcolo del rimborso ai fini del Cashback.
Il sistema alla base dell’App IO non memorizza i dati delle carte di credito/debito aggiunte dall’utente nella sezione “Portafoglio”: questi, infatti, vengono memorizzati dal fornitore SIA S.p.A. in un ambiente protetto secondo gli standard PCI DSS (Payment Card Industry Data Security Standard) e conservati in server situati in Italia.
Il sistema alla base dell’App IO, quindi, non trasferisce all’estero i dati relativi agli strumenti di pagamento aggiunti nella sezione “Portafoglio” (es. i dati delle carte di credito/debito). Allo stesso modo, i server dove vengono memorizzati i dati personali degli utenti (quali, ad esempio, il codice fiscale, l’email, le informazioni contenute nella sezione “Messaggi”) sono situati all’interno dell’Unione Europea dove è applicato il Regolamento generale sulla protezione dei dati personali (GDPR) e, quindi, le stesse tutele applicabili in Italia.
Utilizziamo alcuni fornitori extra UE per servizi marginali o residuali e sempre, in ogni caso, in modo pienamente conforme alla normativa sulla protezione dei dati personali italiana. In particolare, utilizziamo fornitori esteri solo per un servizio che ci aiuta a gestire le segnalazioni degli utenti e per uno strumento che raccoglie i dati sull’utilizzo dell’app e che usiamo per scopi di debug (individuazione e correzione di problemi tecnici), incident response (gestione degli incidenti informatici), assistenza tecnica e miglioramento dell’App. Inoltre, in alcuni casi residuali, potremmo utilizzare uno strumento di comunicazione interna aziendale che di norma, ovviamente, non tratta dati riferiti agli utenti dell’App IO ma che opera in supporto della divisione di PagoPA S.p.A. responsabile del customer care per accelerare eventuali interventi. Infine, utilizziamo i sistemi di Google per inviare notifiche push ai cittadini che, accedendo all’app IO da dispositivi Android, non sarebbero diversamente raggiungibili. Google riceve dati personali di tali utenti esclusivamente nel caso di notifiche non generiche, ma contenenti informazioni relative agli stessi: nello specifico del programma Cashback, non sono previste notifiche push che contengano dati personali.
Con tutti i predetti fornitori, abbiamo stipulato una nomina a responsabile del trattamento ai sensi dell’art. 28 del GDPR, con cui tali fornitori hanno accettato di trattare i dati esclusivamente al fine di svolgere il servizio che ci rendono precludendo agli stessi, pertanto, un qualsivoglia utilizzo per altre finalità o per fini loro propri.
A seguito della sentenza della Corte di Giustizia dell’Unione Europea che ha invalidato il c.d. Privacy Shield ci siamo adoperati per garantire che tutti i trasferimenti verso società stabilite negli Stati Uniti siano coperti dalle Clausole contrattuali tipo della Commissione Europea (SCC), che costituiscono uno degli strumenti ammessi dal GDPR, (v. art. 46). Con alcuni di essi, inoltre, abbiamo rinforzato le SCC con specifiche ed ulteriori previsioni, in attesa di poter adottare il nuovo testo delle SCC, attualmente in fase di consultazione pubblica.
Nell’ottica di una piena trasparenza, in linea con tutte le attività che contraddistinguono il lavoro del team responsabile dell’App IO e grazie al feedback degli utenti, abbiamo deciso di rendere ancora più dettagliata l’informativa dell’App IO includendo la lista aggiornata dei nostri fornitori (disponibile a questo link) con le informazioni di base rispetto ai dati trattati dai loro servizi e di cui l’App IO si serve per la sua operatività. Come si evince da questa lista, quando possibile prediligiamo società situate in Italia e in UE e, laddove disponibili, selezioniamo opzioni che consentono di mantenere i dati in UE.
Infine, ricordiamo che IO si basa sul concetto di sviluppo collaborativo che deve coinvolgere tutti i soggetti direttamente o indirettamente attivi nel processo di digitalizzazione. Per questo rinnoviamo ed estendiamo anche ai lettori di questo comunicato l’invito a contribuire e a segnalarci qualunque proposta migliorativa per rendere IO sempre più sicura e rispettosa della privacy dei cittadini.
La parte importante è la seguente:
Il sistema alla base dell’App IO non memorizza i dati delle carte di credito/debito aggiunte dall’utente nella sezione “Portafoglio”: questi, infatti, vengono memorizzati dal fornitore SIA S.p.A. in un ambiente protetto secondo gli standard PCI DSS (Payment Card Industry Data Security Standard) e conservati in server situati in Italia.
Ad ogni modo non è molto diverso da come probabilmente funzionano Amazon o Paypal, pure quelli hanno memorizzata la carta di credito con il codice di sicurezza. Sono comunque sempre maggiori i casi in cui viene richiesta anche, per le transazioni online, una ulteriore password fissa o temporanea (mandata via sms) per evitare problemi di sorta.
Basta una persona con una forte memoria fotografica per ricordarsi di tutti i suoi numeri di carta mentre la passa sul bancomat al supermercato …