App di Poste Italiane sotto accusa: come usavano i dati degli utenti?

iStock

È ancora in via di sviluppo e definizione la vicenda che riguarda le app di Poste Italiane, ma, dato il polverone sollevato, vale davvero la pena parlarne e capire che cosa è stato contestato e perché riguarda milioni di utenti. Al centro, va subito detto, c’è il modo in cui vengono raccolti e utilizzati i dati attraverso applicazioni entrate da tempo nella quotidianità di chi gestisce pagamenti e servizi finanziari dallo smartphone.

A intervenire è stato il Garante per la protezione dei dati personali (GPDP), che ha ritenuto eccessiva la quantità e la tipologia di informazioni raccolte rispetto alle finalità dichiarate. E qui nasce l’interrogativo: quanto è lecito chiedere a un utente per proteggerlo e dove si colloca il limite tra tutela e invasione?

• Le app sotto accusa
• Cosa possono davvero raccogliere le app?
• La sentenza del GPDP
• La replica

Le app sotto accusa

Ma facciamo un passo indietro, tornando alle origini della vicenda. Le app nell’occhio del ciclone sono BancoPosta e Postepay nel sistema Android, due strumenti utilizzati ogni giorno da milioni di utenti per gestire conti, carte e operazioni direttamente da smartphone. Proprio il loro utilizzo così diffuso ha portato l’attenzione su ciò che accade “dietro le quinte”.

Il punto di partenza è un’istruttoria avviata dal GPDP, che ha analizzato il funzionamento delle applicazioni e le modalità di trattamento delle informazioni. Ecco, secondo quanto emerso, le app avrebbero raccolto una quantità di dati eccessiva rispetto agli obiettivi dichiarati.

Tra le informazioni finite sotto osservazione ci sarebbero anche dati tecnici sul dispositivo e, in alcuni casi, elementi che permettono di ricostruire l’ambiente digitale dell’utente.

Cosa possono davvero raccogliere le app?

Occorre specificare che il problema di base non riguarda l’esistenza di sistemi di controllo (che nelle app finanziarie sono previsti anche da normative europee) ma il loro perimetro. Non tutti sanno che le app possono trattare dati solo se esiste una base giuridica valida e se le informazioni raccolte sono pertinenti e necessarie rispetto alla funzione svolta, perché il Regolamento generale sulla protezione dei dati impone che ogni trattamento sia limitato a ciò che serve a scopi espressamente comunicati e non a ciò che è semplicemente possibile raccogliere.

Le informazioni si distribuiscono su più livelli, a partire da quelle inserite direttamente dall’utente, come dati anagrafici, contatti, credenziali e strumenti di pagamento, che rappresentano la base per l’accesso ai servizi, e proseguendo con i dati generati durante l’uso dell’app, quindi accessi, operazioni, tempi e interazioni, che nelle applicazioni finanziarie servono anche a intercettare attività anomale e comportamenti che possono indicare un rischio.

A questo si aggiunge un livello più tecnico, che riguarda i dati del dispositivo, come indirizzo IP, sistema operativo, identificativi e configurazioni, utilizzati per riconoscere il dispositivo e per attivare controlli di sicurezza legati all’autenticazione e alla prevenzione delle frodi, un ambito in cui la raccolta tende a essere più ampia rispetto ad altri contesti proprio per la natura sensibile delle operazioni.

Il passaggio più delicato riguarda le informazioni che descrivono l’ambiente del dispositivo, perché alcune tecnologie, soprattutto su Android, permettono di analizzare segnali utili a valutare il livello di rischio, come configurazioni o caratteristiche del sistema, e qui il confine si restringe, dato che non tutto ciò che è accessibile a livello tecnico può essere considerato legittimo dal punto di vista normativo.

La sentenza del GPDP

Il criterio che tiene insieme tutto, dunque, è quello della proporzione, per cui i dati devono essere adeguati e limitati rispetto alla finalità dichiarata, e questo vale anche quando l’obiettivo è la sicurezza, perché la protezione degli account non giustifica automaticamente qualsiasi tipo di raccolta, soprattutto se l’utente non è messo nelle condizioni di comprendere in modo chiaro cosa viene utilizzato e per quale motivo.

Tornando a Poste Italiane, l’Autorità ha ritenuto che alcune delle operazioni delle sue app andassero oltre ciò che è strettamente necessario per garantire la protezione degli account. Sono perciò stati sollevati dubbi sia sull’effettivo bisogno di questa raccolta sia sulla trasparenza delle informazioni fornite agli utenti.

A tutto ciò si sono aggiunte altre criticità rilevate nel corso dell’indagine, come informative considerate non sufficientemente chiare e valutazioni preventive sui rischi non adeguate. Tutti elementi che hanno portato a una sanzione di 6.624.000 euro a Poste Italiane S.p.A. e una di 5.877.000 euro a PostePay S.p.A, per un totale complessivo superiore ai 12,5 milioni di euro.

La replica

Dal canto loro, Poste Italiane e Postepay hanno sostenuto che invece la raccolta dei dati fosse davvero finalizzata a garantire la sicurezza e di aver agito perfettamente in linea con gli obblighi previsti dalla normativa sui pagamenti digitali, annunciando ricorso contro il provvedimento. Il caso però sta dando spazio a diverse riflessioni, che hanno per oggetto proprio il rapporto tra protezione e quantità di informazioni richieste.

Le app che gestiscono denaro e identità digitali devono necessariamente monitorare comportamenti e dispositivi per ridurre il rischio di frodi, ma è proprio qui che si gioca l’equilibrio più delicato: stabilire fino a che punto quei dati siano davvero indispensabili. Ciò che emerge da questa vicenda è un nodo che riguarda tutti, ben oltre il singolo caso.

L’uso quotidiano delle app porta spesso ad accettare condizioni e autorizzazioni senza soffermarsi su cosa venga effettivamente raccolto e perché. E quando il confine tra ciò che serve e ciò che eccede non è immediatamente percepibile, il tema non è più solo tecnico o normativo, ma diventa una questione di consapevolezza.