Gorga, “Cashback è lo specchietto delle allodole della privacy”

L’utilizzo degli strumenti di pagamento elettronici: il cashback
La pandemia di Covid-19 ha dato una forte accelerazione alla
digitalizzazione dei servizi di mobilità, rivoluzione che ricopre un
ruolo prioritario nelle strategie industriali e nei nuovi modelli di
business che vedono coinvolte le PA e le aziende. La costante
crescita delle soluzioni di pagamento elettronico ha confermato il
trend, già assecondato nel settore dei trasporti prima della crisi,
che va verso il principio di “mobility as a service” Considerando
il ruolo sempre più attivo degli utenti nella smart mobility, diverse
aziende hanno sentito la necessità di adottare un’unica semplice
infrastruttura che consenta l’accesso diretto dei cittadini a tutti i
servizi di mobilità.
Tra gli esempi di portata “minore” va segnalata la piattaforma
sviluppata da SIA, società controllata da CDP Equity. Lo strumento
digitale comprende al suo interno una suite completa di servizi per
pagare direttamente con carta o smartphone i ticket per i bus, metro e
parcheggi, con la garanzia della migliore tariffa. Il servizio
innovativo permette di pagare il biglietto della rete metro e
ferroviaria direttamente al tornello tramite carte di credito e di
debito contactless (Mastercard, VISA e American Express), anche
virtualizzate su smartphone e dispositivi wearable, in modo facile,
veloce e sicuro è inoltre possibile utilizzare la propria carta di
credito come se fosse un abbonamento mensile: una modalità a
disposizione degli utenti che, dopo aver acquistato online
l’abbonamento con una carta di credito contactless, possono avvalersi
della stessa carta per spostarsi sull’intera rete di trasporto
pubblico cittadino.
Il fenomeno ha assunto una rilevanza notevole e pertanto, come
fenomeno massivo, non poteva non cadere nelle maglie della
regolamentazione privacy quale fenomeno diffuso di cashback. In merito
lo schema di regolamento – al vaglio dell’autorità Garante privacy –
del Ministero dell’economia e delle finanze, recante le condizioni e i
criteri per l’attribuzione delle misure premiali per l’utilizzo degli
strumenti di pagamento elettronici, c.d. cashback, adottato ai sensi
dell’articolo 1, commi dal 288 al 290, della legge 27 dicembre 2019,
n. 160, disposizioni modificate e integrate dal decreto-legge 14
agosto 2020, n. 104 all’art. 73 che ha aggiunto due commi il 289-bis
e il 289-ter, ( Legge di Bilancio di previsione dello Stato per
l’anno finanziario 2020 e bilancio pluriennale per il triennio) si
innesta nella strategia, da tempo propagandata dal Governo Italiano,
che vuole disincentivare l’uso del contante, nelle transazioni tra
operatori economici e dei consumatori, prevedo anche un rimborso in
denaro sui pagamenti effettuati mediante strumenti elettronici, la cd.
“lotteria” degli scontrini contenuta in quest’ultima legge di bilancio.
Nel caso specifico il nuovo comma 289-bis, del testo normativo
in esame, prevede che per l’attuazione della misura premiale il
Ministero dell’economia e delle finanze dovrà utilizzare la
piattaforma tecnologica per l’interconnessione e l’interoperabilità
tra le pubbliche amministrazioni e i prestatori di servizi di
pagamento abilitati, prevista all’articolo 5, comma 2, del decreto
legislativo 7 marzo 2005, n. 82, gestita dalla società PagoPA S.p.A..
Viene precisato poi che il Ministero dovrà affidare alla società
PagoPA S.p.A. i servizi di progettazione, realizzazione e gestione del
sistema informativo strumentale al calcolo del rimborso. Inoltre con
il comma 289-ter si prevede che il medesimo dicastero affidi a Consap

• Concessionaria servizi assicurativi pubblici S.p.A. – tutti i
  servizi inerenti alle operazioni di erogazione del rimborso e le
  ulteriori attività accessorie e strumentali compresa la gestione del
  contenzioso.

Il regolamento del cashback
Il regolamento – che si compone di 12 articoli – che qui è esaminato,
in via essenziale e puntuale, detta la disciplina delle condizioni, i
casi, i criteri e le modalità attuative per l’attribuzione di un
rimborso in denaro, a favore delle persone fisiche maggiorenni,
residenti nel territorio dello Stato, che, fuori dall’esercizio di una
attività d’impresa, arte o professione, effettuano acquisti da
esercenti, con strumenti di pagamento elettronici (art. 2). Com’è
evidente, dalla scelta dei soggetti, il legislatore si è preoccupato
in primis di impedire che i minori possano partecipare a questa specie
di “lotteria” e in secundis che vi possano partecipare i soggetti
maggiorenni nell’esercizio di una attività di impresa, arte o
professione.
Come è stato anticipato il Programma di rimborso, realizzato
attraverso il “Sistema Cashback” è stato predisposto ed è gestito
dalla società PagoPA S.p.a. nell’ambito della piattaforma tecnologica
– prevista e disciplinata all’articolo 5, comma 2, del CAD – che
raccoglie i dati, ai fini della partecipazione al Programma, degli
“aderenti” e degli “esercenti”, e che una volta definita la
graduatoria trasmette le relative informazioni all’APP IO e ai
sistemi messi a disposizione dai c.d. “issuer convenzionati” e, ai
fini dell’erogazione del rimborso, alla Consap-Concessionaria servizi
assicurativi pubblici S.p.A..
All’articolo 3 sono indicati in maniera dettagliata quali sono le
modalità di adesione al Programma di rimborso, e viene sottolineato,
in particolare, la volontarietà della partecipazione al programma
stessa che comporta un rilascio di dati personali che vanno da quelli
molto invasivi, come il codice fiscale a quelli bancari. La norma,
infatti, prevede che il soggetto “aderente” è tenuto a registrare
nell’APP IO, o nei sistemi messi a disposizione da un issuer
convenzionato, il proprio codice fiscale e uno o più strumenti
elettronici di cui intende avvalersi per effettuare i pagamenti,
dichiarando, al momento della registrazione, di utilizzare gli
strumenti di pagamento registrati esclusivamente per acquisti
effettuati fuori dall’esercizio di attività d’impresa, arte o
professione (art. 3, commi 1, 2 e 3).
All’ articolo 4 del regolamento, infatti, si specifica in particolare
le modalità tecniche di adesione al sistema da parte dei cd. “acquirer
convenzionati” e, cioè, da parte dei soggetti che hanno concluso un
accordo con l’”esercente” per l’accettazione di strumenti di pagamento
attraverso dispositivi fisici, titolari di una convenzione con la
PagoPA S.p.A. per la partecipazione al Programma, ovvero Bancomat
S.p.A., sul presupposto della sottoscrizione della convenzione con la
stessa PagoPA S.p.A. All’articolo 5 si prevedono apposite convenzioni
tra il Ministero dell’economia e delle finanze e PagoPA S.p.A. e tra
il predetto dicastero e Consap S.p.A. per il funzionamento del
Programma. In particolare il comma 1 dell’articolo 5, disciplina la
convenzione tra il Ministero e PagoPA S.p.A., per la progettazione,
realizzazione e gestione di specifiche funzioni all’interno del
Sistema Cashback, quali la raccolta dei dati relativi agli aderenti e
ai pagamenti e, quindi, una quantità notevole di dati ad alto rischio
per la stessa libertà e dignità dei soggetti aderenti al programma.
Il comma 2, invece, disciplina la convenzione MEF-Consap S.p.A., per
la gestione dei rimborsi e dei reclami, dove vi saranno ulteriori dati
personali che potranno approdare anche in sede giudiziaria. La
disciplina di dettaglio del cashback la troviamo all’articolo 6 dove
sono anche stabilite le misura e i periodi di riferimento, mentre
l’articolo 7 si prevede una fase sperimentale temporanea, valida dal
1° dicembre 2020 al 31 dicembre 2020, volta a permettere un
anticipazione dell’attuazione del programma di rimborso,
esclusivamente per gli aderenti che abbiano effettuato un certo numero
di transazioni. All’articolo 8, invece, si istituisce un rimborso
speciale per i primi centomila aderenti che abbiano totalizzato il
maggior numero di transazioni con strumenti di pagamento elettronici.

Si specificano all’art. 9 le modalità di erogazione del rimborso, che
avviene mediante accredito per mezzo del codice IBAN comunicato
dall’aderente al momento dell’adesione al Programma, o in un momento
successivo, mentre l’articolo 10 si disciplina le modalità di gestione
dei reclami. In particolare, il comma 1 prevede che PagoPA S.p.A.,
metta a disposizione un servizio di Help Desk dedicato all’assistenza
degli aderenti per tutti gli aspetti relativi alla gestione del
profilo utente e ai servizi erogati attraverso l’APP IO, incluse
eventuali contestazioni in merito alla registrazione delle transazioni
effettuate. Infine, l’articolo 12 – rubricato come “Trattamento dei
dati personali” – disciplina alcuni importanti aspetti di protezione
dati. Innanzitutto individua i ruoli, le funzioni e le responsabilità
dei diversi soggetti coinvolti dal sistema, vale a dire il Ministero
dell’economia e delle finanze, PagoPA S.p.A., Consap S.p.A. e gli
issuer e gli acquirer convenzionati – titolarità, responsabilità e
sub-responsabilità del trattamento; commi 1-5- . Si prevede, poi, che
il Ministero effettui, prima del trattamento, la valutazione di
impatto ai sensi dell’articolo 35 del Regolamento e la sottoponga alla
verifica preventiva del Garante; si prevede che per la valutazione
devono essere indicate anche le misure tecniche e organizzative
predisposte e ricolte a garantire un livello di sicurezza adeguato al
rischio, disciplinati i tempi e le modalità di cancellazione dal
Programma (commi 6 e 7). Nel rispetto del principio delle finalità del
trattamento, i dati personali raccolti potranno essere trattati
esclusivamente per lo svolgimento del Programma e per la realizzazione
del previsto rimborso, limitando il trattamento del dato relativo
all’identificativo dell’esercente al solo fine di verificare le
transazioni oggetto di reclamo (comma 8). Infine il comma 9
dell’articolo autorizza il Ministero a effettuare statistiche
sull’attuazione del Programma trattando anche i dati personali degli
aderenti, relativi alla partecipazione al Programma, al numero e al
valore delle transazioni effettuate, nonché ai rimborsi erogati, nel
rispetto delle pertinenti regole deontologiche (Regole deontologiche
per trattamenti a fini statistici o di ricerca scientifica effettuati
nell’ambito del Sistema Statistico nazionale, di cui all’allegato A al
Codice, che è opportuno citare per esteso nello schema).

E’ da osservare in questa sede che è di tutta evidenza che il
trattamento dei dati sotteso al funzionamento del Programma presenta
rischi elevati per i diritti e le libertà degli interessati derivanti
dalla raccolta massiva e generalizzata di informazioni di dettaglio,
potenzialmente riferibili ad ogni aspetto della vita quotidiana
dell’intera popolazione, che richiedono specifiche valutazioni in
ordine alla proporzionalità del trattamento e all’individuazione delle
misure da adottare al fine di rispettare i requisiti del Regolamento.
Sul testo, infatti, i rilievi e i suggerimenti dell’Autorità garante
privacy sono stati precisi e pertinenti. Così in sintesi è da
ritenersi che la base giuridica che lo autorizza dovrebbe essere
proporzionata rispetto alle finalità perseguite e contenere gli altri
requisiti di liceità previsti dalla normativa europea e nazionale in
materia di protezione dati (art. 6, par. 3, Regolamento). Sotto tale
profilo il regolamento presenta, infatti, evidenti criticità in quanto
non viene precisato che il sistema informatico in questione – Sistema
Cashback – non coincide con la piattaforma tecnologica di cui
all’articolo 5, comma 2, del CAD, ma opera nell’ambito della stessa.
Inoltre non sono stati individuati espressamente i ruoli e le
responsabilità dei diversi soggetti coinvolti dal sistema sotto il
profilo della protezione dati (art. 12, commi 1-5). La normativa
regolamentare dovrebbe, perciò, essere rivolta all’esigenza di
circoscrivere alle finalità di realizzazione del cd. cashback i
trattamenti effettuati nel rispetto del principio di limitazione della
finalità, e introdurre un’ulteriore specifica garanzia in relazione
al trattamento degli identificativi degli esercenti presso i quali
saranno effettuate le transazioni trasmesse al Sistema Cashback (art.
12, comma 8).
Inoltre si dovrebbero introdurre misure volte a garantire che gli
acquirenti trasmettano al sistema esclusivamente i dati relativi alle
transazioni effettuate attraverso gli strumenti di pagamento indicati
dai soggetti aderenti all’iniziativa (artt. 4, commi 1 e 2, e 5, comma
1) e ciò anche per meglio definire le modalità con cui l’APP IO, o i
sistemi messi a disposizione dagli issuer, rendono disponibili agli
aderenti, nel rispetto del principio di minimizzazione, gli importi
dei rimborsi spettanti e la posizione nella graduatoria (art. 5, commi
1, lett. e). Occorrerà anche individuare le modalità e i tempi di
conservazione dei dati e le misure necessarie a garantire che le
informazioni siano trattate per il tempo strettamente necessario al
conseguimento delle specifiche finalità e successivamente cancellate
(artt. 4, comma 5, e 12, commi 7 e 9), nonché definire, in chiave di
maggior garanzia, alcune misure di sicurezza da adottare nel
trattamento dei dati, con particolare riferimento alla protezione,
mediante funzioni crittografiche non reversibili, degli identificativi
degli strumenti di pagamento elettronici (PAN, Primary Account Number)
in uso ai soggetti che aderiscono all’iniziativa, anche in conformità
allo standard PCI DSS (Payment Card Industry Data Security Standard)
(art. 4, comma 1). Occorrerà, poi, anche precisare le garanzie da
applicare al trattamento dei dati personali effettuato dal Ministero
per scopi statistici nell’ambito del Sistema Statistico Nazionale,
limitando le tipologie di dati che possono essere elaborate (art. 12,
comma 9) ed effettuare una valutazione di impatto del trattamento, a
fronte del rischio elevato in esso riscontrato, al fine di individuare
le misure tecniche e organizzative idonee a garantire un livello di
sicurezza adeguato (art. 12, commi 6 e 7).
Infine, nell’ambito della verifica sulla valutazione di impatto
dovrebbe essere esaminare le caratteristiche dell’APP IO in
particolare, al previsto utilizzo di notifiche push, all’attivazione
automatica di servizi non espressamente richiesti dall’utente, nonché
al trasferimento di dati personali verso Paesi terzi, peraltro da
attualizzarsi alla luce della recente sentenza della Corte di
giustizia relativa al caso Schrems II (16 luglio 2020, causa C-311/18).
3 La sicurezza del cashback

Per quanto attiene i profili di sicurezza del cashback occorre tenere
presente che titolare del trattamento dei dati personali è il
Ministero dell’Economia e delle Finanze (MEF), che si avvale di PagoPA
S.p.A. e Consap S.p.A., società partecipate dallo Stato, in qualità di
Responsabili del trattamento dei dati personali ai sensi dell’art. 28
del RGPD) per lo svolgimento delle attività necessarie a garantire la
partecipazione degli Aderenti al Programma e la puntuale erogazione
dei rimborsi in loro favore, nonché a consentire la gestione di
eventuali reclami e/o del contenzioso derivante dalla partecipazione
al Programma.
Si pone, quindi, un problema di sicurezza dei dati, in mano pubblica,
in quanto nella specifica materia sono concessi tramite la app IO dati
personali e particolari in ordine alla qualità e categoria dei beni
che si acquistano oltre degli IBAN dei conti correnti bancari.
In relazione al delirio della cd “lotteria degli scontrini” un flusso
enormi di dati che corrono sulla rete internet saranno costantemente
esposti alla possibilità di essere intercettati atteso che la stessa
procedura di registrazione avviata ha già posto tanti e tali problemi
che non è difficile pronosticare un vulnus nei conti correnti con
conseguenti profili di responsabilità tra MEF, Banche e gestori della
rete.
E’ da rilevare, poi, che anche la società PagoPA Spa a sua volta si
dichiara Titolare del trattamento laddove il MEF li qualifica, invece,
come responsabili al trattamento. PagoPA si dichiara titolare ma solo
per l’utilizzo dei sistemi informatici e le procedure software
preposte al funzionamento del sito e dei dati che si acquisiscono nel
corso del loro normale esercizio di trasmissione che implicano
nell’uso dei protocolli di comunicazione di Internet. Ora acquisito
che i cashback è su base volontaria in quanto l’utente deve quindi
attivarsi per poterlo avere ed inserire, sempre su base volontaria
quali, carte, bancomat o carta di credito con IBAN attivare sul quale
fare i versamenti del “premio” tutto rimesso all’azione e alla
responsabilità degli utenti. E’ però amaro segnalare che dopo la
fallimentare app IMMUNI il cui destino è stato segnato dal pericolo
alla privacy con l’app IO ossia con una operazione di cd. “cashback
di stato” per gli Italiani la privacy vale solo 150 euro.