QUANTI OCCHI SUI CONTI CORRENTI – DE BORTOLI LANCIA L'ALLARME: IN ITALIA I PAGAMENTI DIGITALI ARRIVERANNO TRA UN ANNO A 100 MILIARDI, MA I GIGANTI DEL WEB (GOOGLE, APPLE, FACEBOOK, AMAZON) SANNO TUTTO DI NOI, MA SI RIFIUTANO DI FARCI SAPERE QUALCOSA DI LORO – LE PREOCCUPAZIONI DEL GARANTE DELLA PRIVACY - IL RUOLO DEI LOBBISTI
Ferruccio De Bortoli per L’Economia – Corriere della Sera
Diciamo subito che i pagamenti digitali hanno un ottimo grado di sicurezza. E dunque lo scudo contro le frodi è efficace. I costi di transazione si abbassano con buona pace delle banche. La concorrenza cresce. Il consumatore ha più scelte. Dunque, ben vengano le innovazioni, soprattutto nel Paese che, più di altri, ama il contante (e il nero).
Ma è anche vero che la soave leggerezza con la quale consegniamo i nostri dati personali ai grandi operatori della Rete non può non sollevare qualche interrogativo. Non solo in Italia. I dati sono il petrolio immateriale dei nostri tempi, la ricchezza del futuro.
Ognuno di noi ne possiede qualche barile. Peccato non lo sappia e lo ceda gratuitamente ai vari over the top che lo capitalizzano in Borsa. Un esempio significativo di questa supina accettazione della modernità digitale, lo riscontriamo nelle modalità di applicazione della direttiva europea sui pagamenti elettronici Psd2 (Payment service directive) in vigore dal 13 gennaio di quest' anno. La Psd2 apre il mercato agli operatori non bancari, a terze parti che si inseriscono, autorizzate, nel rapporto fra un cliente e il proprio istituto di credito.
A parte i giganti del web e delle telecomunicazioni (ApplePay, SamsungPay, PayPal), sono ormai diverse, anche italiane, le varie app che consentono agli utenti di pagare un bene, un servizio o trasferire somme. Piu facile, meno costoso, immediato. Secondo alcune stime, il mercato dei pagamenti elettronici raggiungerà in Italia nel 2019 i cento miliardi. I new digital payment sono cresciuti in un anno del 50%. E così le opzioni d' acquisto sui social network cliccando, per esempio, su «accedi con Facebook». I consumatori apprezzano altri vantaggi: le ridotte responsabilità per i mancati pagamenti, il diritto al rimborso (negligenza esclusa, ovviamente) che è comunque garantito dalla propria banca la quale poi potrà eventualmente rivalersi sull' altro operatore.
«Il mercato si è aperto a tutti gli attori digitali, ed è un bene, una conquista dei consumatori - dice Massimo Arrighetti, amministratore delegato di Sia, il gruppo italiano tra i leader europei nei servizi innovativi di pagamento nel settore finanziario -. Ma è passato il principio che basti che un solo operatore sia europeo per rispettare la direttiva Psd2. Se la terza parte è americana, per esempio, non è tenuta ad alcun obbligo di trasparenza. Un' asimmetria evidente e, lasciatemelo dire, pericolosa».
Sia ha lanciato Jiffy che ha già oltre 4,5 milioni di utenti e 130 banche aderenti. Arrighetti quindi esprime la preoccupazione e l' interesse di un concorrente per quanto italiano. Ma il paradosso della direttiva che dà alle terze parti non europee la possibilità di accedere, una volta autorizzate, ai dati del nostro conto corrente per rendere possibile un pagamento, è del tutto evidente.
Traducendo in un linguaggio più prosaico si può dire che sanno tutto di noi mentre noi sappiamo poco di loro e di come utilizzano le informazioni ottenute attraverso l' accesso e, nei casi peggiori, lo screenscraping sui nostri conti correnti. Ovvero una tecnologia che consente alle terze parti (Third parties providers) o ai cosiddetti Pisp (Payment initiation service providers) di avere accesso alle informazioni su saldi e movimenti del cliente. E la banca per esempio non sa quanto sia esteso il consenso dato dal cliente alla terza parte. I Gafa (Google, Apple, Facebook, Amazon) quando operano nel mondo, nei servizi di pagamento, non consentono a nessuno, banche incluse, l' accesso ai loro dati. L' asimmetria penalizza le altre terze parti europee.
In queste settimane, gli istituti di credito stanno procedendo ad avvertire la clientela sui vari aspetti anche legali dei pagamenti digitali. Un ritardo, rispetto all' entrata in vigore della direttiva europea, che rivela dubbi e incertezze, peraltro manifestati anche in sede Eba (European banking authority).
L' autorità bancaria europea - che traslocherà presto da Londra a Parigi dopo la Brexit - dovrà esprimersi con linee guida su alcune delle più delicate questioni legate alla sicurezza . Entro il settembre del 2019 verranno definite diverse e indispensabili norme tecniche di attuazione della direttiva Psd2 che entreranno in vigore un anno e mezzo dopo la loro pubblicazione sulla Gazzetta Ufficiale dell' Ue. Un periodo utile per correggere alcuni difetti ma nel quale il livello di protezione dei dati dei clienti bancari che utilizzano i pagamenti digitali è assai relativo. In un anno e mezzo si può accumulare una quantità di dati impressionante con l' attività di screenscraping. I rimedi rischiano di rivelarsi tardivi se non inutili.
Questa preoccupazione ha indotto il garante della Privacy a scrivere, il 9 gennaio, una lettera allarmata al presidente del Consiglio Paolo Gentiloni e ai ministri Minniti (Interno), Padoan (Economia) e Orlando (Giustizia). Nella sostanza Antonello Soro dice che la direttiva confligge con la disciplina italiana e soprattutto europea di protezione dei dati. Non sono chiari i rapporti tra i soggetti coinvolti nei servizi di pagamento e i termini del «consenso esplicito».
Elevato il rischio di profilazione degli utenti che si affidano a Internet e che utilizzano le app più diffuse. Dopo la lettera di Soro vi sono state diverse riunioni, anche a livello europeo con altri garanti dei dati. Probabilmente è tardi, ma una discussione aperta è necessaria a tutela dei cittadini che apprezzano giustamente la comodità dei nuovi sistemi di pagamento ma che dovrebbero essere più edotti sulla vulnerabilità e il destino dei propri dati. È assolutamente giusto che le terze parti, per fare un pagamento, conoscano il codice Iban e si accertino del fatto che il conto sia, come si dice in gergo, capiente.
Ma non che abbiano facile accesso a tutti i movimenti dai quali sono desumibili scelte di consumo di vario tipo. Se poi il rapporto è di tipo informativo, se riguarda più conti, se si esplicita in una vera e propria gestione finanziaria, il confine della protezione dei dati si fa ancora più sottile se non nullo. La Psd2 è stata recepita nel nostro ordinamento non soppesando tutti i potenziali rischi. Anche per l' efficace azione di lobbying delle multinazionali della Rete. Potenti, innovative, simpatiche, ma un po' invadenti. E assolutamente determinate a difendere i principi della privacy. Sì, la propria.
