Dall’inizio di aprile, molti utenti android dell’app Bancoposta hanno segnalato la presenza di un nuovo messaggio di richiesta di accesso ai dati dello smartphone. In breve, c’è l’invito ad autorizzare la condivisione di alcune informazioni del telefono con l’app per finalità antifrode indicando l’attivazione di tale funzionalità come obbligatoria. Nel caso in cui debba mancare tale autorizzazione, infatti, l’utente è avvisato che saranno garantiti solamente 3 ulteriori accessi e poi non sarà più possibile svolgere alcuna operazione.
Nonostante l’assenza di informazioni relative ai dati raccolti, alle attività svolte, è possibile comunque avere un’idea di quali sono i dati per cui viene richiesto l’accesso, ovverosia i dati di utilizzo. Da ciò, si può comprendere che quella che si intende mettere in pratica mediante l’attivazione della funzione e la concessione dei permessi consiste nell’applicazione di una tecnica di fingerprinting. A livello pratico, grazie al monitoraggio dell’impiego del telefono da parte dell’utente con Threatmetrix, si ricava l’impronta digitale del dispositivo la quale però richiede una raccolta dei dati aggregati di utilizzo (non solo dell’app Bancoposta, ma anche di altre app), dal momento che maggiore è la quantità di questi dati maggiore sarà la capacità di creare un’impronta univoca basata sul comportamento dell’utilizzatore.
Dal momento che questi dati possono – anzi: devono – essere ricondotti ad una persona fisica, la normativa in materia di protezione dei dati personali deve trovare applicazione. E dunque i relativi principi fra cui quello di trasparenza che impone di comunicare all’interessato tutte le informazioni relative al trattamento dei propri dati personali, nonché quello di minimizzazione per cui è necessario che i dati raccolti siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (art. 5 par. 1 lett. c) GDPR).
Alcune criticità rilevate
L’assenza di un’informativa non consente infatti di ricostruire un quadro chiaro e trasparente delle attività di trattamento svolte. E questo già di per sé rischia di allontanare gli utilizzatori dei servizi, i quali hanno peraltro segnalato di aver ben poco gradito l’aut-aut presentato. Il quale, beninteso, non può portare ad alcun consenso libero, escludendo così la possibilità di impiego di tale base giuridica.
Inoltre, dal momento che la finalità è stata indicata come i controlli antifrode si può ben desumere – stante la natura dei dati e il contesto – che ciò avvenga attraverso una persistente attività di behavioral tracking (ovverosia: tracciamento comportamentale) onde rilevare anomalie d’impiego e – si immagina, dal momento che nulla viene detto – bloccare attività “sospette”. La carenza di informazioni a riguardo non consente nemmeno di presumere che l’attività sia fondata sul legittimo interesse, anche perché mal si andrebbe a conciliare con l’assenza di alcuna modalità per l’utente di esercitare un proprio diritto di opposizione. Salvo, ovviamente, con la rinuncia alla fruizione del servizio.
Cosa preoccupa della richiesta di accesso ai dati dell’app BancoPosta
Dai commenti sui social, la preoccupazione non deriva solamente dalla macroscopica assenza di informazioni, per cui l’utente medio non sarebbe in grado di comprendere la funzione proposta.
C’è un di più che viene diffusamente segnalato. Al netto di ogni buon proposito di sicurezza che è stato dichiarato, infatti, quanto viene percepito è che si propone nient’altro che l’installazione sul proprio smartphone di qualcosa che è terribilmente analogo ad uno spyware. Il quale, pur non accedendo a contatti, le foto o altri contenuti dello smartphone, svolge comunque un’attività persistente di rilevazione del comportamento. E i dati comportamentali compongono dei dataset estremamente appetibili e di valore.
Tutto ciò ha suscitato una domanda che declina il principio di privacy by default: non c’erano alternative meno invasive e con un rischio intrinseco meno elevato? La risposta potrebbe essere fornita dal contenuto di un estratto di una valutazione d’impatto privacy svolta. Ma anche qui, la carenza di informazioni a disposizione degli interessati gioca un ruolo cruciale e allontana rispetto al fattore critico di successo strategico comune ad ogni app: la relazione di fiducia nei confronti dell’utente.