Cashback e Lotteria scontrini: privacy a rischio?

Cashback e Lotteria scontrini sono stati accolti con favore dalla maggior parte dei cittadini italiani, ma il meccanismo adottato per il trattamento dei dati ha messo in allarme gli esperti in sicurezza e attivato una segnalazione per i possibili rischi per la riservatezza dei dati dal Garante della privacy. Il Cashback, partito a dicembre per favorire gli acquisti nel periodo natalizio, sarà attivo fino al giugno 2022 e permetterà agli italiani di ricevere fino a 300 € di bonus in un anno per gli acquisti eseguiti esclusivamente con pagamenti elettronici fatti nei negozi fisici o presso professionisti e artigiani. Il tutto funziona registrandosi dall’app IO dei servizi pubblici Italia. La lotteria degli scontrini invece, in partenza dal primo febbraio 2021, promette grosse vincite in denaro per i fortunati che saranno estratti presentando il “codice lotteria” alla cassa per ogni pagamento elettronico. Il codice lotteria si ottiene inserendo i nostri dati e il codice fiscale dal sito www.lotteriadegliscontrini.gov.it. Se l’idea di un sistema pensato per promuovere i consumi e favorire gli esercenti al dettaglio riducendo anche l’evasione fiscale sembra valida, perché ha generato critiche e allarmismi?

Iter complicato

l problema non è legato alla proposta ma alla gestione e al trattamento dei dati che confluiscono in un lungo iter che parte dagli smartphone degli utenti, passa attraverso i sistemi di pagamento elettronico degli esercenti per arrivare alla gestione vera e propria dei dati che viene trasferita tra più Enti e società. Per esempio, per il Cashback l’elenco è lungo: si parte dagli utenti che inseriscono i propri dati nell’app IO e si prosegue con le piattaforme necessarie per far funzionare la procedura. Ci sono poi gli esercenti che trasmettono i dati dell’acquisto che coinvolgono il MEF (Ministero dell’economia e delle finanze), la società pubblica PagoPA e la società Consap (Concessionaria Servizi Assicurativi Pubblici). Il tutto per un traffico dati che, quando il sistema sarà a pieno regime, potrebbe rivelarsi vertiginoso e che obbligatoriamente sfrutta canali cifrati poiché le informazioni contengono dati personali, codici fiscali ed estremi dei metodi di pagamento. Il risultato di questo sforzo converge nelle banche dati in cui saranno elaborati i rimborsi da eseguire sul codice IBAN che gli utenti hanno comunicato in fase di registrazione. Per la lotteria degli scontrini il percorso dei dati è più breve ma richiede ancora più attenzione: passeranno infatti per l’Agenzia delle entrate, che dopo averli elaborati li trasferirà all’Agenzia delle dogane e dei monopoli che li farà confluire nell’apposita banca dati gestita dalla Sogei (Società Generale d’Informatica) azienda controllata dal Ministero dell’economia e delle finanze. Complicato? Indubbiamente sì, forse troppo, considerando poi che in questo elenco non sono stati evidenziati alcuni passaggi secondari. Risulta quindi evidente che i problemi possono essere molteplici e quelli da tenere in seria considerazione sono principalmente due: quello strettamente legato alla privacy dei dati che devono essere trattati con procedure perfettamente adeguate alle norme della GDPR, e quello legato alla sicurezza, situazione non semplice da garantire in un periodo in cui gli attacchi informatici pianificati su larga scala sono in constante aumento. Considerando che l’iniziativa coinvolge gli smartphone degli utenti (sempre più presi di mira dai malware), la sicurezza delle connessioni e dei sistemi di pagamento e le gigantesche banche dati gestite da più enti, si possono intuire le preoccupazioni espresse dagli esperti.

La situazione italiana

In Italia, per quanto riguarda le minacce informatiche, la situazione non è delle migliori. Il problema più grande non è solo quello dei virus, generalmente creati per diffondersi e fare danni sul maggior numero di sistemi, ma quello dei più pericolosi e insidiosi malware, software maligni progettati per rubare informazioni riservate. Si passa dai ransomware (che cifrano i dati su computer e server per renderli inaccessibili fino a quando non viene pagato un riscatto) agli skimmer. Questi sono presenti sia nelle app infette degli smartphone sia nei computer e il loro scopo è quello di sottrarre numeri di carte di credito e credenziali di accesso ai siti di e-commerce e dei sistemi di pagamento. Infine ci sono i trojan che, ben nascosti nel sistema, registrano l’attività degli utenti per sottrarre informazioni riservate. Per esempio, nel 2020 il malware Formbook ha colpito duramente gli utenti Windows, il sistema operativo più usato nelle aziende e nelle pubbliche amministrazioni. Formbook è un software maligno in grado di raccogliere le credenziali dai browser web, monitorare e registrare l’attività della tastiera e può anche scaricare ed eseguire i file in base agli ordini provenienti dai server C&C (Command and Control) gestiti dai cybercriminali. Sono poi tornate alla ribalta le versioni rinnovate di alcuni malware storici tra cui Gh0st, un RAT (Remote Access Tool) capace di sottrarre le password registrando la pressioni dei tasti e perfino in grado di attivare la webcam e il microfono del computer per acquisire ulteriori informazioni. Sono solo pochi esempi, che però indicano chiaramente come i dati, in particolare se sottoposti a più passaggi, necessitano di essere gestiti con la massima cura su sistemi verificati e infrastrutture certificate.

Questione di privacy

Per le aziende e gli enti che gestiscono dati che richiedono una particolare attenzione alla privacy, Hypergrid è in grado di fornire supporto e servizi di consulenza per l’adeguamento alla normativa GDPR e alla normativa AGID. Così come di occuparsi in dettaglio della sicurezza dei sistemi informatici per individuare la vulnerabilità del sistema. infine, per la gestione dei dati, il fiore all’occhiello dell’azienda è il servizio yCloud che può essere configurato per ospitare sia archiviazione dati sia le piattaforme virtualizzate pensate per imprese ed enti, il tutto con la garanzia della certificazione AGID.