Pecunia non Olet
L’App IO per il “Cash Back” rientra nel più ampio “Piano Italia cashless” volto ad incentivare l’uso dei pagamenti elettronici. A differenza di quanto è successo per l’app Immuni, questa nuova iniziativa del Governo Italiano sembra aver avuto maggior successo e sembra anche che la maggior parte dei preconcetti riguardo la privacy, che hanno rallentato l’utilizzo dell’app di tracciabilità del Covid, non abbiano disincentivato questa volta gli utenti a scaricarla, malgrado la privacy sia meno tutelata realmente con l’uso di IO per il cashback.
Cos’è il Cashback di Stato
Cashback significa ottenere indietro i soldi in cambio degli acquisti effettuati che, in questo caso, prevede il rimborso del 10% da parte dello Stato Italiano, delle spese effettuate con sistemi di pagamento elettronici nei negozi. L’ 8 dicembre è partita la versione sperimentale di questo procedimento; nei piani del governo il cashback è una delle misure pensate per disincentivare l’uso del contante, spingere i pagamenti digitali e contrastare l’evasione fiscale.
Il procedimento di Cashback non è nuovo, diverse carte di pagamento, negozi online e app di pagamento lo hanno utilizzato e lo utilizzano tutt’ora come strumento promozionale o di fidelizzazione (e a volte è stato utilizzato anche da truffatori e siti malevoli). Si capisce subito che questo procedimento non è propriamente un metodo di guadagno, visto che non c’è alcun ricavo sull’acquisto e non è neanche uno sconto, dato che i soldi vengono accreditati a posteriori quando la spesa è già fatta, ma possiamo considerare invece il normale cashback come una ricompensa che una carta, un negozio o un sito riconosce agli utenti che sono fidelizzati.
Il metodo di rimborso ideato dal Governo Conte è invece una misura ideata nel tentativo di arginare, come abbiamo detto, l’evasione fiscale e modificare le abitudini dei cittadini Italiani verso metodi di pagamento tracciabili.
Quella iniziata l’ 8 dicembre è una sperimentazione e, per adesso, è valida solo se si utilizzano carte di credito, di debito o bancomat mentre sono escluse le app come Google Pay o Apple Pay che saranno attive con l’inizio ufficiale dal 1° gennaio 2021. Il rimborso sarà semestrale e di un importo massimo di 1.500 euro; per ottenerlo, però, è necessario fare almeno 50 pagamenti, che vanno da un minimo di 1 euro ad un massimo 150 euro, nei sei mesi.
Chi volesse aderire al cashback deve essere maggiorenne e residente in Italia. Deve poi registrarsi all’app IO della piattaforma della Pubblica Amministrazione, tramite l’SPID o con la carta d’identità elettronica, quindi bisogna indicare il proprio codice fiscale, uno o più sistemi di pagamento elettronico che si utilizzeranno per i pagamenti, e l’Iban del conto corrente su cui verrà accreditato il cashback ogni sei mesi.
L’app IO
L’app IO non è solamente utilizzabile per il cashback ma è un progetto del Governo Italiano, già attivato lo scorso 18 aprile, che permette ai cittadini di poter accedere in modo semplice ai servizi della Pubblica Amministrazione, sia locale che nazionale, direttamente da smartphone.
Un cittadino può tramite IO, ad esempio, ricevere messaggi e comunicazioni riguardanti le proprie scadenze verso la PA come carta d’identità, permesso ZTL, ricevere avvisi di pagamento con la possibilità di pagare tasse come il bollo auto o la TARI direttamente dall’app, mentre in futuro sarà anche possibile ottenere certificati, documenti personali digitali e molto altro.
Dall’8 dicembre, dicevamo, è possibile utilizzare IO anche per registrare i pagamenti associati al cashback di stato. Ad oggi (metà dicembre 2020) i cittadini che hanno scaricato l’app sono più di 8 milioni con un incremento significativo a partire dall’inizio del mese a pochi giorni prima dell’avvio sperimentale del Cashback di stato (un milione in più solamente tra il 7 e l’8 dicembre).
Per utilizzare l’app IO bisogna prima di tutto scaricarla dallo store del nostro dispositivo (Android o I/OS); una volta scaricata ed installata l’app ci chiede la registrazione, che avviene tramite SPID oppure via carta d’identità elettronica. E qua iniziano i primi problemi in quanto non tutti i cittadini italiani hanno un SPID o una carta digitale e quindi bisogna munirsi di uno di questi due strumenti. Il sito spid.gov.it mette a disposizione una lista di diversi “gestori d’identità” abilitati alla generazione dello SPID gratuitamente, ma il processo non risulta mai comodo o semplice.
Poste italiane, ad esempio, permette di avere un SPID gratuitamente recandosi presso uno degli sportelli di Poste Italiane o a pagamento se un incaricato si reca a casa. Anche altri gestori premettono il riconoscimento di persona, ma giustamente, bisogna recarsi presso i loro uffici. Ci sono anche metodi di riconoscimento da remoto, tramite webcam, carta d’identità elettronica o passaporto elettronico ma non tutti i fornitori del servizio lo mettono a disposizione gratuitamente.
Una volta registrata l’app IO, tramite SPID o CIE, l’utente deve indicare un pin ed eventualmente registrare la propria impronta digitale, dopo la prima registrazione, per accedere ogni volta basterà inserire il pin e non sarà più necessario utilizzare l’SPID.
E la privacy?
Appena uscita l’app IO ha subito manifestato dei problemi dato il grande numero di query effettuate che i server non erano in grado di gestire (tanto che nuovamente Pornhub aveva offerto l’utilizzo dei propri server), e l’ hashtag #IOapp è stato uno dei più utilizzati per visualizzare le lamentele degli utenti.
Accanto a questo hashtag però un altro compare nelle ricerche: #IOappPrivacy.
Ad onor del vero l’informativa sulla privacy andrebbe sempre letta quando scarichiamo ed installiamo un’app o un programma e a maggior ragione andrebbe letta quando riguarda dati estremamente sensibili come nel caso dell’app IO.
Ma quali dati sono interessati da questa app?
Abbiamo detto che per utilizzare il servizio cashback bisogna comunicare all’app IO il proprio codice fiscale e il proprio IBAN, mentre gli altri dati che l’app raccoglie sono gli estremi della carta, i dati identificativi del titolare della carta stessa, gli Importi degli acquisti e la loro geolocalizzazione nonché la cronologia di questi ultimi.
Certo, viene da obbiettare che la maggior parte di questi dati sono già in possesso dell’azienda che eroga i servizi, qual è quindi la differenza ?
Mentre nel caso di utilizzo di una o più carte su di un sito o presso un negozio ogni dato rimane a disposizione solamente del gestore della carta e del gestore del sito, nel caso di IO la questione è più complessa perché se registriamo e abilitiamo al cashback più carte tutti i dati delle transazioni tramite tali carte vanno a finire dentro un unico grande gestore che ha accesso a tutti i dati e può anche incrociarli.
Il fatto che l’acquisto con metodo di pagamento elettronico sia incentivato dal cashback, poi, stimola l’utente a fare più transazioni con le carte e le app e, quindi, a concedere più dati di quanti non ne concederebbe normalmente. Ai dati delle carte si aggiunge poi il codice IBAN sul quale versare il cashback, che può anche essere diverso dall’eventuale IBAN della carta di pagamento. Insomma il paradiso dei Big Data!
L’app IO è gestita dal MEF (Ministero dell’Economia e delle Finanze ) che è titolare del trattamento dei dati personali, mentre le due società controllate pubbliche PagoPA S.p.A. e Consap S.p.A. sono responsabili del trattamento dei dati personali in rispetto del GDPR. PagoPA e Consap sono autorizzate a nominare eventuali sub-responsabili, in caso, quindi alcune operazioni sui dati vengano subappaltate.
In particolare PagoPa organizza e gestisce tutto il funzionamento del meccanismo del cashback, mentre Consap gestisce gli eventuali reclami tramite una piattaforma web appositamente creata.
Quello che fa riflettere è un paragrafo della privacy policy di IO per il cashback che specifica che alcuni dati potrebbero essere inviati a dei paesi extra-UE: “Per la gestione dell’App IO, utilizzata per il servizio Cashback e gestita da PagoPA S.p.A., la predetta Società si avvale, limitatamente allo svolgimento di alcune attività, di fornitori terzi che risiedono in paesi extra-UE (USA). Per lo svolgimento di alcune attività connesse alla gestione dei reclami attraverso il Portale dedicato, Consap S.p.A. si avvale di fornitori terzi che hanno la propria sede in Paesi extra-UE (USA) “. Stando a quanto afferma PagoPA uno dei soggetti terzi è l’azienda americana Oracle sui cui server sono ospitati i dati dei reclami (indirizzo di posta elettronica e password, codice fiscale, nome e cognome, dati dei documenti di identità allegati, dati relativi al reclamo stesso). Insomma sembra che questa clausola esista solo per permettere l’utilizzo di server di aziende extra UE che comunque sono localizzati fisicamente in Europa e la cui trasmissione dei dati avviene in maniera crittografata, quindi sicura.
Per finire va sottolineato che la privacy policy dell’app chiarisce che è vietato, oltre alla vendita dei dati, ogni utilizzo per scopi di profilazione, il che vuol dire che non arriverà nessuna pubblicità mirata legata ai dati che raccoglie l’app IO e che ogni utente può uscire in ogni momento dal piano cashback, richiedendo la cancellazione dei propri dati.
Tutto risolto quindi? Non proprio. L’invio di dati negli Stati Uniti è ormai ritenuto non sicuro da parte dell’Unione Europea dato che il governo USA ha potere di accesso ai dati degli europei e, a quanto sembra, questo viene fatto regolarmente.
E questo non è complottismo visto che la Corte di giustizia dell'Unione europea (CGUE) si è pronunciata il 16 luglio 2020 (c.d. "Sentenza Schrems II") in merito al regime di trasferimento dei dati tra l'Unione europea e gli Stati Uniti facendo notare proprio questo e sottolineandolo nelle FAQ :” La Corte ha ritenuto che i requisiti del diritto interno degli Stati Uniti, e in particolare determinati programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall'UE agli Stati Uniti ai fini della sicurezza nazionale, comportino limitazioni alla protezione dei dati personali che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli previsti dal diritto dell'UE”.
Non è questa la sede per giudicare le iniziative del governo a riguardo dell’utilizzo dei pagamenti elettronici per contrastare l’evasione fiscale, ne valutare se utilizzare la carta per pagare ad esempio un caffè (visto che il conteggio per il rimborso inizia da spese che partono da 1 euro) sia eticamente accettabile, ma quello che rileviamo è che nuovamente le iniziative messe in campo dal Governo per digitalizzare le attività si sono rivelate alquanto deficitarie soprattutto per le carenze delle infrastrutture di rete, assolutamente non in grado di reggere ampi e sostenuti volumi di traffico on line.
Un altro dato che è da notare riguarda la differenza di download rispetto all’app Immuni che è stata boicottata da molti utenti preoccupati per la privacy che si presumeva venisse violata, mentre per l’app IO per il cashback, questi stessi utenti non hanno avuto gli stessi dubbi, come se il desiderio di attaccarsi alle mammelle della sovvenzione statale li rendesse liberi da ogni turbamento e dubbio morale.
Svetonio ne “Le vite dei cesari” ci riferisce che l’imperatore Vespasiano rispose al figlio Tito che lo rimproverava per una tassa sugli orinatoi con la frase “non olet” (non puzza – la tassa-).
Da allora la frase viene spesso citata per indicare che non bisogna essere troppo schizzinosi riguardo la provenienza dei soldi e così, ripensando a questa frase, chiudiamo queste riflessioni pensando a tutti quei cavalieri “duri e puri” che si battevano contro Immuni per tutelare la privacy e si sono arresti miseramente a IO.
Bibbliografia:
https://io.italia.it/cashback/privacy-policy/
https://io.italia.it/dashboard/
https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9442415
https://www.spid.gov.it/richiedi-spid
