Cashback: ecco come vengono utilizzati i dati di carte e conti correnti

12 Dicembre 2020 624

Il grandissimo interesse suscitato dal Cashback di statoquasi 9 milioni di download dell’app IO nel momento in cui vi scriviamo – pone qualche legittimo interrogativo sull’utilizzo dei dati confidenziali da parte delle istituzioni.

L’iniziativa, lo ricordiamo, è gestita dal Ministero dell’Economie e delle Finanze (MEF) attraverso PagoPA, la piattaforma tecnologica per i pagamenti elettronici istituita per agevolare tutte le transazioni legate alle Pubbliche Amministrazioni, e la Concessionaria dei Servizi Assicurativi Pubblici, meglio nota come Consap.

Sul sito del Garante per la Protezione dei dati personali (link nelle fonti) è possibile prendere coscienza dei dettagli relativi ai dati personali in esame e alla relative modalità di trattamento. È soprattutto la Valutazione di impatto trasmessa dal Ministero dell’economia e delle finanze per l’attuazione del programma il testo che chiarisce buona parte dei dubbi sull’iniziativa. Vediamo in sintesi cosa contiene e proviamo a fare chiarezza.

QUALI DATI VENGONO UTILIZZATI

Come abbiamo spiegato in questo articolo, per partecipare al Cashback di Stato occorre essere residenti in Italia e maggiorenni, registrarsi sull’App IO oppure abilitare le apposite funzioni messe a disposizione da un issuer convenzionato come Hype, Satispay, App Poestpay (Qui La Lista Completa).

Chi scegliesse la prima strada, quella dall’app IO, dovrà fornire gli elementi identificativi del sistema di pagamento utilizzato – nel caso di una carta di credito/debito nome, cognome, numero di carta, scadenza e CVV – e un IBAN del conto, a lui intestato o cointestato, sul quale ricevere il rimborso. L’app IO, inoltre, acquisirà automaticamente il codice fiscale dell’utente attraverso dall’account SPID o CIE con cui viene effettuato l’accesso all’app.

Proprio le credenziali di pagamento rappresentano il nodo più delicato in tema di trattamento dei dati. Nel caso di una carta di credito le indicazioni sono abbastanza chiare: il PAN, il numero composto da 16 cifre divise in gruppi da 4 stampato sul fronte della carta, viene anonimizzato tramite il cosiddetto hash PAN, una stringa alfanumerica che impedisce di risalire al numero completo della carta.

Il codice a tre cifre sul retro della carta, il cosiddetto CVV, viene invece richiesto per verificare se i dati della carta inseriti sono corretti. Un riscontro che avviene tramite una transazione di qualche centesimo di euro successivamente stornata.

Meno chiara è la situazione per ciò che riguarda l’utilizzo dei dati del bancomat. Sappiamo che l’app IO avvia una ricerca automatica delle carte PagoBANCOMAT associate a un elenco di banche di pertinenza e che si correla nominalmente all’utente sulla base della corrispondenza con il codice fiscale.

Non sappiamo però quale tipo di informazioni – al di là di quelle contabili - vengano condivise fra l’app IO e la banca del correntista per contabilizzare gli acquisti. Il Garante della Privacy si limita a precisare solo che “ogni volta che la carta di pagamento registrata sarà utilizzata dal consumatore per l’acquisto in negozio, i dati necessari (ad esempio, data e importo dell’acquisto) saranno trasmessi dalla banca o dalla società che gestisce la transazione" - il cosidetto “acquirer” (Qui la lista aggiornata) - al Sistema cashback”. E che “il sistema cashback registra i dati ricevuti, calcolando anche l’ammontare del rimborso e la posizione dell’aderente nella graduatoria del programma sulla base del numero delle transazioni effettuate in un dato periodo”.

Nella valutazione d’impatto, si richiamano inoltre "i principi di liceità, correttezza e trasparenza e di privacy by design e by default" a cui devono soggiacere le operazioni legate al cashback in ossequio alla cosiddetta minimizzazione dei dati trattati. Chiarisce l’informativa sul trattamento dei dati personali redatta dal Ministero dell’Economia e delle Finanze: “I dati trattati ai fini dell’individuazione delle transazioni rilevanti, necessari per la determinazione dei rimborsi previsti dal Decreto, non consentono di risalire alla denominazione dell’esercente o alla categoria merceologica cui le transazioni si riferiscono”.

… E CON QUALI FINALITA’

Dopo aver compreso quali sono i dati utilizzati dal sistema cashback, occupiamoci ora delle finalità. Di fatto sono circa una decina le destinazioni d’uso riconducibili all’app IO e perlopiù legate ad attività di adesione, attivazione, transazioni, comunicazione con i cosiddetti acquirer convenzionati ma anche per la gestione degli eventuali reclami, nonché per la difesa in giudizio in caso di contenzioso. Nello specifico:

  • Utilizzo dei dati per l’adesione al Servizio Cashback e invio di messaggistica associata
  • Censimento degli strumenti di pagamento nell’App IO;
  • Gestione dell’attivazione del Servizio Cashback e dei singoli strumenti di pagamento abilitati, anche in relazione agli strumenti di pagamento del circuito PagoBancomat;
  • Messa a disposizione agli acquirer convenzionati, da parte di PagoPA, degli HashPAN degli strumenti di pagamento degli aderenti;
  • Selezione, a cura degli acquirer convenzionati, delle transazioni rilevanti e loro comunicazione al sistema Cashback;
  • Individuazione dei beneficiari del rimborso sulla base dei criteri stabiliti dal MEF e stesura delle graduatorie, ai fini dell’attribuzione del rimborso speciale, nonché messa a disposizione dei dati per la successiva consultazione da parte degli aderenti
  • Pagamento dei rimborsi (in particolare, raccolta dei dati dell’aderente per il pagamento e verifica della corrispondenza tra codice fiscale e IBAN e della sua correttezza formale, c.d. check IBAN; invio a Consap dei dati degli aderenti per il pagamento del rimborso; restituzione degli esiti dei pagamenti a PagoPA, per la comunicazione agli aderenti degli esiti stessi);
  • Effettuazione di analisi in forma aggregata e eventuali statistiche sull’attuazione del programma Cashback;
  • Attività di assistenza tecnica, debug, troubleshooting e incident response, nonché conservazione dei log;
  • Gestione dei reclami (acquisizione e registrazione delle istanze di reclamo, relative ai pagamenti e analisi delle istanze di reclamo, in rapporto alle registrazioni sui pagamenti ordinati ed effettuati) e del contenzioso

Sul tema va anche detto che il trattamento è effettuato con quelli che il Ministero definisce strumenti automatizzati e con “misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi degli Aderenti. E’ espressamente escluso – si precisa sempre nel testo del MEF - qualsiasi trattamento a scopo di profitto o di profilazione.

Riguardo all’IBAN, invece, chi aderisce al programma Cashback "autorizza l’istituto nel quale risiede il proprio conto a comunicare a PagoPa, per conto del Ministero, i dati necessari a verificare se il codice fiscale fornito corrisponda all’intestatario del codice IBAN indicato (o ad almeno uno dei cointestatari) o a un conto di sistema". Ovviamente la veridicità dei dati e delle informazioni fornite possono essere oggetto di controlli (anche a campione) da parte delle istituzioni.

Sì MA…

Sui tempi di conservazione dei dati le indicazioni non sono del tutto chiare. "I dati relativi alle singole transazioni", si legge nel testo dell’Informativa sulla Privacy del MEF, "verranno memorizzati nel rispetto del GDPR solo per il tempo necessario all'emissione dei rimborsi nonché per la gestione dei reclami davanti all’Autorità giudiziaria. La conservazione e l’archiviazione avvengono attraverso l’adozione di idonee misure destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi".

Cancellarsi dal programma? È possibile in qualsiasi momento, tenendo presente che "la cancellazione implica la perdita del diritto a concorrere all'assegnazione del rimborso per il periodo di riferimento e l’eliminazione di tutti i dati personali inerenti il programma, salvo che sussistano altre basi giuridiche al trattamento, inclusa quella di rispondere a eventuali contestazioni o contenziosi. In caso di cancellazione i rimborsi già versati, resteranno comunque salvi".

In alcuni (non precisati) casi previsti, gli interessati hanno comunque il diritto di ottenere,, l’accesso, la rettifica, la cancellazione dei propri dati personali e/o la limitazione del trattamento che li riguarda. E hanno anche diritto di opporsi al trattamento necessario per l’esecuzione di un compito di interesse pubblico e di contestare i trattamenti automatizzati legati all’assegnazione del Bonus e esprimere la propria opinione, sulla base di quanto previsto dalla normativa vigente (artt. 21 e 22 del RGPD) attraverso una comunicazione via mail alla PEC del Dipartimento del Tesoro.

IN DEFINITIVA

Si può dire che le indicazioni sul programma Cashback siano abbastanza chiare per ciò che riguarda le finalità del trattamento dei dati ma che lascino ancora alcune zone d'ombra sul trattamento e sull'anonimizzazione di alcune credenziali (CVV, Bancomat) e sui tempi di conservazione del dato.

Il tutto non può però ovviamente prescindere da un aspetto legato alla propensione (o meno) del singolo a rapportarsi con lo Stato in modo "aperto". Perché è evidente: rivelare a un'istituzione il flusso delle proprie spese rappresenta comunque un atto di feducia nelle istituzioni.

Si ringrazia Barbara Indovina - Avvocato di Forensica e Academic Fellow presso Università Bocconi Milano - per la collaborazione


624

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Dryblow

Io li trasmetto a Soros direttamente con il mio chip 5G.

acitre

C'è un articolo sul Sole domani. Si intitola: "mascherine +5%... Per colpa di questo aumento automobili +30%. Una Panda a 34.000 euro"

FCava

Vedo che farti ragionare è impossibile. Giusto per darti un'ultima spiegazione poi sono anche un po' stufo, il 5% di IVA sulle mascherine su tutta la filiera produttiva italiana e internazionale, perché riguarda anche le merci prodotte all'estero che vengono trasportate in Italia comporterà di sicuro non mento dei costi perché vuoi che quei €400 che mi dicevi chissenefrega per un'azienda così grande cosa vuoi che siano, non vengano ributtati sui costi di produzione? e non vuoi che in cascata sia il costo delle mascherine aumentato del 5% sia il costo aumentato della filiera nei passi precedenti non venga ricaricato in ogni step? Dovresti farti un po' di economia e gestione aziendale. l'azienda a

acitre

Non ha nè capo nè coda quello che stai dicendo ma vabbè. Continua pure. Ciao.

FCava

Sai, la gente fome te é comica. Siete quelli tipici "ah intanto riguarda gli altri, non riguarda me.... Riguarda chi ha i soldi, ben gli sta....". Poi, quando le spese delle aziende e dei commercianti si riflettono sugli acquirenti vi stracciate le vesti "ah ma non é possibile, hanno alzato i prezzi, mi hanno messo un supplemento covid, ma non si fa cosí, sono tutti la...i, non vado piú in quel negozio"....

Mi raccomando....avanti cosí...

acitre

Ancora? Ebbbasta...

FCava

Tanto per farti un esempio... Cerca il costo delle mascherine ffp2... Mettiamo un euro cad... Sono 500 euro di iva al mese (extra rispetto al normale) da pagare. Ripeto.... Supponendo siano ffp2 e di trovarle a 1 euro cad...

FCava

attenzione. Sono €60 con l'esempio delle mascherine che costano €0,15. O clienti che usano solo mascherine ffp2 ho mascherine chirurgiche. Non tutte le mascherine costano €0,15. E comunque,sono altre €60 (l'esempio delle mascherine che costano €0,15)al mese oltre al costo delle mascherine, oltre al costo dei DPI per covid-19, oltre al costo delle sanificazioni, oltre al costo dei controlli, oltre al costo dei tamponi che a volte si ottiene direttamente l'azienda per i dipendenti, oltre al calo del fatturato. sono comunque €60 che vanno allo stato senza aver fatto niente e senza che ce ne sia reale motivo perché si poteva non tassare i DPI in questa situazione. poi che tu parli con il titolare dell'azienda, che parli con il responsabile acquisti, che parli con il responsabile di produzione cambia sono comunque soldi che l'azienda è obbligata a pagare e che non rientrano e non danno profitto. poi non è che uno si lamenta perché nello specifico la sua azienda deve spendere €60 in più di tasse allo stato. Magari si lamenta perché lui paga €60 un'altra ditta paga €60 un'altra ne paga 30 un altro ne paga 40 i privati comunque pagano l'IVA anche loro sulle mascherine e lo stato incassa l'IVA su un dispositivo che loro stessi definiscono salvavita e che obbligano, giusto o sbagliato che sia, ad usare.

acitre

Ma fammi il piacere... Il titolare di un'azienda da 100 dipendenti non si occupa delle mascherine. Come non si occupa dell'acquisto della carta igienica, del sapone e delle salviettine nel bagno. Che saranno un costo anche più alto dei 60 euro che citi.

FCava

Prova andare da qualche azienda a parlare col titolare poi vediamo

acitre

hahahah per un'azienda da 100 dipendenti, che fattura un centinaio di milioni l'anno, il problema sono 60 euro al giorni di mascherine di costo? ahhahahahaah

HdBfs

Arrivato quello dei buoni?

Germano Calvo

Grazie.

Aristarco

io ne ho perse due di venerdì scorso, anche se piccole....stranamente visto che in un negozio avevo già pagato due giorni prima con cashback registrato

Gv83

Si, chissà quante transazioni utili a raggiungere il cashback verranno perse.

Comunque glieli daremo indietro con un nell'aumento iva al 23 per cento

Aristarco

hanno già detto che si risolverà con il cashback del 2021

Gv83

È un ostacolo facilmente aggirabile. La transazione sulla mia carta ci arriva, e la mia banca sa dove è stata effettuata la transazione, quindi anche la app IO. Sarebbe bastato dedicare più risorse al progetto e avrebbero implementato le cose in maniera più rapida e organica. I pagamenti con carta di credito fisica registrata sulla app IO ed effettuati dal 9 dicembre ancora non si vedono, mia sorella col suo bancomat li vede il giorno dopo...

Aristarco

è certo il governo si diverte a proclamare il lockdown e a contare i morti....

Aristarco

no, gpay, samsung pay e apple pay, creano un numero virtuale di carta con la quale pagano sul pos e questa non viene ovviamente registrata ai fini del cashback, era chiaramente scritto nelle istruzioni

Migliorate Apple music

se hai 100 dipendenti 60 euro al mese sono una bazzecola

FCava

tu ragioni sul prezzo di UNA mascherina diquelle da 15 cent. Ci sono mascherine che costano di più, mascherine usa e getta che vanno cambiate ogni 2-4 ore, questo significa, ad esempio, che in una azienda di 100 persone, sono 200-400 mascherine. Nel caso peggiore sono 60 euro al giorno (considerando i 15 cent), che diventano 63. 60 euro al mese in più. Poca roba. moltiplica per tutte le aziende ed i privati....

Tango_TM

no, ma dico solo che il prezzo è rimasto uguale a prima se non diminuito, nonostante la tassazione

FCava

Quindi è giusto tassarle?

Tango_TM

ormai le si trovano anche a 15 centesimi l'una...

FCava

Iva sulle mascherine passata da "non imponibile" (0%) al 5%... Tanto c'é il cashback...

IgliD

non insinuavo quello :D

Luca Visentin

Cavolata, puoi chiederlo anche in contanti quello però :)

Luca Visentin

Gpay attualmente non viene preso, come Apple pay, quindi solo transazione con carta fisica (sì, siamo tornati indietro di 2 anni). Può essere quello? A me 2 transazioni (ristorante e feltrinelli con bancomat) in 24h sono presenti

Luca Visentin

150+150 dato che è personale anche se iban cointestato

Gv83

Si, serve appunto una scusa per indire un nuovo lockdown

Francesco Renato

Parafrasando Dante possiamo dire: I dati son, ma chi pone mano ad essi? Non basta avere i dati, bisogna anche elaborarli.

Gv83

Sarà una questione di accesso alle informazioni

Davide

infatti per avere il cashback al momento si deve pagare con la carta i pagamenti con lo smarphone non contano

Gv83

Ne sono passati 6. Il problema con una delle mie carte, o forse tutte, che quando pago tramite gpay non mi riconosce la transazione e quindi non maturo cashback

Davide

CI VOGLIONO SUI 3-4 GIORNI PRIMA DI POTERLE VEDERE le transazioni

Germano Calvo

Se tutto corretto arrivano, a me ne manca uno della farmacia. Suppongo che se si inserisce il Codice Fiscale salta il Cashback.

JohnMisty

cosa ti fa pensare che le carte non registrate sul cashback sfuggano ai controlli!? :D è già tutto tracciato e registrato a tuo nome

Germano Calvo

Cashback tramite App IO, se due coniugi attivano specica App IO con SPID e Bancomat personale ma il C.C. e relativo IBAN è in Comunione il tetto restituito nel singolo periodo sarà massimo 150 oppure 300€?

alessandro

In parte hai ragione, non sono competenti, in parte non hanno i soldi che hanno la Francia di Macron, e e la Germania della Merkel, che possono tranquillamente fare un mini lockdown, ma nello stesso tempo dare i soldi alle imprese, e ai commercianti. Noi se chiudiamo di nuovo tutto, falliamo.

BrunoVM

Per pagare le tasse non c'è bisogno di essere amici, le pago anch'io. A parte questo, io parto dal presupposto che l'Italia è il mio Paese, ma lo stato italiano, che è solo un insieme di persone che lo amministrano, perlopiù parassiti buoni a nulla corrotti fino al midollo, non è mai stato amico dei suoi cittadini, né mai lo sarà.

Gv83

Idem

FCava

Quello di eicuro. Ma per me, un po' di malizia, c'é sotto

Riccardo sacchetti

Secondo me c'è solo più fiducia nei governanti. Con in più una buona dose di onestà (che mediamente manca all'italiano). Tanto per dire: ti hanno chiesto sacrifici economici e sociali per la pandemia, ok. Loro? Hai visto qualcuno ridursi lo stipendio? Anche simbolicamente almeno.. Ci aggiungiamo la corruzione, tutti gli indagati e condannati (anche solo di primo grado), il completo distacco dalla realtà? È come educare un bambino: se sei troppo violento (GDF) non deve a nulla, se sei troppo tollerante nemmeno. Ma anche se non dai il buon esempio non serve a nulla.

Osmio76

Tra l'altro non capiscono da dove vengono questi 300€/anno messi in palio.
Nessuno qui ha fatto un ragionamento sui flussi di cassa. Ovviamente o sono a debito (tasse) o vengono dalle tasse.

L'Italia sta diventando sempre più Venezuela con in più la deriva socialista dimostrata più volte con questi bonus per falliti.
A furia di bonus torneremo ai buoni alimentari per il pane

fred

Anzi, il cliente di una carta di credito può segnalare all'acuirer o al circuito, che il venditore si è rifiutato di utilizzare il pagamento digitale.

saetta

Be'invece i casi non sono solo 2, questo dimostra quanto limitata è la tua visione, lavoro, pago le tasse e tante e credo che tutti dovrebbero farlo, sono italiano e ne sono fiero e non sono contro il mio stato, il quale mi assicura dei diritti ma esige dei doveri, non c'è altro da dire a proposito

StuartPot

Io non credo lo facciano per cattiveria o per tenerci a casa, è semplicemente che stanno facendo scelte per risolvere un problema ma ne creano un altro.
Non è gente capace di gestire questa situazione

StuartPot

Concordo sul fatto che molta gente potrebbe aver ragionato in questo modo, comunque irrazionale ma più rassicurante.

Ma comunque questo discorso rimane molto lontano dalla realtà nel momento in cui chi risulta positivo non riceve il codice di immuni, nemmeno su richiesta.

Keres

HO UN PROBLEMA ==> Credo di aver fatto tutto correttamente... registrato carte di credito//bancomat e "attivate", ho inserito iban ecc e ovviamente attivato cashback, ma dal 9 dicembre ancora non vedo NESSUNA transazione! e ne avro fatte un 6-7 in questi gg...

Qualcun altro nella stessa situazione?

Pistacchio
Android

I tre migliori compatti: iPhone 12 Mini vs Asus Zenfone 8 vs Galaxy S21 | Confronto

Video recensione

Windows 11 provato: tutte le novità e i cambiamenti del sistema Microsoft | Video

Tecnologia

Huawei Freebuds 4: un'ottima soluzione per chi odia le true wireless in-ear | Recensione

Alta definizione

TV Samsung QLED: i settaggi per vedere (al meglio) le partite di calcio degli Europei