By 
0
0
In queste ore gli utenti delle app Bancoposta e Postapay stanno ricevendo sul proprio smartphone un avviso che li obbliga ad autorizzare Poste Italiane ad accedere a gran parte dei dati contenuti nel telefono. Non è un tentativo di truffa e, secondo l’azienda da noi contattata, servirebbe a garantire maggiore sicurezza; ma la richiesta è sproporzionata e, secondo i nostri esperti, viola la legge sulla privacy. Ecco perché.
Ci stanno arrivando molte segnalazioni di clienti Poste italiane che, usando la app Postepay e la app Bancoposta sui loro telefoni Android, si sono visti recapitare un messaggio che li obbliga ad autorizzare l’accesso ai dati personali contenuti nel loro smartphone da parte di Poste. Scopo? Rilevare la presenza di eventuali software dannosi nel cellulare che potrebbero rendere meno sicuro l’utilizzo delle app Postepay e Bancoposta.
Come si legge nel messaggio, l’autorizzazione è di fatto obbligatoria: non ci si può rifiutare, pena il blocco della app dopo tre accessi.
Nessuna spiegazione ai clienti
I clienti non capiscono bene il motivo della richiesta visto che cliccando sul tasto “Scopri di più” si viene rinviati ad una pagina generica del sito di Poste italiane dove si parla di truffe e sicurezza online. Insomma non si argomenta assolutamente il motivo della richiesta e soprattutto i dettagli tecnici del funzionamento di questa autorizzazione.
Secondo Poste sarebbe un antivirus
Questa richiesta di autorizzazione, arrivata agli utenti senza troppe spiegazioni e con una sorta di ultimatum, da molti è stata scambiata per un tentativo di truffa. Abbiamo subito contattato Poste per chiedere spiegazioni. Innanzitutto da Poste italiane ci confermano che il messaggio è davvero opera loro: nessun tentativo di truffa, quindi, da parte di terze parti.
Ma allora per quale motivo stanno chiedendo queste autorizzazioni ai loro clienti? Secondo Poste “la normativa Europea, per aumentare il livello di sicurezza dei sistemi di pagamento ed al fine di contrastare le frodi realizzate sui canali on line, prevede che gli Intermediari (ndr Poste Italiane) si dotino di soluzioni anti-malware“. Quindi, dando il consenso, i clienti permetterebbero alle app di Postepay e di Bancoposta di accedere ai dati contenuti nel proprio telefono per “intercettare eventuali software malevoli installati involontariamente dai titolari di carte di pagamento e conti correnti sui propri device“. Insomma, stiamo parlando di una sorta di antivirus (come quelli che testiamo apposta per gli smartphone), ma che cosa succede se la app riscontra la presenza di un malware sullo smartphone non ci è dato sapere, né l’utente può trovare da qualche parte informazioni a riguardo.
Quali dati vuole conoscere Poste
Ma che cosa si autorizza, di fatto, una volta che si è dato il consenso (obbligatorio)? Come si vede dall’immagine qui sotto, quando si va sulle impostazioni della app per dare l’autorizzazione si scopre che i dati che rendiamo “visibili” a Poste sono davvero tanti: ad esempio si autorizza la app Postepay e Bancoposta a monitorare l’attività di altre app installate sul telefono (comprese quindi quelle per l’home banking di altri istituti bancari o carte di credito) con quale frequenza le utilizziamo, e quale sia il nostro gestore telefonico (ovvero riveliamo a Poste, che gestisce l’operatore Poste Mobile, di quale suo concorrente siamo clienti).
Cosa dice davvero la normativa europea
Quella che Poste sta facendo ai clienti delle sue app è senza dubbio una richiesta esorbitante rispetto alle reali esigenze di sicurezza e, soprattutto, viola le disposizioni europee in materia di privacy (l’ormai famoso GDPR). Infatti, ciò che afferma Poste, ovvero che sarebbe la normativa europea a imporre alle app sistemi anti-malware che scansionano l’intero telefono, si scontra proprio con le linee guida europee (quelle del WP29) sullo sviluppo delle app e con i principi generali del GDPR, secondo i quali una app deve richiedere le informazioni personali esclusivamente necessarie per il funzionamento dell’applicazione stessa (principio della minimizzazione e principio della pertinenza dei dati personali); l’accesso a funzionalità o dati dello smartphone che esulano dal funzionamento dell’applicazione è pertanto una violazione di legge.
Il consenso deve essere libero
Sempre secondo le norme europee, l’applicazione può richiedere l’accesso anche ad altri dati personali (ulteriori rispetto a quelli strettamente necessari per il suo funzionamento), ma il consenso alla raccolta di questi dati deve essere sempre libero e informato da parte dell’utente. E, cosa importante, una richiesta di consenso non deve mai bloccare la fruizione del servizio se si decide di non concederlo. Tutte cose che in questo caso non avvengono, viste la scarsissima informazione e l’esplicita “minaccia” di bloccare l’accesso all’app (dopo tre volte) se non si concede il consenso.
Chiediamo l’intervento del Garante
Le app di Poste (Postepay e Bancoposta) non sono normali applicazioni ludiche (delle quali si può decidere di fare a meno disinstallandole dallo smartphone), ma sono app legate a due servizi essenziali, ovvero la gestione del proprio conto corrente e della propria carta prepagata. Servizi ai quali è impossibile rinunciare nell’arco dei soli tre accessi concessi da Poste nel suo messaggio. Per questa ragione, riteniamo doverosa un’indagine del Garante della Privacy su questa vicenda.
Fonte: Altroconsumo – Avviso Poste Italiane: privacy a rischio per app Postepay e Bancoposta | Altroconsumo
By 
