Poste fa riferimento alla direttiva PSD2, che però dice cose un po’ diverse
La richiesta di accesso ai dati personali dell'app sembra superare le prescrizioni previste dalla direttiva europea sui pagamenti digitali
04/04/2024 di Gianmichele Laino
L’intento è sicuramente nobile e i numeri dello spoofing – ovvero di quella pratica truffaldina che inganna gli utenti perché il malintenzionato assume le fattezze dell’istituto di credito di riferimento dell’utente stesso, mandando mail e messaggi brandizzati e sms da numeri che sembrano effettivamente provenire dall’istituto di credito – sono talmente in forte ascesa da giustificare iniziative concrete e a tutto campo per dare più sostanza all’ecosistema dei pagamenti digitali. Tuttavia, la chiarezza con cui l’operazione di aggiornamento dell’app per Android di Poste Italiane con la finalità di proteggere gli utenti da truffe e accessi indebiti al proprio conto corrente non è perfettamente limpida. Nell’annuncio si rimanda a un link che, nell’url, contiene un riferimento alla PSD2 (la direttiva europea che ha come scopo quello di rendere più sicuro l’home banking e che, a breve, verrà tra l’altro sostituita dalla cosiddetta PSD3), ma che in realtà atterra su una pagina generica, che dà indicazioni piuttosto didascaliche rispetto a come gli utenti possono difendersi dalle truffe.
LEGGI ANCHE > Per usare le app di Poste Italiane è obbligatorio concedere l’accesso ai dati del telefono
App Poste e PSD2, quale può essere il collegamento
In base a questi indizi (ovvero la richiesta generica di accesso ai dati e l’inserimento del riferimento alla PSD2 nel link a cui rimanda Poste nel suo annuncio), sembra che la società partecipata abbia trovato la giustificazione delle sue azioni proprio nella direttiva europea che copre l’argomento dell’internet banking. I problemi, però, sono due: innanzitutto non si qualificano con precisione i dati personali sullo smartphone a cui Poste richiede l’accesso e poi la direttiva PSD2 si focalizza, in realtà, su problemi diversi, che riguardano i prestatori di servizi di pagamento.
Nella PSD2 si spiega come i prestatori di servizi di pagamento dovrebbero stabilire e applicare processi e capacità per il monitoraggio nel continuo delle funzioni aziendali, dei processi di supporto e delle risorse informatiche, al fine di rilevare attività anomale nella prestazione dei servizi di pagamento, attraverso capacità adeguate ed efficaci per rilevare intrusioni fisiche o logiche e violazioni della riservatezza, dell’integrità e della disponibilità delle risorse informatiche utilizzate nella prestazione dei servizi di pagamento. Se si aggiunge anche il fatto che a breve la direttiva PSD2 sarà aggiornata in PSD3, dove il controllo maggiore dei dati degli utenti sarà correttamente legittimato e regolato, allora si comprende come il riferimento contenuto nell’app Poste sia abbastanza fumoso.