Chiarimenti riguardo alle carte di credito senza contatto

A seguito di uno scambio di informazioni con le autorità francesi in materia di protezione dei dati e di una presa di contatto con i più importanti emittenti di carte di credito abbiamo fatto il punto della situazione riguardo alle carte di credito senza contatto.

Nello scorso anno alcuni media si sono occupati delle carte di credito che consentono di pagare senza contatto. Sono state condotte diverse analisi e tratte conclusioni che presentano risvolti piuttosto preoccupanti per quanto riguarda i diritti della personalità e la sicurezza dei dati. Alcune di queste tesi sono state suffragate dalla Commissione nazionale dell'informatica e delle libertà della Francia (Commission nationale de l'informatique et des libertés, CNIL) nel suo comunicato stampa del 1° luglio 2013 intitolato «Sicurezza delle carte di credito senza contatto: quali progressi e miglioramenti sono possibili?».

Su questa base e nel quadro delle nostre competenze legali, abbiamo avuto un breve scambio di informazioni con l'autorità francese. Questo ci ha consentito, in un primo tempo, di valutare le informazioni che circolano sia in Internet sia sulla stampa scritta. Di seguito, abbiamo anche allacciato un contatto con i principali emettenti di carte di credito in Svizzera per dare loro la possibilità di prendere posizione.

Le nuove carte immesse in circolazione dallo scorso anno sono in gran parte già dotate della tecnologia di identificazione a radiofrequenza (RFID), che consente il pagamento senza contatto in differenti punti di vendita equipaggiati di terminali compatibili (point of sale, POS). I tre grandi concessori di licenze di carte di credito MasterCard, Visa e American Express hanno introdotto prodotti simili, seppure sotto denominazioni diverse. Si tratta dei sistemi PayPass, payWave ed ExpressPay.

Queste denominazioni, generalmente riportate sulla carta, danno già di per sé un'idea sul funzionamento del sistema: quando si avvicina la carta a un POS il pagamento è contabilizzato senza che sia necessario comporre un codice o apporre una firma sulla fattura. L'identificazione avviene mediante radiofrequenza. I dati necessari all'acquisto sono trasmessi in tal modo dalla carta al terminale. In genere non avviene alcun processo di identificazione, per esempio mediante un numero d'identificazione personale (NIP). Per questo genere di transazione è tuttavia previsto un importo massimo allo scopo di limitare il danno in caso di perdita o furto.

La trasmissione dei dati illustrata in precedenza non è riservata ai terminali di vendita. Di conseguenza, quale effetto indesiderato, un terzo non autorizzato che dispone dell'equipaggiamento tecnico necessario può intercettare e leggere i dati della carta all'insaputa del titolare. Un rischio elevato è presente nei luoghi pubblici.

Quale corollario al punto della situazione sul tema della sicurezza dell'informazione - strettamente legato alla responsabilità civile del detentore della collezione di dati (in questo caso l'emittente di carte di credito) - va affrontata la questione dell'autodeterminazione in materia d'informazione. Secondo questo diritto fondamentale sancito nella Costituzione federale chiunque può opporsi a un trattamento di dati. Come ogni diritto fondamentale, questo diritto può subire restrizioni, ma soltanto a precise condizioni. La LPD prevede alcuni motivi giustificativi che autorizzano a trattare dati personali: il consenso, un interesse preponderante privato o pubblico oppure la legge. Nel caso in questione gli emittenti di carte di credito consultati non fanno valere alcun interesse preponderante pubblico o privato al trattamento descritto. Il chip RFID è inserito nella carta senza che il cliente l'abbia espressamente richiesto o abbia dato preventivamente il suo consenso.

Il fatto che la politica d'informazione degli emittenti di carte di credito consultati sia conforme al principio di trasparenza, non legittima a presupporre il consenso da parte del cliente. Poniamo che, visto che a priori nessun dato degno di particolare protezione è comunicato mediante il chip, il consenso tacito sia sufficiente. In tal caso, anche gli elementi costituitivi del consenso devono essere adempiuti, ossia il consenso deve essere espresso liberamente e dopo debita informazione. Il nocciolo del problema è il consenso libero.

Nei fatti l'attuale situazione sul mercato svizzero delle carte di credito senza contatto favorisce uno squilibrio strutturale tra il cliente e la banca. In effetti, un'alternativa, ossia un concorrente che offra un prodotto sul mercato della stessa gamma, sostituibile, senza RFID, non esiste. Un consenso tacito attraverso le condizioni generali non soddisfa dunque i criteri del consenso libero.

Chiediamo al settore bancario di adottare misure al fine di rispettare le libertà individuali, ossia di concedere al cliente la possibilità di scegliere o di rifiutare una tecnologia. Nell'attesa di sviluppi in tal senso, è bene che i titolari di carte di credito che desiderano proteggere i loro dati sappiano che vi sono appositi portamonete in grado di bloccare le frequenze radio oppure che possono riporre le carte in custodie di alluminio.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/21--rapporto-d-attivita-2013-2014/chiarimenti-riguardo-alle-carte-di-credito-senza-contatto.html