Il confine tra trasparenza e riservatezza

Il sistema attuale, infatti, espone indirettamente il cliente a una forma di disvelamento di informazioni personali. Sapere che una carta “ha superato il limite” può indurre chi osserva – il commerciante o eventuali altre persone presenti – a trarre conclusioni sullo stato del conto, sull’affidabilità finanziaria o addirittura sulle abitudini di spesa del cliente.

Naturalmente, il commerciante ha diritto a ricevere una conferma chiara sul buon esito o meno della transazione, per poter consegnare o meno la merce. Ma ha davvero necessità di conoscere anche il dettaglio della motivazione? Oppure quel livello di informazione dovrebbe rimanere confinato alla comunicazione tra banca ed intestatario della carta?

Un possibile problema di riservatezza

Secondo alcuni esperti di diritto bancario e tutela dei dati personali, ci troveremmo di fronte a una zona grigia. Non si tratta, formalmente, di una violazione conclamata, perché il messaggio sul POS non fornisce dati sensibili in senso stretto. Tuttavia, l’informazione sul superamento del limite o sulla mancanza di fondi può configurarsi come dato economico personale, che in linea teorica dovrebbe restare riservato.

Il Regolamento europeo sulla protezione dei dati (GDPR) non menziona espressamente queste casistiche, ma il principio di “minimizzazione dei dati” stabilisce che a terzi non dovrebbero essere comunicate più informazioni del necessario. Applicando questa logica, al commerciante servirebbe solo sapere se la transazione è stata “autorizzata” o “non autorizzata”, senza ulteriori dettagli.

Nel frattempo abbiamo interpellato in via ufficiale l’Autorità per la protezione dei dati personali, ossia il Garante Privacy, documentando il tutto, siamo in attesa di riscontro e chiarimento.

Il ruolo delle banche e dei circuiti di pagamento

Il messaggio che appare sui terminali POS non è deciso dal singolo esercente, ma dal sistema di interscambio dei circuiti di pagamento, gestito dalle banche e dalle società internazionali come Visa, Mastercard o Nexi. Sono questi soggetti che stabiliscono il tipo di feedback trasmesso al dispositivo del commerciante.

Si potrebbe dunque aprire un dibattito: serve davvero dettagliare il motivo del rifiuto della transazione? O sarebbe più rispettoso nei confronti del cliente mostrare solo un messaggio neutro, lasciando al titolare della carta la possibilità di consultare l’app della banca o ricevere una notifica push per conoscere il motivo preciso?

Una questione anche culturale

Al di là degli aspetti tecnici, si tratta di una riflessione che riguarda il rapporto tra cittadini e sistema bancario. In un’epoca in cui la digitalizzazione avanza e la sensibilità verso la privacy è cresciuta enormemente, forse vale la pena chiedersi se anche piccoli dettagli come un messaggio su uno scontrino o su un display non meritino di essere ripensati.

Dunque:

• È corretto che il commerciante conosca il motivo del rifiuto della transazione, oltre al semplice “no”?
• Non sarebbe più rispettoso della privacy limitarsi a un messaggio neutro, lasciando al cliente il diritto di sapere il perché tramite i propri canali bancari?
• In che misura un’informazione di questo tipo può incidere sulla percezione del cliente e sul rapporto di fiducia con l’esercente?

Verso un possibile aggiornamento?

Non è escluso che, con l’evoluzione normativa e con una crescente attenzione alla protezione dei dati personali, il tema possa arrivare anche all’agenda delle autorità di vigilanza. Per ora, resta soprattutto un interrogativo aperto: in un sistema che cerca di bilanciare sicurezza, trasparenza e riservatezza, la discrezione sulle informazioni economiche personali dovrebbe essere un principio da non sottovalutare.

Nel frattempo abbiamo chiesto anche a ADUSBEF una pronuncia.

“In attesa della pronuncia del Garante sulla privacy sarebbe opportuno, o quanto meno coerente con un approccio prudenziale, che tali dati non fossero visibili a terzi, nella misura in cui, così come manifestati sembrano esporre l’utente alla diffusione di elementi non necessari ai fini della transazione/mancata transazione. Occorre ricordare, infatti – fanno sapere da ADUSBEF – che dati di tale tenore possono essere comunicati, per ragioni di tutela del mercato e solo in casi particolari, a strutture come la CAI (Centrale di allarme interbancario) o alle centrali rischi come ad esempio Crif, Exprerian etc…(giusto per citare alcune). Ad ogni modo vedremo quale sarà la posizione del Garante sul punto, all’esito della quale leggeremo le motivazioni addotte per la decisione, qualunqe essa sia.“.