Telefonate più che indesiderate a qualsiasi ora del giorno e della notte (week end compresi). Messaggi pubblicitari tramite sms e mms come se piovesse. Una situazione che accomuna migliaia di italiani che, quotidianamente, devono fare i conti con la minaccia dello spam ormai anche sui cellulari e sugli smartphone. Come è possibile che il fenomeno sia proliferato anche sui telefonini? Il più delle volte tutto inizia dopo aver comprato qualcosa online con la carta di credito usufruendo cioè dei cosiddetti servizi di mobile remote payment, come gli abbonamenti ai quotidiani on line o gli acquisti di e-book, video e giochi.

Tanto che per porre un freno a questo crescente numero di attacchi all’indirizzo delle piattaforme mobili l’Autorità della privacy ha definitivamente adottato un provvedimento (n. 3161560), pubblicato già sulla Gazzetta Ufficiale n. 137 del 16 giugno 2014, che disciplina il trattamento dei dati personali degli utenti telefonici, sia in abbonamento sia con carta prepagata, che utilizzano smartphone, tablet e pc per effettuare acquisti di beni e servizi digitali.

Chiaro il perno intorno a cui ruotano le nuove regole: termine di conservazione dei dati di sei mesi, informativa specifica e consenso per l’attività di marketing e operatori sotto controllo per evitare abusi.

I numeri, in proposito, parlano chiaro. I malware, ossia i virus camuffati da applicazioni legittime che mirano a far abboccare gli utenti in qualche trappola per fregare dati personali e spillare soldi, è aumentato esponenziale grazie alla crescita registratala in Italia dalle transazioni: nel report pubblicato quest’anno dall’Osservatorio Mobile Payment & Commerce del Politecnico di Milano si parla di 15 miliardi di euro di e-commerce, tra pagamenti online di bollette, acquisto via smartphone di contenuti digitali, beni e servizi. Valore destinato a triplicare nel 2016 a seguito del progressivo lancio di soluzioni di mobile ‘proximity payment‘ in cui i pagamenti si eseguono avvicinando il dispositivo mobile a un apposito lettore Pos.

I dati personali acquisiti per la transazione (dal numero telefonico ai dati anagrafici, dalle informazioni sul servizio o prodotto digitale richiesto all’indirizzo IP di collegamento) non potranno più essere usati per altre finalità, come l’invio di pubblicità o analisi delle abitudini, senza lo specifico consenso degli utenti, e dovranno essere adeguatamente protetti dai rischi di uso fraudolento. Mentre le misure a tutela della privacy dovranno essere adottate da tutti i soggetti coinvolti nella fornitura del servizio di micropagamento: gli operatori di comunicazione elettronica (ovvero le compagnie telefoniche che forniscono il servizio di pagamento tramite cellulare), gli aggregatori (le società che forniscono l’interfaccia tecnologica), i venditori (le aziende che offrono contenuti digitali e servizi); nonché tutti gli altri soggetti eventualmente coinvolti nella transazione (come quelli che consentono, anche tramite apposite app, l’accesso al mercato digitale).

Ecco, nel dettaglio le prescrizioni del Garante.

Informativa
Gli utenti dovranno essere informati sulle modalità di trattamento effettuato sui loro dati fin dalla sottoscrizione o adesione al servizio di pagamento da remoto.

Consenso
Le società non dovranno richiedere il consenso degli utenti per il trattamento dei dati relativi alla fornitura del servizio di remote mobile payment. Il consenso è invece obbligatorio per la comunicazione dei dati personali a terzi oppure in caso di loro utilizzo per attività di marketing e profilazione dell’utenza basata su abitudini, gusti e preferenze.

Conservazione
I dati degli utenti trattati dagli operatori, dagli aggregatori e venditori, potranno essere conservati al massimo per 6 mesi. L’indirizzo Ip dell’utente dovrà invece essere cancellato dal venditore una volta terminata la procedura di acquisto del contenuto digitale.

Misure di sicurezza
Operatori, aggregatori e venditori saranno tenuti ad adottare precise misure per garantire la confidenzialità dei dati, quali: sistemi di autenticazione forte per l’acceso ai dati da parte del personale addetto, e procedure di tracciamento degli accessi e delle operazioni effettuate; criteri di codificazione dei prodotti e servizi; forme di mascheramento dei dati mediante sistemi crittografici.

Ulteriori misure
Dovranno essere adottate misure al fine di impedire l’integrazione delle diverse tipologie di dati a disposizione dell’operatore telefonico: dal consumo telefonico ai dati sull’uso della tv interattiva, a meno che non venga espresso uno specifico consenso informato da parte dell’utente.

I venditori, inoltre, per garantire maggiore riservatezza alle transazioni dei clienti, potranno trasmettere all’operatore telefonico solo le categorie merceologiche di riferimento dei prodotti digitali offerti senza indicazioni sullo specifico contenuto del prodotto o servizio acquistato, a meno che non sia necessario per la fornitura di servizi in abbonamento.

Dovranno essere previsti anche accorgimenti tecnici per disattivare servizi destinati ad un pubblico adulto e per inibirne l’accesso a minorenni.

Regole tra le quali manca quella aurea, visto che prevenire è sempre meglio che curare. Il primo consiglio da seguire sempre è di tenere quanto più riservato il numero di cellulare, scegliere un servizio di posta che offra un filtro anti-spam ed informare l’operatore telefonico per bloccare le minacce.