Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La riflessione

Un’app per ogni necessità: tutti i vantaggi e i rischi in materia di sicurezza e protezione dati

Servizi bancari, per il benessere e sanitari: le applicazioni mobile hanno rivoluzionato la quotidianità. Non bisogna, tuttavia, trascurare i possibili problemi in materia di app, sicurezza e protezione dei dati

23 Dic 2019
R
Raffaele Riccio

Data Protection Consultant


Le app hanno determinato un profondo cambiamento non solo delle comunicazioni ma, più in generale, delle abitudini e degli stili di vita: nate come strumenti volti a garantire la rapidità delle comunicazione, esse oggi costituiscono principalmente uno strumento di proposizione e offerta di servizi digitali, aprendo così la strada all’espansione del commercio elettronico. Ma non mancano i problemi, come quelli legati alla sicurezza e alla protezione dati, anche alla luce del GDPR.

App, sicurezza e protezione dati: il contesto

I cambiamenti radicali connessi alla trasformazione digitale della nostra società sono ormai alla portata di tutti ogniqualvolta (cioè quasi sempre) utilizziamo il nostro smartphone o meglio, utilizziamo le app presenti sul nostro smartphone per poter compiere le operazioni più svariate.

L’enorme diffusione delle app, infatti, consente oggi a ciascun individuo di poter prenotare cibo a domicilio o un tavolo per la cena al ristorante (JustEat, Glovo, Uber Eats, The Fork solo per citarne alcuni) o la spesa, effettuare pagamenti immediati e bonifici (la più diffusa in Italia è oggi Satispay, strumento gratuito per i privati e decisamente vantaggioso per gli esercenti aderenti), fare acquisti online (es. dall’acquisto di beni di consumo alla prenotazione di viaggi), comunicare e videocomunicare in modo istantaneo, prenotare una macchina, uno scooter o una bici messi a disposizione dai servizi di car o bike sharing, controllare in tempo reale gli orari di partenza del treno o del bus.

Insomma, tutto ciò che può sembrare oggi più che scontato fino a 10 anni fa non lo era affatto. E la casistica potrebbe essere infinitamente lunga.

Mobile banking

Una delle tendenze decisamente più innovative degli ultimi anni riguarda quello relativo servizi bancari e, quindi, la diffusione delle app di banking.

Addirittura, negli ultimi 2 anni vi è stato un incremento del 71% di utenti che accedono ai servizi bancari tramite lo smartphone: dati che evidentemente mostrano quanto siano ormai variate le abitudini e i rapporti tra i consumatori e le banche: oggi, infatti, si ha la possibilità di aprire conti correnti, monitorare il proprio estratto conto, eseguire operazioni bancarie a costo zero (bonifici, pagamento di bollettini), evitando infinite attese presso le filiali.

Per milioni di italiani la normalità è quella di accedere alla propria banca dal proprio smartphone e questo accade mediamente almeno 8 volte al mese, ponendo così in secondo piano l’utilizzo dell’internet banking.

Le app, dal punto di vista funzionale, continuano a migliorare i livelli di efficienza, dando la possibilità all’utente di salvare le operazioni preferite ed effettuate con maggiore periodicità, risparmiare risorse in termini di denaro e di tempo, effettuare operazioni in modo semplice e immediato.

Timbrature del cartellino tramite app

Non meno innovative risultano le app per smartphone utilizzate in azienda dai lavoratori dipendenti per poter registrare gli orari di lavoro effettuati nel corso della giornata (inizio e fine dell’attività lavorativa, le pause).

Trattasi di uno strumento che consente soprattutto al datore di lavoro di agevolare i lavoratori che sono impiegati presso strutture differenti da quelle centrali o che svolgono in modo periodico attività fuori sede e, di conseguenza, l’impiego di tale strumento permette di agevolare e semplificare le procedure di amministrazione e gestione del personale (verifica delle presenze).

App per la salute

Anche il mondo sanitario è sempre più travolto dall’utilizzo delle app cosiddette “della salute”, distinte in varie tipologie.

Le app comunemente definite “salute e medicina” sono quelle funzionali alla gestione di servizi di carattere medico, al controllo delle abitudini e degli stili di vita, al monitoraggio dei farmaci e delle terapie, alla prenotazione di visite ed esami, per monitorare malattie o lo stato di salute (es. diabete e pressione), registrare diversi parametri relativi all’attività fisica esercitata e altrettanti parametri correlati alla salute (quantità di calorie assunte durante il giorno in base ai pasti consumati, livello di stress tramite saturazione di ossigeno nel sangue e frequenza cardiaca, calendarizzazione del ciclo, sino a quelle che – insieme a dispositivi fisici collegabili – trasformano lo smartphone in un dispositivo medico.

Le app “fitness” sono destinate a monitorare l’esercizio fisico (contapassi), a proporre soluzioni di esercizi per migliorarne lo svolgimento di determinati esercizi mirati all’esercizio fisico, gestire e controllare l’esercizio fisico.

Le app “benessere” sono finalizzate a migliorare e monitorare lo stato di benessere generale, a gestire il sonno e aumentare la concentrazione. Tantissimi sono gli utenti che vi fanno ricorso: secondo uno studio promosso da ADOC tra il 2017 e il 2018, il 69,1% degli italiani ha utilizzato, almeno una volta, un’app della sanità digitale.

E, quasi banale a dirsi, le app in questione raccolgono quasi esclusivamente dati relativi allo stato di salute degli utenti. La trasformazione digitale, infatti, sta interessando anche il settore della sanità, allo scopo di garantire una serie di scenari decisamente nuovi, aiutando medici e pazienti a gestire meglio le procedure relative alla cure e alla salute, con la possibilità di accedere a informazioni e dati personali da qualsiasi luogo e in qualsiasi momento.

Le app e i servizi pubblici

Recenti progetti stanno intervenendo anche nel settore della PA e dell’offerta dei servizi pubblici. In particolare, l’idea è quella di portare diversi servizi pubblici sugli smartphone dei cittadini tramite un’unica app: in tal modo sarà possibile ricevere messaggi da qualsiasi ente pubblico tramite notifiche push, impostare la ricezione di avvisi su scadenze e promemoria, effettuare pagamenti associando le proprie carte di credito, il proprio conto corrente, avere a portata di mano tutti i documenti e i certificati d’interesse, con l’ulteriore possibilità di condividerli con terzi i interessati.

Più app, più dati, più rischi

Il massivo utilizzo delle app, tuttavia, porta anche degli aspetti negativi: gli hacker hanno iniziato a prendere di mira tali strumenti per irrompere all’interno dei vari dispositivi elettronici dei utenti. Non è un caso, infatti, che il cloud e le app sono i due canali maggiormente esposti a rischio di attacco da parte degli hacker, secondo gli studi e le statistiche più recenti.

Tutto ciò accade considerando semplicemente che tutte le altre fonti di accesso ai dati personali nel tempo sono state sempre più protette, mentre le applicazioni restano ancora un passo indietro sul versante dei livelli di sicurezza informatica per garantire la protezione dei dati personali.

Uno dei principali problemi connessi alla diffusione delle applicazioni concerne proprio i profili relativi alla sicurezza dei dati personali raccolti ed elaborati: le app, infatti, necessitano di una numerose serie di misure di protezione spesso accade invece che esse siano abbastanza vulnerabili e, quindi, facilmente aggredibili da coloro che hanno interesse a sottrarre illecitamente dati senza difficoltà.

O, ancora, spesso le misure di sicurezza a protezione del software non riescono a garantire l’eliminazione totale dei rischi connessi al loro utilizzo.

Gli aspetti principali da garantire, dunque, sono quelli legati al rispetto della normativa sul trattamento dei dati personali e all’adozione di adeguate misure di sicurezza informatica.

App, sicurezza e protezione dati: vincoli normativi

Già durante la trentacinquesima Conferenza internazionale tenutasi il 23 ed il 24 settembre 2013 a Varsavia, i rappresentanti delle Autorità per la protezione dei dati e la privacy a livello europeo hanno discusso e parlato di “appificazione” della società, ragionando sulle sfide derivanti dall’utilizzazione crescente di applicazioni per dispositivi mobili e degli approcci possibili a tali sfide.

Ancora, le autorità nazionali ed europee, già prima dell’avvento del Regolamento europeo 679/2016 e delle modifiche alla normativa italiana sul trattamento dei dati personali, avevano fornito una serie di risposte connesse alle problematiche derivanti dall’utilizzo di app per dispositivi mobili.

I principali problemi individuati in un parere dell’Article 29 Data Protection Working Party (Parere 02/2013) sono stati:

  • mancanza di trasparenza: l’utente che utilizza le applicazioni spesso non riceve informazioni sufficienti sulle finalità e sulle modalità di trattamento dei dati personali mediante il software (il medesimo Parere indica che solo il 61,3% delle 150 App più scaricate dispone di una privacy policy);
  • mancanza di libero consenso informato: all’utente spesso non è permesso di manifestare il proprio consenso al trattamento dei dati in maniera libera ed informata;
  • carenti misure di sicurezza: i dati personali raccolti tramite la App spesso non sono trattati e conservati secondo adeguati standard di sicurezza essenziali a garantire la massima protezione.

Alla luce degli attuali scenari normativi sulla protezione dei dati, post GDPR, è sufficiente ricordare che gli elementi essenziali validi per la garanzia di conformità per le app sono costituiti da:

  • informativa sul trattamento dei dati personali, con adeguata esposizione delle finalità e delle modalità attraverso le quali l’app raccoglie ed elabora i dati, indicazione dei tempi e supporti di conservazione dei dati medesimi, indicazione di eventuale diffusi dei dati in Paesi extra UE;
  • consenso al trattamento dei dati personali, soprattutto se la raccolta e l’elaborazione dei dati sono effettuati per determinate finalità (es. erogazione del servizio, marketing, cessione dei dati a terzi ecc.);
  • misure di sicurezza tecniche adeguate a garantire la protezione dei dati raccolti ed elaborati (art. 32 GDPR).

App, sicurezza e protezione dati: la privacy by design

Al fine di aumentare il livello di fiducia degli utenti che utilizzano le applicazioni sempre più speso, è necessario che venga assicurata la massima attenzione alla verifica dello status di sicurezza delle applicazioni.

Sicurezza che dovrà essere presa in considerazione sin dalla progettazione dell’applicazione medesima, in piena aderenza al principio di privacy by design previsto dal GDPR.

Le vulnerabilità più comuni che sono state individuate nella maggior parte dei casi riguardano i processi di autenticazione e il controllo degli accessi da parte di soggetti non autorizzati.

Sin dalla progettazione, dunque, è opportuno che le app siano sviluppate con l’adozione di tutte le misure tecniche in grado di renderle sicure.

Successivamente, è opportuno che siano effettuati application assessment per verificare il costante livello di sicurezza garantito dall’app medesima.

L’application assessment aiuta a capire come interagisce il software con gli altri dati presenti sui dispositivi mobili sui quali esso viene installato.

In questo modo, i team di sicurezza possono identificare proattivamente i rischi potenziali e, allo stesso tempo, possono essere prevenute le perdite di dati e le modifiche non autorizzate ai dispositivi escludendo le applicazioni più a rischio.

In particolare, è bene che siano costantemente monitorate le operazioni più rischiose che possono interessate un applicazione tra cui: l’accesso ai contatti e la loro copia all’esterno del dispositivo, il tracking dei luoghi dove si reca l’utente e la comunicazione a servizi esterni, l’accesso alle fotografie memorizzate sui dispositivi, la trasmissione delle credenziali dell’utente in modo non protetto.

Ciò che dovrebbe essere effettuato in situazioni di normalità è una vera e propria ispezione completa dell’app, al fine di poterne comprendere criticità operative e vulnerabilità.

Nello specifico, tornando ai settori esaminati in precedenza, la questione della sicurezza del mobile banking non passa assolutamente inosservata posto che, da recenti ricerche, è emerso che il 97% delle più grandi banche è seriamente esposta a rischi di furti online e che, soprattutto, il 20% delle app di banking ha delle vulnerabilità di sicurezza ad alto rischio e che, allo stesso tempo, risulta non conforme agli standard richiesti dal GDPR; molte app spesso non sono protette da firewall e non hanno superato il test PSI DSS.

Appare evidente, dunque, la situazione critica alla quale sono esposti centinaia di migliaia di dati economici di utenti. Il problema della sicurezza delle app di banking ha assunto risvolti decisivi soprattutto dal 14 settembre 2019, data di entrata in vigore della normativa PDS2 che prevede l’eliminazione definitiva dei token fisici che generavano le password di accesso per poter effettuare operazioni bancarie.

Discorsi analoghi posso assolutamente essere riportati anche in relazione a tutte le altre app cui si è fatto cenno sino ad ora.

In particolare, per le app utilizzate dai lavoratori aziendali come strumento di registrazione delle presenze il Garante ha espressamente prescritto di perfezionare il sistema nella prospettiva della “privacy by design”, applicando il principio di necessità, soprattutto alla luce dei possibili conseguenti derivanti dal non corretto utilizzo dei sistemi di localizzazione connessi alle suddette applicazioni.

Verificata l’associazione tra le coordinate geografiche della sede di lavoro e la posizione del lavoratore, l’app per le timbrature può conservare ˗ se del caso ˗ il solo dato relativo alla sede di lavoro (oltre a data e orario della “timbratura” virtuale), cancellando il dato relativo alla posizione del lavoratore.

Inoltre, sul display del dispositivo mobile utilizzato dal lavoratore deve essere sempre ben visibile un’icona che indichi che la funzione di localizzazione dell’app è attiva. L’app, inoltre, deve essere configurata in modo tale da impedire il trattamento, anche accidentale, di altri dati contenuti nello stesso dispositivo utilizzato dal lavoratore (ad esempio, dati relativi al traffico telefonico, agli sms, alla posta elettronica, alla navigazione in Internet o altre informazioni presenti sul dispositivo).

Infine, non ultimo per importanza, è necessario che l’app fornisca un’informativa privacy comprensiva di tutti gli elementi (tipologia dei dati, finalità e modalità del trattamento, tempi di conservazione, natura facoltativa del conferimento, soggetti che possono venire a conoscenza dei dati in qualità di responsabili o incaricati del trattamento).

Per le app mediche, spesso non si considera che esse possono essere ritenute “dispositivi medici” a tutti gli effetti; di conseguenza, in tali casi dovrebbero essere sottoposti alla relativa normativa: in particolare, l’affermazione vale per le app utilizzate per finalità diagnostiche e/o terapeutiche.

I produttori di simili software dovrebbero rispettare i rigidi requisiti imposti per tale categoria di prodotti.

Per verificare se un’app sia classificabile come dispositivo medico è necessario fare riferimento alla definizione di dispositivo medico contenuta nell’Art. 1 comma 2 della Direttiva 93/42/CEE (attuata in Italia dal D.lgs. 46/97).

Conclusioni

Alla luce di quanto detto finora è chiaro quanto sia importante dedicare la massima attenzione quando si parla di app, sicurezza e protezione dati. Si stima, dunque, che le spese per l’innovazione digitale, la sicurezza informatica e la protezione dei dati personali nei prossimi anni crescerà in modo esponenziale tanto nel settore bancario quanto in quello sanitario, nonché nel settore pubblico e in quello aziendale, soprattutto allo scopo di migliorare la fiducia degli utenti e dei consumatori nei confronti dei servizi e degli strumenti della trasformazione digitale attualmente in atto.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5