Vedete in quale contesto instabile siamo costretti a muoverci a proposito di dati sensibili? Facciamo in tempo a pubblicare – il 6 ottobre 2015, su questa testata – PMI giù dalle nuvole! Bisogna controllare dove viaggiano i dati, riportando il meccanismo della normativa 95/46/CE, che nello stesso giorno si apprende dai media: la Corte UE dichiara invalidata la decisione della Commissione Europea circa l’adeguatezza del livello di protezione garantito dagli USA. E proprio come abbiamo accennato nello stesso pezzo, a proposito della difficoltà di localizzare geograficamente le competenze giuridiche relative alla tecnologia, la causa di Maximilian Schrems contro Facebook rimbalza tra Stati Uniti e Irlanda (la collocazione dei server per gli utenti europei).
Se il valore della privacy è particolarmente sentito ed invocato in Italia – anche la normativa è la più articolata e rigida in Europa – non sembra succeda altrettanto per le regole che governano la sicurezza degli strumenti di pagamento elettronico. Se provaste a chiedere a conoscenti – fatta eccezione per gli addetti ai lavori – “Sai cos’è il PCI DSS?”, probabilmente il vostro interlocutore inclinerà un po’ la testa da un lato, studiandovi per capire qual è il vostro problema. La stessa reazione potrebbe avere anche il negoziante – e con buona probabilità lo farà – che sta strisciando la vostra carta di credito durante un acquisto.
Tra l’altro, per completezza d’informazione, PCI-DSS è l’acronimo per Payment Card Industry Data Security Standard, vale a dire gli standrd di sicurezza che garantiscono i pagamenti mobili.
Le regole – e risultano anche particolarmente stringenti dal punto di vista organizzativo ma soprattutto tecnico – sono state ben definite. Lo standard per la sicurezza dei dati delle carte di credito è stato messo a punto per volere dei 5 brand mondiali di pagamento con maggior rilevanza: Visa, Mastercard, JBC, American Express, DFS. In estrema sintesi lo standard determina che le informazioni relative alle carte di credito debbano essere storicizzate e veicolate secondo criteri di massima sicurezza, mentre altre (ad esempio il CVV2) non possano essere memorizzate in alcun modo.
In questo contesto il problema, come spesso accade, non sembra essere relativo alla carenza di indicazioni, ma di consapevolezza. Circa la consapevolezza però bisogna aggiungere un’ulteriore considerazione. Chi non è consapevole è perché non è stato informato, istruito, non ha capito oppure perché non ha la dote che gli inglesi definiscono come accountability (la capacità di assumere la responsabilità)? Dato di fatto è che nel maneggiare una carta di credito, il titolare attribuisce la responsabilità al commerciante, questi pensa che sia un problema della banca che gli ha fornito il POS (fisico o vituale), la banca pensa che sia un problema dei servizi interbancari (il fornitore per la gestione delle carte).
Nel frattempo le frodi compiute aumentano in modo esponenziale mentre tutti si girano dall’altra parte per non guardare. Ed in questo continuo passaggio del testimone, senza che si arrivi mai al traguardo, il soggetto che sviluppa gli strumenti informatici che traghettano i dati da una piattaforma all’altra non è neanche stato menzionato.
In effetti le società di sviluppo software, essendo collocate in una posizione più periferica rispetto all’area dove insiste la morsa della compliance, prendono l’argomento, in alcuni casi, ancora troppo alla leggera. Anche perché, inutile nasconderlo, le attività di security sui processi di sviluppo sono veramente costose.
Più nello specifico le fasi di code review e penetration testing possono raggiungere effort veramente ingombranti, in alcuni casi difficili da ribaltare completamente sui costi a carico del committente. In questo senso, se le regole del PCI DSS già erano robuste circa il controllo sulla catena di fornitura e sul processo di sviluppo sicuro, anche il Garante per la Privacy sta tentando di fornire indicazioni più dettagliate, con particolare attenzione al mondo app mobile, non senza evidenti difficoltà nel tradurle in requisiti tecnici comprensibili per gli sviluppatori.
Mi perdonerete se torno ancora con tanta insistenza sul tema che mi assilla da qualche settimana, ma come si fa a perseguire lo sviluppo del commercio elettronico e l’incremento dei volumi di vendita online senza il sistema per garantire tutela e diritti fondamentali al consumatore?
Mentre la privacy ed il PCI DSS funzionano come un neon usurato, l’8 ottobre il Parlamento Europeo rilascia la nuova versione della Payment Services Directive e le singoli stati avranno tempo due anni per recepire la normativa in ambito nazionale. Speriamo solo che questa volta il ragionamento sia un po’ differente da quello al quale siamo malauguratamente abituati e che, nella definizione della normativa, ci siano finalmente criteri chiari e comprensibili per tutti.
