Niente privacy sulle comunicazioni mensili all’archivio dei rapporti finanziari. Molti operatori finanziari, soprattutto quelli di piccole dimensioni, affidano in outsourcing l’invio telematico delle comunicazioni mensili (conti correnti, cassette di sicurezza, titoli di stato posseduti dai clienti) avvalendosi di una pluralità di operatori quali commercialisti, associazioni di categoria, Caf, consulenti del lavoro. Il tutto attraverso «files in chiaro», che espongono le comunicazioni al rischio di intrusione e manipolazione, con buona pace delle norme in materia di protezione e riservatezza dei dati personali dei cittadini italiani. È il vero e proprio grido di allarme lanciato dal Garante della Privacy in occasione del parere richiesto sulla bozza del provvedimento che istituisce le nuove comunicazioni annuali all’archivio dei rapporti finanziari, voluta dalla manovra Monti quale misura prioritaria per il contrasto all’evasione.Il problema, come si legge nel citato parere del Garante, non è costituito tanto dal fatto che gli operatori finanziari utilizzino canali esterni per l’invio delle loro comunicazioni mensili all’anagrafe dei conti correnti, quanto dalla circostanza che i files contenenti le comunicazioni stesse escono dalla banca in chiaro, leggibili da chiunque possa accedervi.I soggetti incaricati della trasmissione telematica per conto della banca o dell’intermediario finanziario, si legge nel parere del Garante, «possono ricevere in chiaro il file da trasmettere prima della firma e della cifratura, con ulteriori rischi di accessi non conformi, utilizzi abusivi delle informazioni e alterazione dei dati».Il rischio che si è corso finora, e che si corre tutt’oggi, è dunque quello che alcuni soggetti, esterni alla banca ma interni all’intermediario incaricato, accedano a tali dati non ai fini della trasmissione telematica della comunicazione mensile ma per «altre finalità» che potrebbero essere le più disparate e illecite (dalla semplice curiosità o morbosità al vero e proprio ricatto nei confronti di uno o più soggetti contenuti negli elenchi).Ma vi è di più. Come abbiamo visto il Garante si preoccupa anche della possibilità che il soggetto esterno alla banca possa «alterare» tali dati prima dell’invio falsandone il contenuto stesso ed inquinando le banche dati dell’anagrafe tributaria attraverso le quali l’amministrazione finanziaria conduce le ordinarie analisi di rischio e selezione dei soggetti da sottoporre a verifiche e controlli fiscali.Per comprendere le preoccupazioni e i rischi evidenziati nel citato parere del Garante della Privacy, facciamo un semplice esempio. La banca XY predispone al suo interno, attraverso il proprio personale incaricato, il file contente i dati e le informazioni richieste dalla legge per l’invio mensile all’anagrafe dei conti correnti ai sensi dell’articolo 7, comma 6, del dpr 605/73. In esso saranno contenute tutte le informazioni richieste dalla citata norma quali, fra le altre: i dati identificativi del cliente, il suo codice fiscale, il tipo di rapporto intrattenuto o le operazioni effettuate con la banca sia in conto proprio o per conto di terzi e così via.Tale file viene poi consegnato all’intermediario che la banca ha incaricato per la trasmissione telematica mensile. Una volta che lo stesso fuoriesce dall’istituto di credito si perde la sicurezza e la protezione dei dati perché gli stessi, come dice il Garante, potrebbero formare oggetto di accessi non conformi da parte di personale che a quel punto non è più sotto il diretto controllo della banca dalla quale i dati provengono. Essendo un file in chiaro e dunque leggibile il soggetto terzo che potrebbe accedere a questi dati potrebbe essere la segretaria del commercialista, il dipendente del Caf, chiunque insomma. La soluzione, peraltro, è a portata di mano. Il parere del Garante la individua con precisione. Laddove gli operatori finanziari decidano di affidare la comunicazione a soggetti esterni responsabili o incaricati del trattamento, si legge a pagina 8 del parere più volte citato, «il file dovrà essere loro fornito già cifrato».Solo così l’eventuale intrusione da parte di terzi sarà inefficace perché i dati contenuti nel file saranno illeggibili.
Autore: Andrea Bongi
Fonte:
Italia Oggi
Niente privacy sulle comunicazioni mensili all’archivio dei rapporti finanziari. Molti operatori finanziari, soprattutto quelli di piccole dimensioni, affidano in outsourcing l’invio telematico delle comunicazioni mensili (conti correnti, cassette di sicurezza, titoli di stato posseduti dai clienti) avvalendosi di una pluralità di operatori quali commercialisti, associazioni di categoria, Caf, consulenti del lavoro. Il tutto attraverso «files in chiaro», che espongono le comunicazioni al rischio di intrusione e manipolazione, con buona pace delle norme in materia di protezione e riservatezza dei dati personali dei cittadini italiani. È il vero e proprio grido di allarme lanciato dal Garante della Privacy in occasione del parere richiesto sulla bozza del provvedimento che istituisce le nuove comunicazioni annuali all’archivio dei rapporti finanziari, voluta dalla manovra Monti quale misura prioritaria per il contrasto all’evasione.Il problema, come si legge nel citato parere del Garante, non è costituito tanto dal fatto che gli operatori finanziari utilizzino canali esterni per l’invio delle loro comunicazioni mensili all’anagrafe dei conti correnti, quanto dalla circostanza che i files contenenti le comunicazioni stesse escono dalla banca in chiaro, leggibili da chiunque possa accedervi.I soggetti incaricati della trasmissione telematica per conto della banca o dell’intermediario finanziario, si legge nel parere del Garante, «possono ricevere in chiaro il file da trasmettere prima della firma e della cifratura, con ulteriori rischi di accessi non conformi, utilizzi abusivi delle informazioni e alterazione dei dati».Il rischio che si è corso finora, e che si corre tutt’oggi, è dunque quello che alcuni soggetti, esterni alla banca ma interni all’intermediario incaricato, accedano a tali dati non ai fini della trasmissione telematica della comunicazione mensile ma per «altre finalità» che potrebbero essere le più disparate e illecite (dalla semplice curiosità o morbosità al vero e proprio ricatto nei confronti di uno o più soggetti contenuti negli elenchi).Ma vi è di più. Come abbiamo visto il Garante si preoccupa anche della possibilità che il soggetto esterno alla banca possa «alterare» tali dati prima dell’invio falsandone il contenuto stesso ed inquinando le banche dati dell’anagrafe tributaria attraverso le quali l’amministrazione finanziaria conduce le ordinarie analisi di rischio e selezione dei soggetti da sottoporre a verifiche e controlli fiscali.Per comprendere le preoccupazioni e i rischi evidenziati nel citato parere del Garante della Privacy, facciamo un semplice esempio. La banca XY predispone al suo interno, attraverso il proprio personale incaricato, il file contente i dati e le informazioni richieste dalla legge per l’invio mensile all’anagrafe dei conti correnti ai sensi dell’articolo 7, comma 6, del dpr 605/73. In esso saranno contenute tutte le informazioni richieste dalla citata norma quali, fra le altre: i dati identificativi del cliente, il suo codice fiscale, il tipo di rapporto intrattenuto o le operazioni effettuate con la banca sia in conto proprio o per conto di terzi e così via.Tale file viene poi consegnato all’intermediario che la banca ha incaricato per la trasmissione telematica mensile. Una volta che lo stesso fuoriesce dall’istituto di credito si perde la sicurezza e la protezione dei dati perché gli stessi, come dice il Garante, potrebbero formare oggetto di accessi non conformi da parte di personale che a quel punto non è più sotto il diretto controllo della banca dalla quale i dati provengono. Essendo un file in chiaro e dunque leggibile il soggetto terzo che potrebbe accedere a questi dati potrebbe essere la segretaria del commercialista, il dipendente del Caf, chiunque insomma. La soluzione, peraltro, è a portata di mano. Il parere del Garante la individua con precisione. Laddove gli operatori finanziari decidano di affidare la comunicazione a soggetti esterni responsabili o incaricati del trattamento, si legge a pagina 8 del parere più volte citato, «il file dovrà essere loro fornito già cifrato».Solo così l’eventuale intrusione da parte di terzi sarà inefficace perché i dati contenuti nel file saranno illeggibili.
Autore: Andrea Bongi
Fonte:
Italia Oggi