Da alcuni giorni, gli utenti che usano le app Poste Italiane, Postepay e BancoPosta su Android hanno visto comparire sullo schermo dello smartphone un messaggio relativo ad una funzionalità di sicurezza. Per prevenire le frodi è obbligatorio consentire l’accesso ai dati del dispositivo. Non viene però specificato quali dati servono per garantire una maggiore protezione. Il Google Play Store è stato inondato da proteste e recensioni con una stella.
Possibile violazione del GDPR
All’avvio delle app viene mostrata una schermata dal titolo “Proteggi il tuo dispositivo“. Poste Italiane avvisa l’utente che userà un nuovo “presidio di sicurezza” per prevenire potenziali frodi e garantire un’esperienza ancora più sicura nell’uso delle app. Questa è la schermata che appare all’avvio della versione 20.336.5 dell’app BancoPosta:
Cliccando sul pulsante “Vai alle impostazioni” viene aperta una schermata in cui l’utente deve concedere il permesso di accesso ai dati di utilizzo. In questo modo, le app di Poste Italiane potranno controllare quali app utilizza l’utente e con quale frequenza. Inoltre potranno raccogliere varie informazioni, tra cui operatore e lingua impostata. I dati servono per rilevare la presenza di eventuali malware.
Nella schermata iniziale viene specificato che la funzionalità è obbligatoria. Se non viene autorizzato l’accesso ai dati, l’app non funzionerà più dopo un certo numero di accessi. Analizzando il codice dell’app Postepay, il sito DDay.it ha scoperto che Poste Italiane usa i dati per creare un fingerprint (impronta digitale) del dispositivo tramite una soluzione di sicurezza sviluppata da LexisNexis Risk Solutions.
In pratica, ogni volta che l’utente accede all’app viene verificato se il dispositivo è realmente quello dell’utente legittimo mediante il confronto del fingerprint con quello conservato sui server di Poste Italiane. Teoricamente sembra un’ottima soluzione antifrode, ma l’implementazione è carente dal punto di vista della trasparenza.
Cliccando sul link “Scopri di più” nella schermata iniziale viene aperta la pagina “Come difendersi dalle truffe” sul sito di Poste Italiane, in cui non c’è nessun riferimento alla nuova funzionalità. La modalità scelta da Poste Italiane potrebbe violare il GDPR (Regolamento generale sulla protezione dei dati), in quanto il consenso deve essere libero e informato.
Molti utenti hanno subito pubblicato recensioni con una stella sul Google Play Store. Alcuni hanno anche segnalato un bug. Cliccando sul pulsante “Vai alle impostazioni“, l’app BancoPosta si chiude mostrando un messaggio di errore. Il problema è stato risolto con la versione 20.336.6. La schermata relativa alla funzionalità di sicurezza non viene più mostrata. Forse è stata eliminata in seguito alle numerose proteste.
Ti potrebbe interessare
4 apr 2024