Non affermo nulla di nuovo – credo comunque possa essere utile ribadirlo – asserendo che la tecnologia gioca un ruolo primario nella lotta ad alcune fattispecie di reati. Ma se da un lato contribuisce attivamente nella determinazione di meccanismi più sicuri e soprattutto tracciabili, dall’altro, quando viene maneggiata in modo inconsapevole e approssimativo, diviene fonte di equivoco, incertezza e pericolo.
Concentrandoci in particolare sulla telefonia mobile, sappiamo che rappresenta ad esempio uno degli elementi primari per la lotta al terrorismo, contribuendo alle attività di intelligence attraverso l’incrocio di differenti informazioni utili quali comunicazioni (voce e sms), identità delle persone e posizione geografica. Inoltre gli SMS, più accreditati rispetto alle e-mail, rappresentano anche un canale oramai consolidato attraverso il quale fornire credenziali provvisorie di accesso a differenti servizi on-line. Inclusi quelli disponibili nelle aree private delle società finanziarie che erogano prestiti. Sono considerati quindi come ulteriore contromisura finalizzata a prevenire anche i casi di furto d’identità.
In entrambe le situazioni sopra riportate, tutto il meccanismo si articola sulla base di un requisito essenziale: una corretta procedura di identificazione delle generalità dell’utente che entra in possesso della SIM. In Italia, con le disposizioni antiterrorismo del 2005, è ormai cessata (formalmente) da anni la consegna di SIM già attive agli utenti; possono essere abilitate solo dopo il completo caricamento dei dati anagrafici dell’acquirente, fatta eccezione per le schede riservate al traffico dati, per le quali dal dicembre del 2012 è ipotizzabile identificare e registrare gli utenti anche in via indiretta.
Possiamo quindi genericamente affermare che, tra le disposizioni europee in merito al data retention ed una completa procedura di identificazione, la sicurezza è garantita. Dovrebbe avvalorare l’ipotesi il fatto che le banche si siano mosse nella stessa direzione. Infatti l’evoluzione del quadro regolatorio circa gli strumenti elettronici di pagamento si è indirizzata verso un maggior presidio relativo alla procedura di identificazione e aggiornamento delle anagrafiche dei clienti (si veda la normativa antiriciclaggio).
Certo è che sistemi, ambienti, attività di formazione e livelli di consapevolezza circa la rilevanza della compliance sono ben differenti tra le filiali bancarie e gli store dei brand nazionali di telefonia mobile. Non sono però convinto che i rischi connessi ad un’errata, incompleta o mancante procedura di identificazione siano così differenti nei due mercati.
La telefonia mobile ha cambiato radicalmente il modello delle comunicazioni e del lavoro; ora ha bisogno di fare un salto in avanti verso la conformità. Non è solo una questione di attività di marketing in alcuni casi borderline in ambito privacy oppure di assistenze clienti a volte sconfortanti. E’ piuttosto una questione di sicurezza nazionale.
Resta da capire se la commessa dello store di telefonia mobile ne è consapevole, perché a volte sembra che regalino SIM – per giunta in alcuni casi già attive, ed intestate al proprietario dello store, per fare poi qualche giochino di portabilità e assegnare tariffe scontate ai propri clienti – come se fossero biscottini al cioccolato. Forse faranno appena in tempo a rendersene conto, fino al momento nel quale le SIM virtuali cambieranno nuovamente tutte le carte in tavola, introducendo nuove opportunità e nuovi pericoli.