Skip to content

I pagamenti con carta di credito: la conservazione dei dati bancari.

Conservazione dei dati bancari dei clienti, al di là di una transazione, per facilitare i loro possibili acquisti successivi.

Predefinito: nessuna conservazione oltre la transazione

Dall’entrata in vigore del Regolamento Europeo sulla protezione dei dati (GDPR), l’Ente deve valutare il proprio sistema di pagamento, tenendo conto dei principi di protezione dei dati di default e di progettazione.

In termini di pagamento per la vendita di beni o la fornitura di servizi a distanza, i dati strettamente necessari per effettuare un pagamento sono di default:

  • numero di carta;     
  • data di scadenza;
  • il crittogramma visivo.

Che non dovrebbero essere mantenuti oltre la transazione.

Dati carta di credito: quali sono i possibili utilizzi?

Nell’ambito del pagamento a distanza, i dati della carta di pagamento possono essere raccolti per:

  • pagare un bene o un servizio;
  • pagare a rate un abbonamento sottoscritto online;     prenotare un bene o un servizio;
  • iscrizione a una gamma di soluzioni di pagamento, dedicate alla vendita a distanza, da parte dei fornitori di servizi di pagamento.

Il principio

Gli Enti devono ottenere il consenso dei propri clienti alla conservazione dei propri dati bancari al di là di una transazione, per facilitare i loro successivi acquisti.

Tale consenso non è presunto e deve assumere la forma di un atto di volontà inequivocabile, ad esempio mediante una casella di spunta (non preselezionata per impostazione predefinita).

L’accettazione delle condizioni generali d’uso o di vendita, non è considerata una modalità sufficiente della raccolta del consenso delle persone.

Si raccomanda inoltre che l’e-commerce integri, direttamente sul proprio sito, un mezzo semplice per revocare a titolo gratuito, il consenso così prestato.

I dati della carta di credito possono essere utilizzati anche nella lotta contro le frodi con le carte di pagamento.

Caso speciale di abbonamenti

L’Ente può fare affidamento sul loro legittimo interesse a conservare le coordinate bancarie dei propri clienti che sottoscrivono un abbonamento, al fine di beneficiare, gratuitamente o meno, di ulteriori servizi volti a facilitare i loro acquisti (consegna rapida, vendita privata, accesso a contenuti aggiuntivi, ecc.).

La sottoscrizione di un abbonamento aggiuntivo può testimoniare la volontà del cliente di entrare in un regolare rapporto commerciale con l’Ente, acquistando frequentemente sul sito web del commerciante.

In questo caso, gli Enti possono conservare per impostazione predefinita le coordinate bancarie inserite dai clienti che aderiscono a questi abbonamenti aggiuntivi, subordinatamente a:

    fornire informazioni sufficientemente complete (es. “conserviamo i dati della tua carta bancaria per evitare che tu debba inserirli nuovamente durante i tuoi futuri acquisti”) direttamente e distintamente sul mezzo di raccolta (es. una casella visibile ed esplicita sopra il modulo);

  • per consentire loro di esercitare agevolmente il proprio diritto di opposizione mediante una checkbox presente sul mezzo di raccolta, senza conseguenze sull’accesso al servizio; in tal caso, la casella citata a titolo esemplificativo può integrare direttamente questa casella, corredata da una dichiarazione “per rifiutare la conservazione delle tue coordinate bancarie, clicca qui”;
  • consentire in modo semplice ed in qualsiasi momento, sul sito dell’Ente, la cancellazione delle proprie coordinate bancarie;
  • di tener conto del rifiuto espresso dal cliente in merito alla conservazione della carta bancaria e di offrirgli successivamente tale conservazione solo previo suo libero, informato e specifico consenso, ad esempio mediante una checkbox; si tratta qui di rispettare in modo durevole la scelta espressa dalla persona;
  • attuare adeguate misure di sicurezza.

Tali misure hanno lo scopo di preservare la libertà di scelta e gli interessi dei clienti, abbonati, che effettuano acquisti ricorrenti sul medesimo sito.

Si ricorda che la conservazione dei dati bancari per impostazione predefinita non si applica agli acquisti una tantum con un metodo di pagamento semplice offerto a tutti i clienti, ad esempio l’acquisto in “un clic”.

Infatti, la conservazione del numero di carta del cliente al fine di agevolare eventuali successivi pagamenti, ed eventualmente per poter effettuare un acquisto con “un clic” sul sito dell’esercente, va oltre l’esecuzione del contratto concluso e del servizio previsto dalla persona quando effettua occasionalmente un acquisto online.

Il cliente deve infatti poter ragionevolmente aspettarsi la conservazione delle sue coordinate bancarie  per  default,  nell’ambito  del  suo  rapporto  con  l’e- commerce. L’intenzione del cliente di instaurare un regolare rapporto commerciale deve quindi essere manifesta e sfociare nella sottoscrizione di un servizio che faciliti i suoi acquisti distinto, ma eventualmente concomitante, con la semplice creazione di un account cliente che dia accesso ai servizi di base.

Questo non dovrebbe limitarsi alla semplice registrazione ad un programma fedeltà o ad un account, in cambio di vantaggi e premi, che non darebbero accesso a servizi aggiuntivi volti ad agevolare gli acquisti.

Quali dati possono essere raccolti durante un pagamento?

I dati strettamente necessari per il perfezionamento di una transazione sono:    

  •  il numero della carta,
  • data di scadenza
  • il crittogramma visivo

Se la raccolta dell’identità del titolare della carta non è necessaria per la transazione, non dovrebbe essere raccolta.

Un Ente online non può richiedere la trasmissione di una copia della carta di pagamento anche se il crittogramma visivo e parte dei numeri sono nascosti.

Per quanto tempo conservare i dati?

In ogni caso, la conservazione del crittogramma è vietata dopo il completamento della prima transazione.

Il periodo di conservazione dei dati delle carte bancarie dipende dalle finalità perseguite.

Quali precauzioni dovrebbero essere prese per proteggere i dati?

È importante che il titolare della carta sia informato di ogni compromissione delle sue coordinate bancarie, affinché possa adottare le misure idonee a limitare il rischio di riutilizzo fraudolento della sua carta (contestazione di pagamenti fraudolenti, opposizione alla carta, ecc.).

Allo stesso modo, raccomanda l’implementazione di mezzi di autenticazione rafforzata del titolare della carta di pagamento per garantire che sia effettivamente all’origine dell’atto di pagamento a distanza. In questi casi si raccomandano le seguenti misure di sicurezza:

  • mascheramento di tutto o parte del numero della carta quando viene visualizzato o memorizzato,
  • sostituzione del numero della carta con un numero insignificante,
  • tracciabilità per rilevare eventuali accessi o utilizzi illegittimi dei dati e per attribuirli al responsabile.

Si raccomanda di non conservare i dati relativi a una carta di pagamento sul terminale del cliente (smartphone, computer) in quanto questi terminali non sono progettati per garantire la sicurezza dei dati bancari.

Quando la raccolta del numero della carta di pagamento avviene per telefono, una soluzione alternativa sicura, senza costi aggiuntivi, dovrebbe essere offerta ai clienti che non desiderano trasmettere i dati della propria carta con questo mezzo.

Documentazione allegata

Condividi:

Facebook
Twitter
Pinterest
LinkedIn

Comments are closed for this article!

Dal Blog

Articoli Correlati

Tanto non ho niente da nascondere…

Hai ragione, sanno già tutto!!! Cerchiamo di capire I siti di social network oggi sono innumerevoli e vanno ben oltre i soliti Facebook, Twitter, Instagram,

Questo sito utilizza solo ed esclusivamente cookie tecnici per garantirvi una migliore navigazione.