Nel 2021, la Banca Centrale Europea – BCE ha avviato, insieme alle banche centrali nazionali dei Paesi della zona dell’euro, una proposta consistente nell’introdurre l’euro digitale quale moneta “virtuale” con valuta digitale, in affiancamento alle banconote e monete cartacee, al fine di offrire ai cittadini una più ampia scelta su come pagare.

Un ammodernamento comodo e importante, peraltro in linea con la sostanziosa politica di digitalizzazione in atto, ma servono robuste garanzie anche in termini di privacy, e non solo, vista la significativa importanza dell’euro digitale per i diritti fondamentali alla protezione dei dati personali.

Tant’è che la Commissione europea ha richiesto, al riguardo, un parere congiunto del Comitato europeo per la protezione dei dati – EDPB e il Garante europeo della protezione dei dati – EDPS. Facciamo un po’ di chiarezza.

Euro digitale: EDPB ed EDPS suggeriscono come migliorare gli standard di protezione dati

Euro digitale: elevati standard privacy per avere successo

Da una prims lettura integrale della Joint Opinion 02/2023 adottata lo scorso 17 ottobre 2023, sulla proposta di Regolamento dell’euro digitale, possiamo già apprezzare come nonostante questa ricopra svariati aspetti connessi alla tutela dei dati personali e alla privacy richiede comunque un potenziamento in termini di compliance a 360° (sicurezza, privacy antiriciclaggio).

Più garanzie per i cittadini per una piena fiducia

Nella nota 512 del 23 ottobre 2023, il Garante per la Protezione dei Dati Personali – GDPD fa presente come sull’euro digitale “le Autorità privacy chiedano maggiori garanzie per i cittadini”, per quanto la prima fase quella dell’istruttoria condotta dalla BCE sia stata accolta con entusiasmo, programmando già da subito attività propedeutiche allo sviluppo e alle sperimentazioni della moneta UE futura in parola, non ci si può né deve limitare a valutazioni circa:

• la comodità dei pagamenti;
• l’economicità dello strumento tutto al digitale;
• l’affidabilità delle transazioni.

Ma occorre altresì valutare le criticità che l’euro digitale e annessa tematica implica. Da qui, doverose considerazioni in termini di sicurezza e privacy.

Servono quindi standard privacy (più) elevati per guadagnare la fiducia dei cittadini.

D’altronde nello spirito della proposta di Regolamento l’euro digitale – come bene evidenzia il Garante privacy italiano – “mira a fornire alle persone la possibilità di effettuare pagamenti elettronici, sia online che offline, in aggiunta all’uso del contante”.

Ecco perché dovranno essere trattati “solo i dati personali necessari al funzionamento della moneta digitale” senza che la BCE e le banche centrali nazionali “concentrino” informazioni/dati personali sui quali si dovrebbe, per essere conformi con il GDPR, mettere in atto ad esempio complesse attività di pseudonimizzazione, non così agevoli in pratica, specie se contestualizzate nel meccanismo delle transazioni.

Non solo, essendoci più “attori” (oltre alle citate banche, pensiamo anche ai fornitori dei servizi di pagamento e quelli di supporto) nella filiera dell’emissione dell’euro digitale, sarà necessario stabilire le varie responsabilità, anche in ottica di accountability.

Il tutto al fine di garantire, come commenta testualmente il Board, “…che la protezione dei dati sia incorporata sin dalla fase di progettazione dell’euro digitale, sia online che offline”; in pratica, attualizzando quella famosa privacy by design e by default consacrata all’art. 25 del GDPR.

Alcune delle perplessità in punto privacy e protezione dati

Le perplessità di cui scriveremo adesso si ricavano proprio dal parere congiunto citato per cui il cui approfondimento si rinvia alla lettura dei già trattati punti cardine.

Qui, vogliamo tuttavia enfatizzarne alcuni aspetti. Anzitutto, sul controllo dei pagamenti. Oggi i controlli sui pagamenti effettuati con l’euro moneta/banconota fisica, avvengono per il tramite dell’intermediazione di operatori privati, sull’euro digitale cioè quello del futuro pare che i pagamenti saranno subito visibili.

Si tratta di una preoccupazione non da poco, al punto che la si percepisce già dalle FAQ sul tema in disamina, pubblicate dalla stessa BCE, dove si legge che “la completa anonimità non è considerata un’opzione praticabile da una prospettiva di politica pubblica”, e che “l’euro digitale avrà lo stesso livello di privacy delle attuali soluzioni digitali del settore privato”.

Ciò significa che, da un lato ogni utente verrà identificato e ogni sua transazione sarà esaminata/tracciata per la lotta al riciclaggio e, non di meno, al contrasto del finanziamento terroristico, e dall’altro non essendoci una “schermatura da parte di un intermediario privato” le istituzioni governative vaglieranno direttamente le transazioni eseguite con il rischio di creare una rete di sorveglianza per la quale tutti i cittadini saranno costantemente monitorati in tutti i loro movimenti/acquisti effettuati con euro digitale.

Per questi motivi, e non solo, l’EDPB e l’EDPS al Capo VIII intervengono fornendo suggerimenti mirati ricordando (al punto 66 dell’opinion) che “per raggiungere questo obiettivo, la legislazione dovrebbe affrontare gli aspetti relativi alla protezione dei dati personali dell’euro digitale in modo specifico e chiaro”.

Di qui, queste due autorità sottolineano l’importanza della definizione delle finalità per le quali può essere effettuato il trattamento dei dati personali per la fornitura dell’euro digitale, con uno sguardo specifico alle rispettive responsabilità per le operazioni di trattamento, specificando a monte le basi giuridiche applicabili a tali operazioni di trattamento.

Ancora, le categorie dei dati personali che possono essere trattati da ciascuno degli attori che partecipano all’emissione dell’euro vanno elencate in modo specifico, tenendo conto laddove possibile delle esigenze delle parti interessate nonché del rispetto del principio di minimizzazione dei dati oltre all’obbligo di protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25 – GDPR).

In caso contrario, il rischio legale sarebbe quello di un’incertezza giuridica importante che inficerebbe, sul lungo, l’intero impianto.

Su quest’ultimo aspetto con specifico riferimento al trattamento da parte di Prestatori di Servizi di Pagamento – PSP (art. 34 della Proposta di Regolamento), merita segnalare come l’EDPB e l’EDPS sollevino una questione interessante e proprio legata alla considerazione precedente.

Nella specie, costoro ritengono che con riferimento a questo aspetto volto a definire le “finalità per le quali i PSP tratteranno i dati personali quando forniscono servizi relativi all’euro digitale”, queste dovranno essere tanto più precise quanto più dettagliate possibili e non invece, come appaiono, “espresse in termini generali”.

Sulla base giuridica circa l’interesse pubblico, le autorità ravvisano erroneo includere “riferimenti all’affidamento sia sull’interesse pubblico che sull’obbligo legale” richiamando l’art. 6, par. 1, lett. e) del GDPR ribadendo che “il trattamento dei dati personali è lecito solo se e nella misura in cui si applica una base giuridica adeguata […] e l’applicazione di una di queste sei basi deve essere stabilita prima dell’inizio di un’attività di trattamento e in relazione a una finalità specifica”.

Ancora, l’EDPB e l’EDPS si esprimono sulle tipologie dei dati trattati suggerendo una definizione chiara che “è tanto più importante in quanto, affinché la base giuridica di cui all’articolo 6, paragrafo 1, lettera c), del GDPR sia valida”, così come “l’obbligo legale deve essere preciso”.

In altri termini, la base giuridica che legittima il trattamento deve essere sufficientemente chiara affinché il responsabile del trattamento non abbia discrezionalità alcuna su come ottemperarvi.

Più in generale, considerazioni analoghe circa le finalità e le basi giuridiche nonché le tipologia di dati, si possono sostanzialmente apprezzare con riferimento al trattamento dei dati personali da parte della BCE o delle banche centrali nazionali (art. 35 della Proposta di Regolamento) e parimenti al trattamento effettuato da parte di Fornitori di Servizi di Assistenza (art. 36 cit.).

Un cenno a parte, seppur breve, merita invece sulla tematica inerente alla condivisione e ripartizione delle responsabilità tra i PSP e la BCE o le banche centrali nazionali.

La BCE o le banche centrali nazionali e i PSP sono da qualificarsi entrambi “titolari del trattamento” quando i dati personali sono trasmessi dai PSP alla BCE o alle banche centrali nazionali per l’assolvimento dei rispettivi compiti.

Le autorità rilevano poi che se da un lato la BCE e le banche centrali nazionali saranno da ritenersi “responsabili dell’istituzione di sistemi di risoluzione delle controversie e dell’individuazione generale delle frodi, gli PSP avranno il compito di supportare il funzionamento di questi meccanismi, specie se la BCE deleghi loro questo compito”, dall’altro ritengono che la proposta, nella sua forma attuale, “non fornisca informazioni sufficienti sui compiti effettivi svolti dai PSP nel contesto della risoluzione delle controversie e dei meccanismi generali di individuazione delle frodi”. Quindi, di che stiamo parlando?

In ogni caso, le citate autorità raccomandano ai co-legislatori di “specificare ulteriormente le responsabilità attribuite ai PSP riguardo a questi meccanismi che giustificherebbero il loro ruolo di controllori” ovvero suggeriscono in alternativa, e per coerenza di “eliminare […] la qualifica dei PSP quali responsabile del trattamento”, in quanto invece correttamente sono titolari del trattamento.

Attenzione alla sicurezza informatica e resilienza operativa

Nella proposta di Regolamento all’art. 34, par. 4, è inteso prevedere l’obbligo di attuare misure tecniche e organizzative adeguate da parte dei PSP affinché i dati personali trasmessi alla BCE o alle banche centrali nazionali non siano in grado di identificare direttamente i singoli utenti dell’euro digitale.

Buona misura letta così, tuttavia nel merito l’EDBP e l’EDPS raccomandano di specificare meglio e come tali misure possano garantire che i dati personali siano pseudonimizzati limitando le informazioni/dati personali.

Non solo, ravvisati i potenziali rischi e il repentino sviluppo delle tecnologie, le autorità di concerto raccomandano di includere “un riferimento al quadro giuridico applicabile in materia di cybersicurezza” garantendo un approccio coerente tra la sicurezza e la resilienza operativa dell’infrastruttura digitale dell’euro e quella dei PSP. Insomma, requisiti tutti che non possono non essere tenuti in considerazione in un momento storico come questo.

Euro digitale: come, quando e perché

L’euro digitale intende essere un mezzo di pagamento elettronico accessibile a tutti e gratuito, quale evoluzione naturale della moneta unica.

Esso diventerà quindi il pendant (in formato digitale) del contante, affiancandosi allo stesso. Si tratterebbe quindi di un’opzione in più che, come si legge nel sito istituzionale della BCE, servirà “per pagare nei negozi fisici oppure online, o per inviare denaro ad amici e familiari”.

Le caratteristiche principali dell’euro digitale sono quindi riassumibili nella tabella che segue.

Non si tratta di una “criptoattività”, ma proprio come il contante, intendendo mantenere il suo valore nominale.

Come

Gli importi in euro digitali saranno memorizzati in un portafoglio elettronico cd wallet, che gli utenti/cittadini potranno creare presso la propria banca o intermediario.

Una volta creato il wallet in euro digitali, le eventuali somme in euro digitali saranno lì conservate fino al raggiungimento di un determinato limite massimo, oppure depositate su di un conto bancario a scelta dell’utente/cittadino.

Quando

É appena iniziata la fase preparatoria per lo sviluppo e sperimentale dell’euro digitale con una previsione della sua circolazione a partire dal 2026.

Perché

Lo scopo dell’euro digitale è quello di “fungere da mezzo di pagamento supplementare, applicabile sia agli acquisti effettuati su internet che in modalità tradizionale” nel chiaro intento di semplificare e per un’Europa unita più forte e solida, anche nell’innovazione finanziaria “…rendendo il nostro panorama dei pagamenti più competitivo e resiliente rispetto ai fornitori di servizi di pagamento non europei”.

Euro digitale: il parere congiunto di EDPB ed EDPS

Con il parere congiunto, quindi EDPB ed EDPS hanno espresso un parere complessivamente favorevole in ordine alla proposta di Regolamento dell’euro digitale, purché siano attualizzate alcune modifiche come sopra evidenziate che per comodità di lettura riassumiamo per punti:

• basi giuridiche più specifiche da applicare ai trattamenti in questione;
• più netta ripartizione delle responsabilità;
• tipologie ben definite dei dati personali coinvolti;
• obbligo di eseguire una DPIA laddove necessario, in ottemperanza legislativa (ex art. 35 del GDPR);
• obbligo della privacy by design e by default nelle scelte progettuali e tecnologiche.

L’euro del futuro, purché compliance a 360°

L’euro del futuro cd “… digitale” rappresenta un punto di svolta abbastanza epocale.

Perciò, le raccomandazioni dell’EDPB e dell’EDPS sono importanti e volte a garantire che tale strumento divenga una valuta digitale sicura e rispettosa della privacy degli utenti. Non solo, deve essere compliance anche con le normative in materia di antiriciclaggio come si evince dal parere congiunto di cui al Capitolo IX.

Nella fattispecie, la proposta di Regolamento prevede, tra le altre, delle disposizioni che mirano a garantire un giusto equilibrio anche in ordine alle norme Anti Money Laundering – AML (antiriciclaggio), allo stato applicabili ai pagamenti elettronici, che consentono nella pratica la tracciabilità del denaro delle banche commerciali.

Sul punto e più nel dettaglio, ancorché in estrema sintesi, l’EDPB e l’EDPS raccomandano che “il regime specifico, il quale si applicherebbe alla modalità offline (che AML/CFT controlla solo per finanziamenti e defunding) dovrebbe essere esteso alla modalità online per le transazioni di basso valore” stabilendo una soglia al di sotto della quale non si verificherebbe alcuna tracciabilità delle operazioni ai fini AML e non di meno a quelli di privacy sulla base di una valutazione del rischio che copra sia i rischi per la protezione dei dati che le minacce AML, a vantaggio di una compliance robusta ed integrata.

Certo, è auspicabile che tutte le raccomandazioni espresse da parte delle due autorità non rimangano solo “un progetto ambizioso e mai attuato oppure uno strumento residuale scarsamente diffuso e utilizzato a causa della scarsa fiducia da parte degli utilizzatori”, ma piuttosto siano un segno tangibile di un’Europa che cambia e sta al passo coi tempi attuali iper-innovativi.

@RIPRODUZIONE RISERVATA