Il Garante si è dovuto immergere nell’esame dei processi bancari per approfondire le modalità e le regole con le quali le banche rilevano gli accessi dei propri dipendenti sui conti della clientela. Regola di carattere generale vuole che ciascun dipendente, debba, conoscere solo i dati e le operazioni della clientela a lui affidata per ragioni di incarico.

In altri termini se si è sportellisti , cioè addetti al front office per le normali operazioni di routine di versamento e prelevamento, non vi è motivo per disporre della visibilità del portafoglio investimenti non solo di quei clienti che non frequentano lo sportello, ma ancor di più di quei clienti che, per motivi di convenienza ed opportunità ,preferiscono  operare con un gestore. Di norma alla figura professionale dei gestori vengono affidati i clienti adusi ad  operazioni di natura finanziaria e di altro genere ma similari. D’altro canto,ai giorni d’oggi, non vi è banca che non abbia adottato il modello di relationship management cioè di assegnazione dei clienti a gestori, è in ragione della loro competenza professionale oltre che in funzione della settorizzazione della stessa clientela: privati,affluent, imprese etc etc.

Tutto ciò consente di fatto, la gestione del rapporto, e la visibilità dei dati in ragione della competenza funzionale ed operativa. In molti casi, anzi forse un pò dappertutto, le procedure informatiche non sono state predisposte per stabilire una relazione univoca  tra addetto e cliente; quasi sempre il driver della visibilità è data dalla natura della procedura o della funzione. Chi ha accesso alle procedure di fatto ha accesso ai dati di quella procedura indipendentemente dal rapporto che ha con i clienti. E allunga i suoi occhi anche su rapporti non affidati alla sua gestione. Talvolta succede anche di più: con la circolarità filiali di banche dello stesso gruppo, con una autonomia giuridica a sè stante, vengono messe in condizione di operare sui conti di altre banche del gruppo. Viene cioè consentito ai loro dipendenti la visibilit di dati di filiali, di altre banche site a centinaia di Km di distanza, e di sicura appartenenza di una banca diversa. Chi non si è sentito chiedere allo sportello dopo una operazione di versamento in circolarità o di un prelevamento in circolarità , anche per una ragione di cortesia: vuole un estratto conto ? vuole conoscere il saldo dopo l’operazione?

In altri termini il dipendente delle Banca A presso la quale viene effettuata la operazione su conti in essere presso la Banca B , appartenente allo stesso Gruppo bancario, viene a conoscenza dei dati di un cliente occasionale che ha fatto l’operazione, di una persona fisica  correntista di un’altra azienda che per esigenza di correntezza svolge le operazioni in un contesto territoriale diverso. Ma egualmente tutto ciò accade quando le operazioni si fanno all’interno della stessa banca presso filiali diverse da quella presso la quale è acceso il rapporto. Non vi è dubbio che tutto ciòè determina elevata efficienza dei servizi, la loro disponibilità su un territorio più vasto, semplifica la vita del cliente che viene messo nella condizione di assoluta tranquillità , ma viola alcune regole inerenti la privacy, che, per quanto richiamate nei disciplinari e nei contratti, non sono però loro natura note ai più e di cui non sono noti gli effetti giuridici che ne conseguono e gli aspetti pratici di uso comune.

Naturalmente quando la riservatezza del dipendente è assoluta non si pone alcun problema per i clienti che possono contare sul corretto uso dei dati. Quando invece accade il contrario si pone il problema di capire cosa sia successo e perchè è saltata la riservatezza; rispetto a tali fattispecie può nascere un contenzioso con la banca che, in caso di accertata violazione delle regole, rispondere del danno procurato. Ma è tutto da definire in sede contenziosa di natura civilistica e in materia di privacy. I ricorsi che il Garante Privacy ha dovuto esaminare sono stati proprio la conseguenza di elusioni del principio di riservatezza dei dati bancari sul quale ogni cliente confida: ogni cliente ritiene a ragione che il saldo del suo conto corrente, del suo deposito titoli , proprio perchè tratta con un gestore, sia noto solo al suo referente.

Dovrebbe essere cosi ma per le cose dette non lo è. Alle banche si chiede che il loro modello organizzativo si faccia carico di regole generale , di principio, e di regole particolari quando alcuni principi di base, sia pure per ragioni di efficacia ed efficienza del servizio in genere, debbono essere sacrificati. Tra queste regole vi è certamente quella della tracciabilità delle operazioni, cioè della riferibilità certa ad un dipendente , cioè a quel dipendente che, con l’impiego di userid e password e con la spendita delle chiavi di accesso, può fare ricorso al sistema informativo per l’operazione che attiva. Si chiede ancora che esistano momenti severi di controllo sull’uso e sulla spendita delle chiavi che devono rimanere note solo al suo titolare e che non devono mai essere cedute a terzi , neppure per delega ;e  si chiede pure che ci sia una governance efficace, un adeguato controllo sulla tenuta di queste norme che incidono sul rapporto fiduciario banca cliente.

Sta di fatto che l’indagine effettuata dal Garante ha messo in evidenza proprio una diffusa lacunosit degli assetti interni è a danno dei clienti che restano cosi esposti , in un momento di elevata e diffusa rischiosità del sistema sociale, a minacce e pericoli di diverso genere quando le informazioni attinenti il loro patrimonio entrano in possesso di terzi che non ne fanno un uso corretto. E’ stata necessaria una rigorosa analisi del Garante che ha espletato indagini su una ampia platea di banche alla quale ha fatto seguire una disciplina che avremmo preferito fosse nata all’interno del sistema bancario e non imposta o suggerita da una Autority. Si allega per approfondimenti il provvedimento del Garante; la lettura del testo fa ben comprendere sia lo stato dell’arte delle procedure attuali in essere presso il sistema bancario sia di quelle attese per definire le cautele invocate.

Scarica il file

A cura di: Federico D’Aniello