Diritto al digitale

Come l’IoT cambia i servizi finanziari e le banche

L’Internet of Things sta per cambiare i modelli di business delle e dei servizi finanziari, generando grandi opportunità, ma anche nuove problematiche legali: i nuovi modelli di business dell’Internet of Things () sono per definizione “disruptive”, in quanto pongono le aziende davanti a problemi nuovi (anche legali) che non avevano mai sperimentato prima. E la stessa regola è valida con riferimento ai servizi finanziari.

I nuovi modelli di business dell’Internet of Things nei financial services

Secondo una stima di BI Intelligence, attualmente esistono 7 miliardi di dispositivi IoT, ma il numero salirà rapidamente a 22,5 miliardi entro il 2021. Non mi piacciono queste stime, ma non c’è dubbio che le tecnologie dell’Internet of Things (e cioè le tecnologie connesse) saranno ovunque: in qualsiasi azienda, in qualsiasi dispositivo, in qualsiasi rete e persino su qualsiasi individuo.

Si prevede che questo scenario creerà le cosiddette “banche delle cose” che sfruttano i dati dei clienti raccolti da qualunque dispositivo per offrire loro diversi servizi.

Le banche potranno (e in parte già possono) raccogliere dati da qualsiasi dispositivo/macchina, inclusi dati personali raccolti da smartphone e anche da wearable technologies o connected car per esempio e dati relativi al funzionamento di apparecchi (i cosiddetti dati M2M), raccolti direttamente dai dispositivi come avviene nel caso di sensori installati in un impianto industriale.

Questi dati possono essere usati per fornire non solo servizi ai propri clienti che siano più “tailored” sulle loro esigenze, ma anche per concedere vantaggi legati al loro comportamento o a esempio sulla base dello stato di mantenimento del loro impianto industriale, come nel caso di opzioni di pricing adattate alla situazione specifica applicabile agli stessi.

La questione diventerà ancor più rilevante con l’entrata in vigore della Direttiva europea sui servizi di pagamento 2015/2366 (la c.d. PSD2) che trasformerà le banche in “piattaforme a cui terzi potranno collegarsi tramite le API per fornire i loro servizi.

L’aumento del numero di fornitori di servizi aumenterà inevitabilmente il volume dei dati che possono essere raccolti, ma l’effettiva capacità di sfruttare tali dati dipenderà anche dagli accordi contrattuali con terzi. Si potrà:

  1. generare possibili risparmi di gestione, poiché l’analisi dei dati può consentire alle banche di adeguare il proprio business alle proprie esigenze e all’effettivo utilizzo di alcune risorse. Ad esempio, sulla base di dati raccolti dai bancomat, è possibile comprendere quali aree necessitano di più bancomat e modificare di conseguenza la loro ubicazione o il numero di filiali aperte in una specifica area;
  2. creare un “marketplace” dei dati che anche terzi possono sfruttare per il loro business. Questo è il settore con le maggiori potenzialità, e meno esplorato al momento. Se i sensori sono incorporati in qualsiasi dispositivo/macchina/impianto, le banche potrebbero ottenere una quantità enorme di dati che possono rappresentare una risorsa preziosa per terzi che sono interessati a gestire qualsiasi tipo di attività.

Nuovi modelli di business = nuovi problemi legali

Come avviene con quasi tutti i cambiamenti dei modelli di business, questi comportano nuovi problemi legali.

Le problematiche privacy diventano maggiori

Le banche hanno sempre elaborato grandi quantità di dati e hanno dovuto affrontare problemi di privacy rilevanti. Tuttavia, le tecnologie dell’Internet of Things aumentano le dimensioni del problema in quanto i dati non verranno più raccolti solo dai conti correnti bancari, sistemi di home banking e filiali, ma anche da qualsiasi dispositivo, auto, impianto e saranno utilizzati non solo per garantire la corretta esecuzione delle transazioni finanziarie, ma per fornire servizi, ottenere risparmi e condividere dati con terzi.

Tale cambiamento avviene con una “pessima tempistica” a causa dell’approssimarsi del Regolamento privacy europeo (GDPR) che diventerà vincolante con effetto da maggio 2018 e prevederà, tra gli altri l’aumento delle sanzioni fino al 4% del fatturato mondiale in caso di violazioni; un aumento del rischio di azioni da parte dei clienti, poiché introduce il principio della cosiddetta accountability che pone l’onere della prova della conformità della privacy sulla parte investigata; un maggiore rischio di contestazioni da parte degli azionisti contro gli amministratori a causa delle dimensioni delle possibili sanzioni e l’applicabilità delle sanzioni penali esistenti e degli ordini di cancellazione dei dati che potrebbero comportare un danno anche maggiore, tenendo conto del valore che i dati stanno acquisendo per ogni business.

Inoltre, l’attuale bozza di regolamento europeo ePrivacy estende la sua portata anche alle comunicazioni M2M. Pertanto gli obblighi normativa privacy possono applicarsi anche nel caso di elaborazione di informazioni che non sono personali.

La conformità della privacy non si baserà più sulla semplice corretta redazione della documentazione richiesta, ma richiederà:

  • la capacità di mappare e controllare i dati tramite un sistema di data management;
  • l’attuazione di procedure organizzative atte a garantire la corretta elaborazione dei dati personali sia internamente che con riferimento a fornitori/agenti esterni;
  • l’adozione di tecnologie in grado di ridurre al minimo il rischio di accesso illegale ai dati e di individuare trattamenti illegali per reagire tempestivamente, qualora si verificassero.

Il rischio cyber diventa più rilevante

Una maggiore quantità di dati raccolti da fonti diverse inevitabilmente comporta anche un aumento del rischio informatico. E proprio le tecnologie IoT sono state di recente utilizzate per effettuare attacchi cyber.

Le aziende devono mettere in atto le misure per limitare il rischio derivante da attacchi informatici e, qualora si verifichino, devono poter dimostrare la loro conformità ai principi di ordinaria diligenza nella prevenzione e gestione degli attacchi. Tali misure includono, tra l’altro:

  1. l’adozione di policy interne in materia di cyber-risk, compresa una procedura per gestire i data breach;
  2. l’acquisizione di coperture assicurative con riferimento anche al rischio informatico;
  3. l’applicazione di procedure di security e privacy by design;
  4. la nomina di un data protection officer.

Gli accordi con i terzi devono essere gestiti in modo “adeguato”

Data la portata dei rischi di violazione della normativa privacy e in materia di cybersecurity, gli accordi con i terzi che forniscono servizi che comportano l’utilizzo di dati devono essere redatti in modo tale da:

  1. diminuire i rischi derivanti dal comportamento di detti e allo stesso tempo
  2. garantire che in caso di data breach o trattamento illecito di dati personali, azioni di responsabilità non possano essere esercitate nei confronti delle banche.

Le diverse basi legali da valutare per garantire la proprietà dei dati

La Commissione europea sta attualmente considerando diverse opzioni al fine di garantire la proprietà dei dati generati da tecnologie IoT. Le opzioni al momento disponibili sono le seguenti:

  1. i dati sono collegati al dispositivo. Questo è più uno stato di fatto che una base giuridica, ma i fornitori di tecnologia tendono a strutturare le proprie piattaforme/dispositivi in ​​modo da mantenere il controllo sui dati elaborati;
  2. i dati possono essere protetti ai sensi della normativa sul diritto d’autore. Il problema con questa forma di tutela che per essere applicabile richiedere un “intellectual effort” nella raccolta/organizzazione/analisi dei dati;
  3. i dati possono fare affidamento sul diritto europeo sui generis sui database che è più ampio del diritto d’autore;
  4. i dati possono essere considerati trade secret o possono essere protetti in base alle norme antitrust, rendendo lo sfruttamento un comportamento sleale della concorrenza.

La Commissione europea sta pensando di introdurre nuovi diritti per proteggere i dati sull’IoT, ma le opzioni sopra indicate quelle di più immediata applicazione al momento.

I dati possono essere “rubati” attraverso il diritto di portabilità dei dati

Il nuovo diritto di portabilità dei dati introdotto dal Regolamento privacy europeo è una risorsa e un rischio per le imprese. Infatti potrebbe essere utilizzato al fine di poter acquisire dati rilevanti di clienti, sollecitando la portabilità dei dati anche tramite forme di incentivo.

I dati raccolti devono essere utilizzati

Sembra ovvio, ma attualmente un certo numero di aziende stanno raccogliendo dati senza utilizzarli realmente, ma solo per “creare un proprio database”. Tale comportamento potrebbe essere in violazione della normativa sulla privacy, ma potrebbe portare anche a contestazioni in materia di pubblicità ingannevole e pratiche commerciali scorrette, qualora si creasse un’aspettativa nei clienti che otterranno un effettivo beneficio dalla fornitura dei dati.

Ci sono interessanti opportunità per i servizi finanziari attraverso lo sfruttamento delle tecnologie dell’Internet of Things. La sfida sarà quella di saperle sfruttare correttamente per trarne i benefici ed evitare di perdere quote di mercato.

Giulio Coraggio

Giulio Coraggio

Avvocato in Italia ed Inghilterra specializzato in diritto delle nuove tecnologie, privacy, giochi e diritto commerciale, lavora nel dipartimento di Proprietà Intellettuale e Tecnologie dello studio legale internazionale DLA Piper. Riconosciuto da alcune delle più importanti directory legali internazionali è spesso relatore a conferenze e webinar sulle nuove tecnologie e i giochi. Ha il grande privilegio di lavorare nel settore delle tecnologie che sono la sua passione (insieme al Napoli…) e trasmette questa passione ai propri clienti immedesimandosi nel loro business.

Facebook Twitter LinkedIn Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

Inizio
Share This