Il gdpr pci dss overlap è uno degli aspetti più fraintesi nella gestione dei pagamenti digitali in Europa. Molte aziende credono che bastare conformi a una delle due normative esaurisca gli obblighi sui dati carta. Non è così: le due discipline hanno finalità diverse, si sovrappongono parzialmente e in caso di data breach possono generare sanzioni parallele. Capire le differenze è il primo passo per costruire una strategia di compliance solida.
GDPR e PCI DSS: due normative diverse, non alternative
Il GDPR è una normativa europea con forza di legge che protegge i dati personali degli individui. Il PCI DSS è uno standard contrattuale definito dai circuiti di pagamento (Visa, Mastercard, Amex) che protegge i dati carta durante le transazioni. Il GDPR si applica a qualsiasi azienda che tratti dati di persone fisiche nell'UE. Il PCI DSS si applica a chiunque memorizzi, trasmetta o elabori dati di carte di pagamento, indipendentemente dalla sede.
La differenza fondamentale riguarda la natura dell'obbligo: il GDPR impone requisiti di legge con sanzioni amministrative dirette. Il PCI DSS crea obblighi contrattuali tra merchant, acquirer e circuiti di pagamento. Violare il GDPR espone a procedimenti del Garante. Non rispettare il PCI DSS porta a sanzioni commerciali, revoca dell'abilitazione ad accettare carte e costi di remediation imposti dall'acquirer. Nessuna delle due normativa sostituisce l'altra.
Dove si sovrappongono: i dati carta tra GDPR e PCI DSS
I dati carta contengono quasi sempre dati personali: il nome del titolare, il numero di conto (PAN), talvolta l'indirizzo di fatturazione. Questi elementi rientrano nella definizione di dato personale del GDPR, quindi lo stesso set di dati è soggetto a entrambe le normative. Il GDPR richiede una base giuridica per il trattamento, minimizzazione dei dati e diritti dell'interessato. Il PCI DSS richiede cifratura, controllo degli accessi, segmentazione di rete e monitoraggio continuo del CDE (Cardholder Data Environment).
Alcune misure tecniche soddisfano entrambe le normative. La tokenizzazione, ad esempio, riduce il numero di record di dati carta nel perimetro aziendale, abbassando sia il rischio PCI sia l'esposizione GDPR in caso di breach. La cifratura a riposo e in transito è richiesta dal PCI DSS ma è anche una misura raccomandata dal GDPR per ridurre il rischio per gli interessati. Non tutte le misure si sovrappongono: i diritti degli interessati (accesso, cancellazione, portabilità) non trovano equivalente nel PCI DSS, e viceversa i requisiti di segmentazione di rete del PCI DSS vanno oltre quanto richiesto dalla normativa privacy.
Data breach: notifiche e sanzioni cumulative
Un breach che coinvolge dati carta attiva obblighi paralleli sotto entrambe le normative. Il GDPR impone la notifica al Garante entro 72 ore dalla scoperta, se il breach presenta un rischio per i diritti delle persone fisiche. Se il rischio è elevato, va notificato anche agli interessati. Il PCI DSS richiede invece la notifica immediata all'acquirer e agli schemi, che attivano procedure di incident response con forensic investigation obbligatoria a carico del merchant.
Le sanzioni non si escludono a vicenda. Il Garante può applicare sanzioni fino al 4% del fatturato globale annuo per violazioni GDPR gravi. Parallelamente, l'acquirer può applicare sanzioni contrattuali per non conformità PCI DSS che vanno da 5.000 a 100.000 euro al mese, oltre ai costi del programma di remediation e alle potenziali perdite legate a chargeback fraudolenti. Un singolo incidente può quindi generare una doppia esposizione finanziaria che le aziende spesso sottovalutano in fase di valutazione del rischio.
Domande frequenti
Il GDPR copre i dati carta al posto del PCI DSS?
No. Il GDPR protegge i dati personali in generale, inclusi quelli contenuti nei dati carta. Il PCI DSS si occupa specificamente della sicurezza dei dati di pagamento durante l'elaborazione delle transazioni. Le due normative si applicano cumulativamente: soddisfare il GDPR non esonera dal PCI DSS e viceversa. Un merchant che accetta carte deve essere conforme a entrambe.
Se sono conformi al GDPR sono anche conformi al PCI DSS?
Non necessariamente. Le due normative condividono alcune misure tecniche (cifratura, controllo accessi, minimizzazione dei dati), ma hanno requisiti specifici che non si sovrappongono. Il PCI DSS richiede ad esempio vulnerability scanning trimestrale, segmentazione di rete del CDE e penetration test annuale. Nessuno di questi obblighi è richiesto dal GDPR in forma esplicita.
Le sanzioni GDPR e PCI DSS si sommano?
In caso di data breach che coinvolge dati carta, sì. Le sanzioni GDPR vengono applicate dal Garante e sono di natura amministrativa. Le sanzioni PCI DSS vengono applicate dall'acquirer per via contrattuale. Non c'è un meccanismo di compensazione: un'azienda può ricevere sanzioni da entrambi i fronti per lo stesso incidente, oltre ai costi di forensic investigation, notifica agli interessati e potenziali azioni risarcitorie.
Gestire GDPR e PCI DSS con un'unica infrastruttura di tokenizzazione riduce il perimetro di esposizione su entrambi i fronti. Scopri PCI Proxy EU.