La moltiplicazione dei canali di contatto rende sempre più semplice e immediato sviluppare relazioni tra consumatori e aziende. Alla telefonata al call center, che pur non perde la propria centralità, si sommano chat, video-call e strumenti di automazione in un quadro sempre più indirizzato all’omnicanalità. Per le imprese più attente alla customer experience, questo si traduce in una crescita esponenziale dei dati e delle informazioni che circolano all’interno (e attraverso) i propri contact center. Informazioni che comprendono dati personali, di pagamento, sanitari, giudiziari e ogni altra informazione di valore.
Proteggere il dato non è mai stato centrale come oggi. Ed è una sfida enorme, perché da un lato – come si è detto – aumentano le informazioni da tutelare, dall’altro crescono le minacce cyber e, parallelamente, diviene sempre più stringente la regolamentazione volta a garantire integrità, sicurezza e confidenzialità delle informazioni stesse. Qualsiasi azienda gestisca dei canali di contatto con un pubblico di clienti un più o meno esteso deve affrontare questi temi.
Tuttavia, le cronache sono stracolme di data breach, ma anche di interventi sanzionatori a causa della mancata conformità con la normativa in essere, GDPR in primis.
Indice degli argomenti
Proteggere la riservatezza delle comunicazioni: le sfide
Ci domandiamo, quindi: come approcciare il tema? Quali le sue complessità? Che tipo di maturità si riscontra nelle imprese italiane e quali sono le misure concrete da adottare nell’era del contact center in cloud? Andrea Bocerani, COO di IFM Infomaster, azienda italiana con un’esperienza pluridecennale nel mondo dei contact center e delle soluzioni omnicanale in cloud, ci spiega che, nonostante il GDPR sia in vigore da qualche anno, non c’è una vera uniformità nel modo in cui le aziende gestiscono la questione.
A livello di strumenti, processi e strutture, molte sono perfettamente in linea con il dettato normativo; tuttavia, si riscontra spesso una conoscenza e competenza “compartimentata”, cioè legata a specifici dipartimenti e non distribuita orizzontalmente in azienda. In altri termini, la conoscenza (e forse anche la consapevolezza) non pervade la cultura aziendale.
Lo stesso consumatore fa ancora molta confusione e raramente conosce tutti i suoi diritti, poiché manca un’informazione chiara su come i dati vengano trattati oppure, cosa tutt’altro che infrequente, è il cliente stesso a non informarsi. Tutto ciò rappresenta un problema non da poco, perché le informazioni dei clienti e la relativa segmentazione hanno un valore enorme, che può essere trasferito e monetizzato.
Parliamo allora di sfide. Per quanto concerne le aziende e i relativi contact center, la complessità non sta “semplicemente” nel trattare in modo corretto ogni tipologia di dato, ma nel comprendere, all’interno della catena di fornitura, come vengano distribuite le responsabilità tra i diversi attori. Potenzialmente, infatti, c’è il provider di una soluzione cloud omnicanale, che a sua volta potrebbe relazionarsi con fornitori di funzionalità specifiche, ci sono fornitori terzi per i canali di contatto, c’è il cloud provider e poi l’azienda con tutte le sue ramificazioni e strutture organizzative. L’estrema complessità del tema privacy riguarda anche, e soprattutto, questo.
Simona Bellarmino, DPO presso IFM Infomaster, porta un esempio interessante: la differenza, sotto questo profilo, tra una soluzione di contact center in cloud e una on-premise. “Quando la soluzione è nei data center del cliente, le responsabilità legate all’acquisizione e al trattamento dei dati ricadono su di loro. In questo caso, rileviamo grosse differenze tra le organizzazioni: c’è chi è particolarmente strutturato, con un IT forte, CISO e DPO estremamente preparati e attenti, ma anche aziende con una sensibilità molto più limitata su questi temi. Il nostro ruolo va quindi ben oltre la fornitura della piattaforma che abilita il contact center: dobbiamo responsabilizzare (e responsabilizzarci) sbrogliando tutte le complessità inerenti la catena di fornitura, perché la responsabilità transita da un player all’altro finché il dato è in movimento”. Solo un assessment approfondito può delineare le varie responsabilità e le azioni da effettuare: le informative, i consensi e le autorizzazioni, che dipendono dal ruolo, dal tipo di dato e di trattamento che si vuole fare.
“Il nostro compito – aggiunge Bocerani – come azienda che da 25 anni si occupa di contact center, è guidare i clienti nel comprendere che ogni contatto determina un trattamento ad hoc. Le aziende ne devono essere consapevoli. Non c’è un modo giusto o sbagliato di trattare il dato, perché dipende dalla finalità del trattamento. Con l’avvento della multicanalità, le aziende possono raccogliere molte più informazioni e c’è anche una grande differenza tra i canali con cui le raccolgono”. A tal proposito, si pensi alle differenze tra le telefonate e le chat: le prime di solito non vengono registrate (se accade, vanno gestite con strumenti di cifratura e accesso esclusivo agli aventi diritto), mentre il messaging è spesso permanente e risiede in un cloud pubblico. “Il tema del controllo del dato deve essere centrale fin dal disegno del servizio, perché intervenire in una seconda fase introducendo nuove misure di sicurezza può risultare complesso e molto oneroso. Misure come i Vulnerability Assessment e Penetration Test devono essere definite in fase iniziale di progetto, altrimenti si rischia anche un problema economico”.
Infine, c’è anche un tema di razionalizzazione dei costi. Può infatti accadere che le aziende pecchino in senso opposto e adottino misure eccedenti rispetto al tipo di dato e al trattamento: un dato con rilevanza strategica militare non è paragonabile all’atto di vendita di un prodotto comprensivo di nome e cognome dell’acquirente. Gestire questo tipo di complessità è un onere aziendale che viene agevolato da partner come IFM Infomaster.
L’approccio giusto alla sicurezza e alla privacy delle informazioni
Il tema della protezione – e quindi della sicurezza – delle informazioni che transitano da un contact center è più ampio di una questione puramente tecnica. Sono coinvolti i processi del contact center e le strutture organizzative, oltre ad avere un ruolo fondamentale la consapevolezza aziendale dei rischi di sicurezza (security awareness) e degli obblighi normativi. “Il tema è quello della gestione corretta del rischio – spiega Bocerani – a seguito di un’analisi puntuale del ciclo di vita del dato: l’azienda deve sapere cosa sta acquisendo, perché lo sta facendo, per quanto deve conservare i dati, chi li deve trattare e che strumenti e metodologie adottare per assicurare l’integrità e la riservatezza delle informazioni. Misure tecniche e organizzative vanno di pari passo: il GDPR è molto chiaro in proposito. Poi, certamente, si passa al discorso tecnico e si parla di cifratura delle comunicazioni, di sistemi di logging atti a comprendere chi e quanto abbia acceduto al singolo dato, a sistemi di purge automatico e di cancellazione dei dati in caso di violazioni e molto altro”.
Da sottolineare, come riportato dai nostri interlocutori, che qualsiasi l’efficacia delle misure tecniche è fortemente ridimensionata se mancano consapevolezza e formazione delle persone, soprattutto in un periodo storico come questo, in cui gli operatori del contact center lavorano anch’essi in smart working. Basta una mail di phishing, una condivisione errata, l’uso di un sistema di messaggistica non protetto o un semplice errore nell’indirizzo del destinatario per commettere una violazione dalle conseguenze potenzialmente rilevanti.
Oltre il GDPR: la riservatezza dei dati di pagamento
Abbiamo sottolineato più volte che i dati che transitano nei contact center non hanno un valore uniforme. In questa speciale classifica, nelle prime posizioni troviamo quelli degli strumenti di pagamento, che oltre ad essere soggetti alla normativa generale richiedono attenzioni particolari a livello di processi e tecnologie di supporto. Nell’era degli acquisti telematici, infatti, è del tutto normale condividere i dati delle carte di credito con i merchant online, ma molti acquisti vengono fatti al telefono o in chat con il contact center. Come deve comportarsi un’azienda che vuole abilitare un tale canale di vendita?
La risposta è insita nelle certificazioni, negli standard e nell’adozione di tecnologie ad hoc. IFM Infomaster, aderisce allo standard PCI DSS, che definisce gli standard tecnici e organizzativi necessari per garantire la sicurezza del trattamento. Anche in questo caso, lo standard impatta tutte le strutture organizzative che fanno parte della catena: i service provider, i circuiti delle carte di credito, gli strumenti che leggono le carte e, logicamente, le aziende che acquisiscono e trattano i dati. È uno standard ad adesione volontaria che certifica la corretta gestione del dato ai clienti. Per quanto concerne le tecnologie, invece, IFM Infomaster integra nelle sue soluzioni il DTFM Masking, che consente al contact center di acquisire i dati delle carte di credito senza fornirli direttamente all’operatore o permettergli di accedervi in qualsiasi modo. Il consumatore digita i numeri sulla tastiera dello smartphone, ma i toni, che non sono udibili all’operatore, vengono acquisiti dal server, criptati e trasferiti direttamente all’applicazione.
In conclusione, proteggere le comunicazioni con i clienti è un argomento tanto centrale quanto complesso. A considerazioni di natura puramente tecnologica, infatti, si sommano quelle normative, organizzative e culturali, imponendo talvolta un percorso di profonda trasformazione. Emerge così in modo chiaro l’importanza di avere con sé un partner dotato di competenze specifiche in ambito di sicurezza e riservatezza, in quanto unico soggetto capace di affrontare il progetto in modo olistico andando oltre la ‘semplice’ abilitazione tecnologica.
Contributo editoriale sviluppato in collaborazione con IFM Infomaster
