Utilizzo firma grafometrica: la pronuncia del Garante in materia di dati biometrici

News 05/04/2013

Avv. Valentina Frediani  - Coordinatore ABIRT - Studio Legale Frediani

Con il provvedimento n.37 del 31 gennaio 2013 il Garante per la protezione dei dati personali ha espresso parere favorevole rispetto alla possibilità di utilizzare un sistema di rilevazione biometrica in ambito bancario. La proposta, avanzata da un noto gruppo di credito italiano, lo scorso 12 settembre 2012 risponderebbe alla volontà di offrire agli utenti un "accrescimento della qualità di erogazione dei propri servizi" attraverso un servizio di firma digitale remota con autenticazione biometrica "basato sull'utilizzo di dispositivi che consentono di rilevare le caratteristiche dinamiche distintive della firma autografa" apposta dagli utenti in fase di sottoscrizione con firma digitale di contratti o di modulistica bancaria.
Rilevando e analizzando parametri quali ritmo, velocità, pressione, movimento e accelerazione riferiti alla firma realizzata dall'utente, il dispositivo è in grado di raccogliere le caratteristiche biometriche del soggetto, favorendo la sua identificazione.
 I benefici connessi all'utilizzo di un sistema di questo tipo risultano facilmente intuibili: maggiore sicurezza contro i tentativi di frode, riduzione dei rischi di furto di identità e di contraffazione della firma, ma anche procedure più snelle e  minor impiego di supporti cartacei. Senza contare l'assenza di strumenti quali smart card, token o usb, il cui smarrimento genera spesso complicazioni di non poco conto.

Da un punto di vista tecnico, secondo quanto dichiarato dalla società "il cliente che intendesse aderire al servizio, una volta rilasciato il proprio consenso informato al trattamento, verrebbe invitato, durante la fase di enrollment, ad apporre 6 firme sul "tablet" ai fini del "riconoscimento" biometrico; le informazioni raccolte (c.d. specimen), acquisite dal sistema in misura pertinente e non eccedente rispetto alle finalità del servizio e in forma "acritica" – con modalità tali, cioè, da non consentire, nemmeno accidentalmente, di poter risalire ad eventuali patologie dell'utente – verrebbero inviate al "biometric server" ai fini della loro immediata conversione, attraverso un algoritmo di hash, in una sequenza di caratteri ("stringa") immodificabile e non reversibile nel dato biometrico "originario"". In fase di sottoscrizione dei documenti, apponendo la propria firma sul tablet per la relativa autenticazione i dati biometrici dell'utente sarebbero confrontati con quelli memorizzati precedentemente dal sistema e, in caso di "matching" positivo, sarebbe possibile procedere con la sottoscrizione dei documenti.

Sul fronte della sicurezza, la società assicura elevati standard dichiarando l'adozione – oltre a quelle previste dall'allegato B – di "tutte le ulteriori misure di sicurezza, in linea con l'attuale conoscenza tecnica e tecnologica, volte ad ottenere l'irreversibilità dei dati grafometrici, l'immodificabilità degli stessi, nonché ad escluderne il rischio di corruzione e sottrazione" sottolineando che "i dati biometrici degli interessati, criptati mediante chiavi di cifratura […],risultano immutabili e irreversibili; inoltre, anche i flussi comunicativi tra le varie "componenti dell'infrastruttura avvengono in modalità autenticata e cifrata", mentre gli accessi [risultano] registrati nell'audit log del sistema e resi disponibili per eventuali controlli". L'elemento della tracciabilità degli amministratori di sistema che operano in relazione alla gestione delle varie componenti, appare fondamentale e funzionale all'esito positivo del provvedimento.

Oltre all'aspetto connesso alla sicurezza, appaiono centrali indubbiamente anche gli adempimenti inerenti gli obblighi documentali: dalla redazione e rilascio di apposita informativa ai sensi dell'art. 13, alla nomina specifica di quegli incaricati che parteciperanno al trattamento dei dati in ogni singola fase.
Le successive verifiche condotte dall'Autorità hanno riconosciuto i vantaggi connessi all'utilizzo di tale sistema e la legittimità del trattamento dei dati biometrici che la società intende effettuare, a patto che vengano rispettate le modalità dichiarate e nel rispetto della normativa vigente.

"Per quanto attiene, poi, all'osservanza dei principi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice)" dichiara l'Autorità all'interno del provvedimento "il sistema descritto, alla luce delle dichiarazioni rese, risulta preordinato all'acquisizione delle sole informazioni  pertinenti rispetto alla finalità di autenticazione degli interessati. Inoltre, il servizio appare configurato, sulla base degli elementi forniti, per raccogliere un numero circoscritto di informazioni […] non risultando peraltro il sistema, nelle prospettate modalità di configurazione – tali, secondo la società, da non consentire, in nessun caso, l'acquisizione di informazioni relative allo stato di salute degli interessati – predisposto per l'acquisizione di dati ulteriori rispetto a quelli necessari ai fini dell'autenticazione".

L'immediata cifratura dei dati, l'impiego di canali di trasmissione cifrati e l'impiego di procedure adeguate di autenticazione e registrazione degli accessi rappresentano, in sintesi, garanzie ineccepibili  sul piano della sicurezza.
Il provvedimento quindi appare quanto mai allineato al momento storico che vede le aziende concentrare un forte interesse sulla firma grafometrica, ormai "gettonatissimo" strumento di gestione e semplificazione dei rapporti con gli utenti, per molte grandi aziende italiane che si rivolgono in particolare ai consumatori finali. Ovviamente oltre agli aspetti privacy – da oggi evidentemente "sdoganati" anche dall'Autorità Garante – vanno ad aggiungersi le tematiche connesse alla firma elettronica avanzata, ed alle "aperture" che il legislatore ha lasciato in merito all'utilizzo di questa nuova forma di "digitalizzazione" dell'autografo.
Finalmente una pronuncia pro-trattamento dati biometrici!

 

 

Tag: Garante Privacy, biometria, enrollment,biometric server, chiavi di cifratura, audit log, trattamento dati, informativa, consenso