Un recente provvedimento dell’Autorità Garante per la protezione dei dati personali del 31 gennaio 2013, a conclusione della richiesta di verifica preliminare, ha autorizzato per la prima volta in Italia l’utilizzo dei dati biometrici legati alla firma (dati grafometrici) all’interno di un procedimento di sottoscrizione digitale da remoto. Quindi, il Garante si è interessato di un delicato processo di autenticazione biometrica e non di una firma elettronica grafometrica in senso stretto!
Ma andiamo con ordine e cerchiamo di chiarire questi concetti che spesso sembrano sfuggire ai primi commentatori di questo provvedimento.
Prima di analizzare il contenuto del provvedimento citato è doveroso distinguere il processo di firma digitale autorizzato dall’Autorità Garante da altri processi che vedono, invece, l’utilizzo dei dati grafometrici come uno degli elementi del processo di sottoscrizione autografa elettronica o di sottoscrizione elettronica avanzata.
I dati grafometrici (dati comportamentali legati al gesto della sottoscrizione), infatti, possono essere utilizzati come strumento di riconoscimento di un soggetto che abbia in precedenza provveduto a depositare alcuni “specimen” del proprio comportamento durante la sottoscrizione . In questo caso il successivo confronto tra i dati conservati e quelli rilevati al momento permettono di riconoscere – con un buon grado di certezza – il soggetto sottoscrittore, e di autenticarlo presso un certificatore di firma digitale permettendo, così, l’apposizione di una sua firma digitale sul documento da sottoscrivere.
I dati grafometrici , però, possono essere anche utilizzati in differenti processi che permettono di sottoscrivere i documenti con una firma elettronica “semplice” o, ad alcune condizioni, una Firma Elettronica Avanzata (FEA). In quest’ultimo caso, però, i dati comportamentali non vengono conservati in separati archivi per i successivi confronti, ma vengono criptati e “fusi” con il documento stesso: solo nel caso in cui il documento dovesse essere disconosciuto, allora si provvederà a decifrare i dati grafometrici contenuti nel documento e a confrontarli con quelli presenti in altri documenti già verificati o con quelli raccolti al momento stesso dal perito “grafometrico” nominato dal giudice. Il processo descritto per sommi capi rappresenta sicuramente una firma elettronica (oltretutto basata su elementi molto simili a quelli ritenuti una valida sottoscrizione, quando apposti e verificati su carta) e, ove inserito in un processo più ampio, può essere ricondotto nell’alveo delle FEA. L’utilizzo di dati comportamentali legati al documento (mediante opportuni algoritmi di HASH) permette infatti di soddisfare almeno due dei requisiti richiesti dalla normativa per le FEA (La lett. q-bis dell’ art. 1 del Codice dell’Amministrazione digitale (D. Lgs. 82/2005) individua quale firma elettronica avanzata ” l’insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati. “).
Il recente provvedimento dell’Autorità Garante per la protezione dei dati personali del 31 gennaio 2013, tuttavia, come abbiamo già anticipato, si colloca in un contesto differente a quello delle firme elettroniche semplici o avanzate in quanto nasce dalla richiesta di verifica preliminare avanzata da un noto gruppo bancario italiano che ha messo in piedi un servizio di sottoscrizione dei documenti con firma digitale basato su una procedura di autenticazione biometrica effettuata tramite “signpad” (i c.d. tablet), al fine di renderlo disponibile a vantaggio della clientela e conferire maggiore sicurezza nello svolgimento delle operazioni allo sportello.
Le caratteristiche biometriche di natura comportamentale rilevate dal sistema sarebbero ritmo, velocità, pressione, accelerazione e movimento, relativi alla firma autografa del cliente (dati questi che vengono confrontati con quelli precedentemente memorizzati in fase di adesione al servizio). Sebbene si tratti di un servizio molto innovativo, è importante sottolineare come l’esito positivo della comparazione determini in realtà solo l’autenticazione dell’utente e consenta l’avvio della procedura di sottoscrizione con firma digitale del documento visionato dal cliente.
La problematica affrontata dall’Autorità Garante nel provvedimento in esame, infatti, non si concentra su come la firma grafometrica possa essere una modalità di sottoscrizione elettronica, alternativa a quella autografa, ma specifica che il processo di autenticazione, così come descritto, sarebbe “autonomo e distinto rispetto alle procedure di firma delle disposizioni bancarie e/o di sottoscrizione di contratti” con la banca e l’apposizione della firma sul tablet costituirebbe semplicemente la condizione di avvio di un processo di autenticazione prodromico al processo di firma (basti pensare che nessuna certification authority è in alcun modo coinvolta nel processo di trattamento del dato grafometrico, intervenendo unicamente nel processo di firma digitale dei documenti).
I presupposti di liceità e di finalità nella scelta di dotarsi del sistema di autenticazione biometrica da parte dell’istituto bancario sono:
– identificare rigorosamente la clientela in occasione dello svolgimento delle operazioni bancarie, in conformità agli obblighi previsti dalla normativa in materia di antiriciclaggio (d.lgs. n. 231/2007);
– sviluppare una serie di vantaggi a beneficio della clientela;
– maggiore sicurezza contro i tentativi di frode;
– riduzione dei rischi di furto di identità e contraffazione della firma (prevenendo il rischio di smarrimento di strumenti quali smart card, token usb ecc.).
Per l’accesso al servizio, conformemente a quanto espresso dal Gruppo dei Garanti Europei in materia di trattamento dei dati biometrici e nei numerosi provvedimenti dell’Autorità Garante italiana, i pilastri imprescindibili rimangono sempre:
1) la previa informativa ex art. 13;
2) l’acquisizione del consenso informato al trattamento da parte del cliente;
3) la corretta responsabilizzazione dei vari operatori coinvolti in qualità di responsabili (il soggetto che memorizza sui propri server i dati biometrici dei clienti dovrà essere nominato responsabile ai sensi dell’art. 29 d.lgs. 196/2003) o incaricati (art. 30);
4) la previa notificazione all’Autorità Garante (art. 37 d.lgs. 196/2003);
5) l’applicazione di opportune misure di sicurezza (comprese quelle di cui all’Allegato B del Codice Privacy, per ottenere l’irreversibilità dei dati grafometrici, l’immodificabilità degli stessi ed escluderne il rischio di corruzione e sottrazione), previste per il rispetto dei principi e degli obblighi specifici che un titolare del trattamento deve adottare nel momento in cui tratta dati biometrici.
In relazione a quest’ultimo punto, in particolare, le informazioni raccolte (c.d. specimen), acquisite dal sistema in misura pertinente e non eccedente rispetto alle finalità del servizio e in forma “acritica” – con modalità tali, cioè, da non consentire, nemmeno accidentalmente, di poter risalire ad eventuali patologie dell’utente – verrebbero inviate al “biometric server” ai fini della loro immediata conversione, attraverso un algoritmo di hash, in una sequenza di caratteri (“stringa”) immodificabile e non reversibile nel dato biometrico “originario” , generando così una specie di anonimizzazione dei dati biometrici acquisiti.
In tal modo, dopo la fase di enrollment e in occasione della sottoscrizione dei documenti con firma digitale, il cliente viene invitato, di volta in volta, ad apporre la propria firma sul tablet per la relativa autenticazione. Nel provvedimento, infatti, si legge che i dati biometrici così ricavati verrebbero confrontati con quelli precedentemente memorizzati dal sistema, il quale consentirebbe l’avvio delle procedure di apposizione della firma digitale solo in caso di “matching positivo” e l’autenticazione biometrica sbloccherebbe le chiavi crittografiche all’interno di dispositivi sicuri denominati Hardware Security Module (HSM).
A ben vedere, quindi, si tratta di un sistema di autenticazione forte che di fatto sblocca un ulteriore sistema di firma elettronica c.d. “remota” . In pratica, con la sottoscrizione delle condizioni di utilizzo della firma su tablet, il cliente incarica la banca (registration authority per conto di un certificatore di firma digitale) di fornirgli un certificato di firma digitale che risiederà in un apposito HSM e che potrà essere attivato solo in caso di corretta autenticazione biometrica del cliente stesso. Effettuato, così, il primo riconoscimento allo sportello, successivamente il cliente verrà sempre identificato per mezzo di un confronto dei propri dati comportamentali.
Posta, in ogni caso, la facoltatività dell’utilizzo di tale sistema di autenticazione da parte degli interessati al trattamento, e sebbene le ragioni esposte siano meritevoli di una tutela specifica da parte dell’istituto bancario, tale impostazione non convince appieno , soprattutto per quanto concerne il rispetto del principio di necessità in relazione all’identificazione certa del cliente prevista da alcune normative di settore (e la cui violazione può costituire fonte di eventuale responsabilità civile, valutabile anche alla stregua dell’art. 1176, 2° co., c.c.). Il riconoscimento grafometrico, infatti, non sembra essere né l’unico né il più preciso dei sistemi di riconoscimento, essendo comunque previsto un certo margine di errore da parte del sistema di autenticazione. Gli stessi principi di proporzionalità e pertinenza non appaiono convincere appieno circa le ragioni di una scelta così invasiva, data la possibilità di adozione di misure alternative al dato biometrico per l’autenticazione c.d. “forte” del cliente (token otp, smart card etc.).
Inoltre, dal provvedimento emerge anche un certo grado di indeterminatezza circa la durata della conservazione dei dati biometrici (i dati, infatti, fatta salva l’eventuale revoca del consenso da parte degli interessati e le esigenze di ulteriore conservazione dettate da eventuali contestazioni, verrebbero conservati per la durata del servizio). La conservazione dei dati biometrici degli interessati per il periodo di tempo strettamente necessario al perseguimento degli scopi per i quali gli stessi verranno raccolti e successivamente trattati , infatti, non delimita alcun arco temporale chiaramente identificabile, in quanto un servizio bancario potrebbe anche non avere una durata prestabilita e precisa (es. tenuta di un conto corrente bancario). Questa indeterminatezza, inoltre, non farebbe altro che creare un po’ di disorientamento tra gli operatori (titolari e responsabili del trattamento) che nella pratica dovranno fornire le idonee direttive per stabilire la giusta durata della conservazione.
Analizzando meglio a livello tecnico la soluzione, tuttavia, è opportuno sottolineare che il trattamento dei dati biometrici in commento è strettamente limitato a una singola fase del processo di autenticazione in quanto i dati vengono convertiti (attraverso un algoritmo di hash) in una sequenza di caratteri immodificabili e non reversibili nel dato biometrico originario (venendo meno così la caratteristica di dato personale biometrico). Il dato biometrico viene raccolto, pertanto, ai soli fini del completamento della fase di enrollment e successivamente utilizzato (sotto forma di codice numerico) per le operazioni di raffronto nelle procedure di autenticazione.
Al di là dei facili entusiasmi con cui può essere interpretato tale provvedimento, è giusto sottolineare che è stato comunque autorizzato dal Garante un trattamento di dati biometrici relativi al comportamento di chi sottoscrive e questo rappresenta un importante passo in avanti , sia per processi simili a quello proposto dall’istituto bancario che ha richiesto la verifica preliminare, sia per tutti gli altri progetti di firma grafometrica propriamente detti, i quali, seppur con modalità differenti, prevedono l’utilizzo di dati biometrici e per i quali i principi di legittimità e non eccedenza risulterebbero anche più pertinenti rispetto allo scopo per il quale i dati stessi vengono raccolti.
Graziano Garrisi
Luigi Foglia
Andrea Lisi
Digital&Law Department – Studio Legale Lisi
Ufficio Presidenza ANORC
Ti potrebbe interessare
12 apr 2013