L’introduzione della biometria come metodo di autenticazione in ambito bancario permette una maggiore efficienza nelle operazioni. Tuttavia, in ragione della tipologia dei dati raccolti, è necessaria un’attenta valutazione dei rischi, ricordando l’importanza per le aziende e le persone di mettere al centro la cybersecurity dei sistemi implementati e la sicurezza dei dati personali raccolti.
La biometria come metodo sicuro di autenticazione
Con “biometria” facciamo riferimento all’utilizzo delle caratteristiche fisiche o comportamentali riferite a una persona fisica, al fine di verificare la sua identità. Ciò può includere ad esempio le impronte digitali, la scansione dell’iride, il riconoscimento facciale, il riconoscimento vocale, ovvero caratteristiche fisiche uniche e intrasferibili del soggetto, in grado di accrescere esponenzialmente il livello di sicurezza in sede di identificazione del soggetto da abilitare per l’accesso a un locale, un dispositivo digitale o un servizio. È di tutta evidenza come un metodo di autenticazione del genere sia più sicuro delle tradizionali password o del pin, i quali possono essere facilmente rubati, smarriti o dimenticati dal soggetto.
Per questa ragione negli ultimi anni si è assistito a una crescente diffusione, anche nel settore bancario, di soluzioni tecnologiche basate sul riconoscimento biometrico non solo per permettere l’accesso fisico agli istituti di credito, ma anche come modalità di autenticazione per accedere ai servizi bancari, al fine di migliorare la sicurezza delle operazioni.
I vantaggi della biometria nel settore bancario
Sono già numerosi gli istituti di credito nel nostro Paese che hanno implementato o stanno sperimentando tecnologie biometriche per l’accesso ai propri servizi, in ragione dei principali vantaggi, di seguito riassumibili:
- Aumento della sicurezza. Dal momento che la “chiave” per consentire l’accesso è costituita dalle caratteristiche univoche del soggetto al quale è riferita, è molto complesso replicarla o falsificarla. Al contrario, password e pin aumentano il rischio di frodi (es. phishing), furti e l’utilizzo da parte di soggetti non autorizzati.
- Efficienza. L’accesso mediante biometria consente un riconoscimento celere, istantaneo, che permette di velocizzare le transazioni anche a vantaggio dell’esperienza del cliente. Il bancomat dotato di riconoscimento biometrico, ad esempio, rende possibile l’identificazione dell’utente entro pochi secondi, senza bisogno né ricordare il pin di autenticazione, né portare con sé la carta.
- Contenimento dei costi. Una maggiore sicurezza dei sistemi ed efficienza dei servizi offerti comporta un abbattimento dei costi per la banca, oltre ad attirare l’attenzione di potenziali nuovi clienti.
I risvolti in materia di protezione dei dati personali
A fronte dei benefici illustrati, il ricorso alla biometria comporta anche responsabilità sotto il profilo della privacy, secondo quanto stabilito dalla relativa normativa. Per capire come essere compliant, è utile fare riferimento al regolamento europeo Gdpr.
Biometria e settore bancario, cosa dice il Gdpr
Occorre infatti osservare come il GDPR se da un lato definisce i dati personali “comuni” come “qualsiasi informazione riguardante una persona fisica identificata o identificabile” (art. 4, punto 1), dall’altro annovera i dati biometrici nella categoria di “dati particolari” di cui all’art. 9. Tale classificazione porta come conseguenza un generale divieto per la banca di trattare tali dati e, pertanto, l’utilizzo dei dati biometrici per risultare lecito non potrà prescindere dal previo rilascio di un apposito consenso da parte degli interessati, liberamente revocabile in qualsiasi momento. Sotto questo profilo, qualora il soggetto non intendesse prestare il consenso al trattamento dei dati biometrici, la banca dovrebbe mettere a disposizione soluzioni alternative (ad esempio, l’autenticazione potrà continuare a essere effettuata mediante metodi tradizionali).
Risulta poi essenziale, prima che il trattamento prenda avvio, fornire un’informativa completa di tutti gli elementi di cui all’art. 13 GDPR, allo scopo di informare adeguatamente i soggetti della presenza e delle logiche di funzionamento di sistemi biometrici utilizzati.
L’attività di raccolta e gestione dei dati biometrici deve essere necessariamente annoverata all’interno del Registro dei trattamenti (art. 30 GDPR) da parte del titolare, che dovrà altresì aver riguardo allo svolgimento di una preliminare valutazione d’impatto (DPIA – Data Protection Impact Assessment, art. 35 GDPR), al fine di analizzare i rischi che l’utilizzo di detti sistemi comportano per i dati biometrici raccolti: oltre a quanto già desumibile dalla lettura del primo e del terzo comma dell’art. 35 GDPR, è stata la stessa Autorità Garante privacy ad aver incluso i “trattamenti sistematici di dati biometrici” quale attività che comporta per il titolare l’obbligo di svolgere una valutazione d’impatto (cfr. punto 11, Allegato 1 al provvedimento n. 467 del Garante privacy dell’11 ottobre 2018).
Già nel 2005 – molto prima dell’avvento del GDPR, dunque – detta Autorità era intervenuta sul tema (provvedimento in tema “Rilevazione di impronte digitali ed immagini per accedere agli istituti di credito: limiti e garanzie” del 27 ottobre 2005 (G.U. n. 68 del 22/03/2006) [doc. web n. 1246675]), ricordando – tra gli altri – il necessario rispetto dei principi di liceità, finalità, necessità e proporzionalità come condizioni necessarie per l’utilizzo dei sistemi in parola, nonché la previsione di specifiche misure di sicurezza a garanzia degli interessati.
Utilizzo della biometria: la sicurezza al centro
Il tema della sicurezza appare senz’altro centrale, sia in ragione del profilo qualitativo del dato personale – che, come detto, è ricompreso nell’elenco dei dati personali “particolari”, per i quali il legislatore europeo prevede una maggiore tutela – sia per il contesto operativo di riferimento, il settore bancario, per sua natura caratterizzato da maggiori rischi anche in ambito di cybersicurezza.
Gli strumenti utilizzati, pertanto, dovranno essere sia conformi al principio di privacy by design di cui all’art. 25 GDPR – che prevede la necessaria presenza fin dalla progettazione del trattamento di adeguate misure a garanzia dell’integrità e della riservatezza dei dati personali – sia rispettose dell’art. 32 GDPR, che richiede al titolare, ovvero alla banca, la previsione di adeguate misure di sicurezza, sia sotto il profilo tecnico che organizzativo.
I consigli per usare in sicurezza la biometria
Per quanto non sia possibile definire un elenco statico, adatto a tutti i contesti, è comunque doveroso sottolineare l’opportunità per le banche di implementare robusti sistemi di crittografia dei dati, seguire rigorosi e periodici controlli di sicurezza sui sistemi, nonché limitare l’accesso a tali informazioni a una sola parte del personale, che dovrà essere formalmente autorizzato e formato a tale scopo. Parimenti, l’eventuale società installatrice del sistema che dovesse avere accesso ai dati biometrici (ad esempio per ragioni di assistenza tecnica) deve essere formalmente nominata quale responsabile ex art. 28 GDPR, anche al fine di perimetrarne obblighi e divieti.
Altrettanto importante, in ragione della tipologia di dati che entrano in gioco, appare essere la preventiva previsione di una procedura interna per contenere gli effetti di un eventuale data breach, sia per contenere gli effetti pregiudizievoli derivanti da una violazione dei dati, sia per consentire una celere – quanto verosimile – necessità di notifica dell’evento all’Autorità Garante privacy e di comunicazione agli interessati, secondo quanto rispettivamente previsto ex artt. 33 e 34 GDPR.
Lo scenario
Parlando di biometria, non sono secondarie inoltre le problematiche legate all’inclusività, dato che alcune persone con disabilità potrebbero non avere accesso o, comunque, difficoltà nell’utilizzo dei sistemi di rilevamento biometrico.
Se da un lato aspetti come questo e le esigenze connesse alla sicurezza e alla privacy possono e devono essere subito affrontate, dall’altro lato le potenzialità di questa tecnologia applicata al settore bancario non sembrano essersi esaurite, anche in ragione della continua evoluzione tecnologica (un’autenticazione basata sui movimenti oculari potrebbe ad esempio favorire ulteriori soluzioni in favore dei clienti) e dell’applicazione trasversale dell’intelligenza artificiale, sempre più presente in molti ambiti, incluso quello bancario.
