Regent
Sicurezza
 

09/04/2014

Share    

Firma digitale remota con autenticazione biometrica

Le prescrizioni del Garante per la protezione dei dati personali

L’Autorità Garante per la protezione dei dati personali in un recente provvedimento - numero 25 del 23 gennaio 2014 - ha autorizzato una banca all’uso di un servizio di sottoscrizione su tablet ai fini dell’autenticazione del cliente e del successivo perfezionamento di operazioni finanziarie. Il sistema di firma digitale remota con autenticazione biometrica è una tecnologia sempre più utilizzata in ambito bancario nonostante la sua complessità e il coinvolgimento di diversi soggetti. Si tratta di uno strumento in grado di rilevare le caratteristiche della firma apposta dai clienti, anche a distanza, attraverso l’analisi e la rilevazione di alcuni parametri desumibili dalla sottoscrizione in forma autografa apposta sul dispositivo informatico, quali velocità del gesto, pressione, accelerazione, inclinazione, ecc. Il sistema oggetto di verifica preliminare dell’Autorità è destinato ad essere utilizzato dai promotori finanziari per l’autenticazione del cliente e per successive operazioni di sottoscrizione dei documenti. Esso è scisso in due fasi: da un lato, la rilevazione dello specimen di firma da utilizzare come strumento di ‘raffronto’ a garanzia del cliente; dall’altro lato, la sottoscrizione di documenti con firma digitale.

 

Un processo in due fasi
Nella prima fase, definita nel provvedimento ‘provisioning’, l’utente che intende avvalersi del servizio, previa identificazione da parte del promotore e ‘registrazione’ dei suoi dati anagrafici nei sistemi informativi della banca, apporrebbe sul tablet la propria firma autografa, sì da generare il relativo ‘specimen’ da utilizzare quale termine di raffronto nelle successive sessioni di autenticazione. Precisamente, lo specimen è costituito dalle rappresentazioni digitali sintetiche generate in occasione della raccolta delle firme autografe (e contenenti le caratteristiche biometriche delle stesse) e memorizzato in un apposita base di dati – distinta da altri clienti – adeguatamente custodita dalla banca titolare dei dati. Nell’ambito di tale fase, lo specimen, unitamente ai dati identificativi dell’interessato, verrebbe trasmesso dalla banca, in modalità cifrata alla certification authority per la verifica e convalida della richiesta e per l’emissione del certificato digitale associato al richiedente, che provvederebbe a sua volta a concludere la procedura sottoscrivendo l’apposito modulo contenente anche le condizioni generali di utilizzo del servizio. Nella seconda fase di autenticazione, l’utente verrebbe invitato, di volta in volta, ad apporre la propria firma autografa sul tablet in vista dell’attivazione della procedura di sottoscrizione della documentazione con firma digitale; le informazioni acquisite, immediatamente convertite in template, verrebbero trasmesse in modalità cifrata, unitamente all’‘impronta’ del documento da firmare digitalmente e all’identificativo numerico del firmatario, ad un apposito server ubicato presso l’organismo certificatore, accertando che il numero seriale del tablet sia effettivamente tra quelli censiti.

 

Un consenso libero e consapevole
L’intera operazione, sottoscritta digitalmente dal promotore finanziario (a conferma degli adempimenti richiestigli), sarebbe preceduta dal rilascio della prevista informativa al firmatario e dall’acquisizione del consenso al trattamento dei suoi dati personali. Sul punto, l’Autorità ha colto l’occasione per avvalorare il principio secondo il quale il consenso – ove richiesto e sempre che non ricorra una circostanza equipollente ai sensi dell’art. 24, comma 1° del Codice – deve essere libero e consapevole. L’Autorità Garante ha inoltre richiamato l’attenzione sulla necessità di adottare particolari misure a tutela dei dati personali raccolti. In particolare, il trattamento dei dati biometrici degli utenti deve essere effettuato nel rispetto scrupoloso delle misure di sicurezza, per ridurre al minimo i rischi di installazione di applicazioni non autorizzate o di contatto con malware. Inoltre, deve essere attivata la funzionalità di c.d. ‘remote wiping’ che garantisce, nel caso in cui i tablet vengano manomessi, smarriti o rubati, che il loro contenuto sia cancellato da remoto.
Sotto questo profilo, il sistema consentirebbe di ridurre il rischio di frodi, in particolare quelle legate al furto di identità, di contenzioso rispetto all’eventuale disconoscimento della firma, nonché di snellire e velocizzare le operazioni effettuate dai promotori finanziari, garantendo la tutela dei diritti e delle libertà fondamentali del cliente. Nel provvedimento oggetto di trattazione è stato infine precisato dall’Autorità che, conformemente al principio generale di necessità del trattamento dei dati personali, i dati biometrici degli interessati (e, in particolare, gli specimen raccolti quale termine di raffronto per le successive operazioni di autenticazione) possono essere conservati per un periodo non superiore alle finalità per le quali sono stati raccolti e successivamente trattati. Un eventuale prolungamento dei tempi di conservazione può essere giustificato da specifiche previsione di legge o per la tutela di un diritto in sede giudiziaria. Infine, anche nel caso di specie si richiamano tutti gli altri adempimenti ulteriori previsti dalla normativa vigente fra cui la notificazione del trattamento e l’obbligo di designare eventuali soggetti terzi responsabili del trattamento, al ricorrere dei presupposti.

 

Un trend europeo
Il provvedimento oggetto di analisi ha una portata ampia e generale, ma al contempo contiene importanti indicazioni sull’utilizzo di sistemi di sottoscrizione basati sulla rilevazione di caratteristiche biometriche. La prospettiva è quella di garantire che la futura espansione di tali sistemi sia impronta a principi di correttezza e liceità, anche in ragione
dei soggetti coinvolti in questa particolare e innovativa modalità di trattamento dei dati. Inoltre il provvedimento rappresenta un ottimo strumento esplicativo del ruolo del titolare e dei contitolari del trattamento, nonché il rapporto che si genera tra di essi. In conclusione si deve poi prendere atto della crescente considerazione che, anche a livello europeo, sta acquisendo l’utilizzo di dati biometrici a fini di autenticazione, soprattutto in ragione delle ritenute garanzie di affidabilità che tali dati offrirebbero. A tal proposito, si ricordano in via esemplificativa due provvedimenti: sul piano europeo la ‘Recommendation for the security payments’ della Banca Centrale Europea, aprile 2012; sul piano nazionale ‘Attuazione del Titolo II del decreto legislativo n. 11 del 27 gennaio 2010 relativo ai servizi di pagamento (Diritti ed obblighi delle parti)’ con l’annesso Allegato Tecnico ‘Tipologie di strumenti di più elevata qualità sotto il profilo della sicurezza’ della Banca d’Italia, luglio 2011. Infine è senz’altro d’obbligo evidenziare anche la capacità di snellimento che tali sistemi possono garantire per la conclusione di operazioni tramite i promotori finanziari, quale ulteriore vantaggio per la stessa clientela.
 

 

TORNA INDIETRO >>