Biometria, dalla banca al business?

di Barbara Weisz

scritto il

La firma biometrica sta per arrivare in banca, dopo i rilievi del Garante della Privacy: innovazione e tecnologie fra sicurezza e privacy, verso l'addio a firma cartacea e magari anche alle password?

Dalla firma digitale a quella biometrica: si prepara una nuova rivoluzione tecnologica che promette di entrare nella vita quotidiana delle persone e delle imprese, e che è oggetto di sperimentazioni, prodotti già sul mercato e riflessioni, soprattutto di natura giuridica, su rapporto tra innovazione e privacy.

=> Approfondisci la normativa italiana sulla biometria in azienda

Il Garante per la protezione dei dati personale, ad esempio, ha recentemente dato il via libera a due progetti in altrettante banche sulla firma biometrica, ma «solo in seguito all’adozione di apposite garanzie a tutela della privacy».

Biometria e Privacy in banca

Si tratta di nuovi sistemi per cui il cliente non firma più su un foglio di carta, ma su un tablet grafometrico, che incamera dati biometrici (ritmo, velocità, pressione della mano durante il movimento).

=>Scopri la firma grafometrica sui tablet

L’identificazione del firmatario, in questo modo, è molto più sicura. E’ un po’ quello che avviene con le impronte digitali, strumento che identifica una persona con precisione scientifica. Ma esattamente come nel caso delle impronte digitali, si pongono problemi di privacy non indifferenti.

Nel corso dell’istruttoria sui due progetti in questione, il Garante da una parte ha «riconosciuto l’effettiva utilità del nuovo strumento, anche alla luce della specifica normativa del settore bancario, che richiede, ad esempio, l’identificazione certa e rigorosa dell’utenza, in un’ottica di sana e prudente gestione del rischio».

Dall’altra ha riscontrato formulato dei rilievi, in particolare in uno dei due progetti presentati, proposto da quattro banche appartenenti allo stesso gruppo e da una società di servizi tecnologici: diversamente da quanto sostenuto nella documentazione, di fatto ha rilevato che le banche e la società tecnologica condividevano la gestione dei dati. E ha quindi stabilito che dovranno «definire insieme le modalità del trattamento per le parti di rispettiva competenza e fornire ai clienti un’adeguata informativa in merito».

=> Focus su usi e abusi della biometria in azienda

L’informazione corretta e trasparente al cliente è un elemento determinante: l’Authority vieta di imporre, anche indirettamente, alla clientela, l’adesione alla firma biometrica. L’utente deve essere adeguatamente e chiaramente informato, trovarsi nelle condizioni di esprimere il proprio consenso al trattamento dei dati in forma libera, avere la garanzia di poter usufruire di procedure alternative per la sottoscrizione di documenti bancari.

Come è facile intuire, si pone anche un problema di conservazione dei dati: il Garante ha stabilito che devono essere conservati solo per il tempo strettamente necessario a offrire il servizio o per rispondere a eventuali contestazioni presentate anche in sede giudiziaria. Questo è un punto delicato: anche nel caso del secondo progetto, presentato da una singola banca, da una parte il Garante non ha rilevato elementi di criticità considerando anzi adeguate le misure di sicurezza e le procedure di gestione dei dati, dall’altra ha sottolineato che i dati raccolti devono essere utilizzati esclusivamente per effettuare l’identificazione dell’utente.

La considerazione di base è che con queste tecnologie si raccolgono dati sensibili, che quindi vanno trattati con le dovute cautele: esempio lampante, attraverso la firma biometrica si potrebbe in teoria risalire a patologie della persona, in evidente contrasto con i diritti fondamentali.

Appuntamenti di settore

Le problematiche affrontate in questo singolo caso sono le stesse che si pongono tutte le aziende e gli enti pubblici alle prese con queste nuove tecnologie. Che, diciamolo, sono una delle nuove frontiere di mercato e sono al centro di tutti gli appuntamenti importanti di settore. Qualche esempio:

  • ForumPa 2013, in agenda dal 28 al 30 maggio al Palazzo dei Congressi di Roma con un’edizione dedicata al tema “Il Paese alla sfida della trasparenza“: fra gli altri, Aruba si presenta con un focus su firma digitale, PEC, strong authentication (leggi qui).
  • Key4Paperless: roadshow itinerante tutto dedicato alla dematerializzazione che dopo le tappe di Milano, 11 aprile, e Torino, 15 maggio, sta per arrivare a Roma, 6 giugno (Centro Congressi Cavour), e Bologna, 26 settembre (Star Excelsior). Si parla di firma digitale, firma grafometrica, timbro digitale, conservazione digitale.
  • Smau Business: dopo gli appuntamenti degli scorsi mesi e giorni a Bari, Roma, Padova e Torino arriva il prossimo 5 e 6 giugno a Bologna (Bolognafiere) e in autunno sarà a Milano, 23-25 ottobre, Fieramilanocity (vai allo speciale).
  • Social Business Forum: Milano, Marriot Hotel, 12-13 giugno, focus su social enterprise, digital marketing, collaborative innovation (leggi qui).

Dalla password alle impronte digitali

Le implicazioni di business per le aziende? Proprio nel corso di un recente evento di settore (It Interop 2013, a Las Vegas, 6-10 maggio, prossimi appuntamenti a Tokyo, 12-15 giugno, New York, 30 settembre-4 ottobre, Mumbai, 27-29 ottobre) si è lanciato in una previsione che ha fatto notizia Michael Barrett, Cio (chief information officer) di PayPal : le password non sono un sistema sicuro e per questo diventeranno obsolete, il pecorso in questo senso partirà già quest’anno. Barrett è anche presdiente della FIDO (Fast Identity Online Alliance), un’organizzazione che promuove la ricerca di sistema di autorizzazione e identificazione sicuri. Che cosa ci sarà nel nostro futuro al posto di password e pin? Secondo Barrett, un sistema basato sulle impronte digitali. E sul mercato ci sono rumor relativi alla possibile evoluzione in questo senso dell’iPhone 5.

I Video di PMI

Posta elettronica certificata e firma digitale