Garante per la protezione
    dei dati personali


Trattamento di dati biometrici.Verifica preliminare richiesta da Unicredit S.p.A.

PROVVEDIMENTO DEL 31 GENNAIO 2013

Registro dei provvedimenti
n. 37 del 31 gennaio  2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTOil d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei datipersonali);

VISTAla richiesta di verifica preliminare del  21 settembre 2012, presentata daUnicredit S.p.A. ai sensi dell'art. 17 del Codice e regolarizzata concomunicazione del 29 novembre 2012;

ESAMINATAla documentazione in atti;

VISTEle osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREil dott. Antonello Soro;

PREMESSO

1. La richiesta formulata dalla società.

Connota del 21 settembre 2012, Unicredit S.p.A., in vista di un"accrescimento della qualità di erogazione dei propri servizi", hadichiarato di voler rendere disponibile a vantaggio (anche) della clientela unservizio di sottoscrizione dei documenti con firma digitale basato su unaprocedura di autenticazione biometrica effettuata tramite signpad (c.d."tablet"), volta a conferire, tra l'altro, maggiore sicurezza nellosvolgimento delle operazioni allo sportello. Il sistema, secondo quanto riferito,raccoglierebbe le caratteristiche biometriche di natura comportamentale delcliente, rilevando e, in pari tempo, analizzando alcuni parametri (ritmo;velocità; pressione; accelerazione; movimento) relativi alla sua firmaautografa  –apposta per il tramite di un dispositivo hardware"dedicato" e collegato via USB (Universal Serial Bus) al terminaledell'operatore di filiale a ciò preposto– al fine di confrontarli conquelli precedentemente memorizzati in fase di adesione al "servizio".L'eventuale comparazione positiva, che determinerebbe l'autenticazionedell'utente, consentirebbe l'avvio della procedura di sottoscrizione con firmadigitale del documento visionato dal cliente.

L'adozionedi tale sistema, a detta della società, permetterebbe, tra l'altro, "disviluppare una serie di numerosi vantaggi, anche a beneficio dellaclientela", potendo garantire una "maggiore sicurezza contro itentativi di frode" attraverso la riduzione dei "rischi di furto diidentità e [di] contraffazione della firma".

2. Il funzionamento del sistema e le modalità deltrattamento dei dati biometrici ad esso connesso.

2.1.Secondo quanto sinteticamente prospettato, il sistema opererebbe nei termini diseguito indicati.

Ilcliente che intendesse aderire al servizio, una volta rilasciato il proprioconsenso informato al trattamento, verrebbe invitato, durante la fase dienrollment, ad apporre 6 firme sul "tablet" ai fini del"riconoscimento" biometrico; le informazioni raccolte (c.d.specimen), acquisite dal sistema in misura pertinente e non eccedente rispettoalle finalità del servizio e in forma "acritica" –con modalitàtali, cioè, da non consentire, nemmeno accidentalmente, di poter risalire adeventuali patologie dell'utente– verrebbero inviate al "biometricserver" ai fini della loro immediata conversione, attraverso un algoritmodi hash, in una sequenza di caratteri ("stringa") immodificabile enon reversibile nel dato biometrico "originario".

Successivamentealla fase di enrollment, in occasione della sottoscrizione dei documenti confirma digitale, il cliente sarebbe invitato, di volta in volta, ad apporre lapropria firma sul tablet per la relativa autenticazione: i dati biometrici cosìricavati verrebbero confrontati con quelli precedentemente memorizzati dalsistema, il quale consentirebbe l'avvio delle procedure di apposizione dellafirma digitale solo in caso di "matching" positivo. A seguitodell'autenticazione biometrica, infatti, le chiavi crittografiche, detenute daIn.Te.S.A. S.p.A. (autorità certificata presso l'Agenzia per l'Italia Digitale,già DigitPA) all'interno di dispositivi sicuri denominati Hardware SecurityModule (HSM), verrebbero rese disponibili ai fini della sottoscrizione confirma digitale dei documenti visionati dall'interessato.

Ilsistema, "grazie ad una funzione di auto apprendimento (continuousenrollment)", sarebbe in grado di aggiornare costantemente il"profilo" dell'utente originariamente registrato, sì da garantirecomunque la possibilità di avvalersi del servizio anche in caso di eventualimodifiche, nel corso del tempo, dello "stile di firma"; inoltre,sarebbe configurato "con una soglia minima di accettazione della verificadella firma (cosiddetto score) pari all'80% di rispondenza rispetto al templatecreato originariamente", in modo tale da garantire, "in punto diverifica delle firme (trade-off falsi positivi vs falsi negativi) [] unelevato livello di credibilità ed affidabilità", peraltro ulteriormenteincrementabile a seguito di periodici monitoraggi e verifiche che la società hadichiarato di voler effettuare.

Idati biometrici acquisiti, immediatamente criptati e indicizzati con codiciunivoci associati ai clienti, sarebbero memorizzati in server variamenteubicati sul territorio nazionale presso le strutture di Unicredit S.p.A. eUnicredit Business Integrated Solutions S.c.p.a. (società deputata, per contodella prima, alla gestione e alla fornitura dei sistemi informativi e dellerelative infrastrutture tecniche), designata responsabile del trattamento aisensi degli artt. 4, comma 1, lett. g) e 29 del Codice. Inoltre, gli stessidati, fatta salve l'eventuale revoca del consenso da parte degli interessati ele esigenze di ulteriore conservazione dettate da eventuali contestazioni,verrebbero conservati per la durata del servizio.

Lasocietà, al fine di garantire elevati standard di sicurezza, ha dichiarato diaver adottato, unitamente alle misure minime di cui all'allegato "B"al Codice, "tutte le ulteriori misure di sicurezza, in linea con l'attualeconoscenza tecnica e tecnologica, volte ad ottenere l'irreversibilità dei datigrafometrici, l'immodificabilità degli stessi, nonché ad escluderne il rischiodi corruzione e sottrazione". In particolare, ha dichiarato che i datibiometrici degli interessati, criptati mediante chiavi di cifratura (a lorovolta cifrate attraverso un certificato digitale precedentemente prodotto),risultano immutabili e irreversibili; inoltre, anche i flussi comunicativi trale varie "componenti dell'infrastruttura avvengono in modalità autenticatae cifrata", mentre "gli accessi [risultano] registrati nell'audit logdel sistema e resi disponibili" per eventuali controlli.

Ilprocesso di autenticazione, così come descritto, sarebbe "autonomo edistinto rispetto alle procedure di firma delle disposizioni bancarie e/o disottoscrizione di contratti" con la banca. L'apposizione della firma sultablet, infatti, costituirebbe "unicamente l'elemento da cui scaturisce ilprocesso di autenticazione, risultando così prodromico al processo difirma". A conferma di ciò, la società ha dichiarato che la"certification authority [] non è in alcun modo coinvolta nel processo ditrattamento del dato grafometrico", intervenendo quest'ultima"esclusivamente nel processo di firma dei documenti" e in vista"della creazione e gestione del certificato qualificato e delle chiavi perla firma".

2.2.L'informativa che la società intende fornire agli interessati antecedentementealla fase di enrollment "sarà ulteriore e distinta rispetto a quellagenerale consegnata a tutta la clientela in occasione dell'instaurazione delrapporto con Unicredit" e indicherà espressamente il carattere"facoltativo" del trattamento. Quest'ultimo, inoltre, "saràsubordinato all'espressa manifestazione di un consenso da parte degliinteressati [] revoca[bile] in qualsiasi momento". La società, poi, hadichiarato che provvederà a designare gli incaricati del trattamento"impartendo loro idonee istruzioni sul funzionamento degli strumenti esulle modalità di apposizione della firma digitale", precisando altresì diaver già provveduto a modificare la notificazione del trattamento in data 7giugno 2012 (circostanza, questa, verificata dall'Autorità).

2.3.La scelta di dotarsi del sistema in esame, a detta della società istante,risponderebbe alla necessità, tra l'altro, di identificare rigorosamente laclientela in occasione dello svolgimento delle operazioni bancarie, inconformità agli obblighi a tal fine previsti dalla normativa in materia diantiriciclaggio (d.lgs. n. 231/2007). Inoltre, l'utilizzo del dato biometrico –ritenutoidoneo, come detto, a prevenire e contrastare fenomeni fraudolenti legati,soprattutto, al furto di identità– garantirebbe il firmatariodall'ulteriore rischio di smarrimento degli altri strumenti (smart card, tokenusb, ecc.) necessari ai fini dell'attivazione delle procedure di sottoscrizionedei documenti con firma digitale.

3. Le osservazioni dell'Autorità.

3.1.La verifica preliminare presentata all'Autorità ha ad oggetto il trattamento didati biometrici a fini di autenticazione connesso all'utilizzo di un sistemaidoneo ad analizzare e confrontare alcuni parametri ricavati dall'apposizionesu un dispositivo a ciò preposto, da parte degli interessati, della loro firmaautografa in occasione delle procedure di sottoscrizione con firma digitale deidocumenti. Il presente provvedimento, che tiene conto del tenore dell'istanzaformulata e delle dichiarazioni rese dalla società istante (anche ai sensidell'art. 168 del Codice) in ordine all'alterità tra la procedura disottoscrizione digitale e quella di autenticazione, si sofferma sui soliprofili relativi al trattamento dei dati personali biometrici connesso aquest'ultima.

Meritapreliminarmente evidenziare, al riguardo, che il Gruppo per la tutela dei datipersonali ex art. 29 della direttiva 95/46/Ce ritiene che l'utilizzo di sistemibasati sull'impiego di dispositivi in grado di rilevare le caratteristiche"dinamiche" della firma determini, effettivamente, un trattamento di datibiometrici di natura comportamentale, come tale riconducibile nell'ambito diapplicazione della disciplina di tutela dei dati personali (cfr. documento dilavoro sulla biometria del 1 agosto 2003, Wp 80; cfr. altresì Parere 3/2012sugli sviluppi nelle tecnologie biometriche del 27 aprile 2012, WP 193). Ciòpremesso, occorre valutare, in tale prospettiva, se il sistema sottoposto alvaglio dell'Autorità possa reputarsi conforme, limitatamente ai profiliconcernenti il trattamento di dati biometrici dei clienti nella fase diautenticazione, alla disciplina del Codice, con particolare riferimentoall'osservanza dei principi di necessità, liceità, finalità e proporzionalità(artt. 3 e 11, comma 1, lett. a), b) e d), del d.lgs. n. 196/2003); ciò, anchenel caso in cui il dato biometrico venga raccolto, come nel caso in esame, aisoli fini del completamento della fase di enrollment e venga successivamenteutilizzato (sotto forma di codice numerico) per le operazioni di raffrontonelle procedure di autenticazione (in argomento, v. anche Provv. 23 gennaio2008; Provv. 26 maggio 2011; Provv. 4 ottobre 2012).

3.2. In proposito, occorre rilevare cheil trattamento dei dati biometrici che la società istante intende effettuare,in base alla documentazione prodotta e alle dichiarazioni rese, risulta lecito.Vale infatti sottolineare, sul piano generale, che l'identificazione certa erigorosa della clientela, già richiesta alle banche in un'ottica di sana eprudente gestione del rischio (cfr. Comitato di Basilea per la vigilanzabancaria), rappresenta, sovente, anche un obbligo posto in capo a tutti gliistituti di credito da specifiche normative di settore (cfr., ad esempio, ild.lgs. n. 231/2007, su cui v. anche Parere Garante del 25 luglio 2007; più in generale, sugli obblighi di identificazionedella clientela, cfr. Provv. 27 ottobre 2005e Provv. 25 ottobre 2007, recanti le "Linee guidaper i trattamenti dati relativi al rapporto banca-clientela") la cui violazione, peraltro, può costituire fonte dieventuale responsabilità civile (cfr. Cass. 16 dicembre 2009, n. 3350),valutabile anche alla stregua dell'art. 1176, 2 co., c.c. (con possibilerilevanza, dunque, anche della colpa lieve: in tal senso, Trib. Ariano Irpino 2ottobre 2008; Cass. 30 gennaio 2006, n. 1865). A ciò, si aggiunga chel'autenticazione biometrica dei clienti in vista della sottoscrizione digitaledei documenti potrebbe, da un lato, contribuire a contrastare efficacementeeventuali tentativi di frode e, dall'altro, snellire e velocizzare (anche avantaggio della stessa clientela) le operazioni di riconoscimento allosportello. Considerato, poi, che il trattamento dei dati biometrici deifirmatari, nella misura in cui possa ritenersi effettivamente compatibile conl'attuale quadro normativo applicabile ai servizi di sottoscrizione con firmadigitale (in tal senso, peraltro, una prima apertura all'utilizzabilità ditecniche biometriche, sia pure nell'ambito del più ampio contesto relativo aiservizi di "firma elettronica", pare ravvisabile già nella"Guida alla Firma Digitale" predisposta dall'allora CNIPA, versione1.3 dell'aprile 2009, p. 11; in prospettiva, v. lo "Schema di d.P.C.M. aisensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3,lettera b), 35, comma 2, 36, comma 2, e 71, del d. l.gvo 7 marzo 2005, n.82", disponibile sul sito www.digitpa.gov.it), avverrà sulla base dellibero consenso degli interessati e per il perseguimento di legittime finalitàrese preventivamente note a questi ultimi, deve ritenersi che, alla luce diquanto sopra richiamato, risultino integrati, rispetto alla fattispecie inesame, i requisiti di cui agli artt. 11, comma 1, lett. a) e b), 13 e 23 delCodice.

Perquanto attiene, poi, all'osservanza dei princìpi di necessità e proporzionalità(artt. 3 e 11, comma 1, lett. d), del Codice), vale sottolineare che il sistemadescritto, alla luce delle dichiarazioni rese, risulta preordinatoall'acquisizione delle sole informazioni  pertinenti rispetto alla finalitàdi autenticazione degli interessati. Inoltre, il servizio appare configurato,sulla base degli elementi forniti, per raccogliere un numero circoscritto diinformazioni (in tal senso, cfr. il modello di informativa prodotto dallasocietà), non risultando peraltro il sistema, nelle prospettate modalità diconfigurazione –tali, secondo la società, da non consentire, in nessuncaso, l'acquisizione di informazioni relative allo stato di salute degliinteressati– predisposto per l'acquisizione di dati ultronei rispetto aquelli necessari ai fini dell'autenticazione.

Sottoil profilo della sicurezza dei dati trattati, si può ritenere che l'immediatacifratura delle informazioni biometriche degli interessati (attraverso una chiavea sua volta cifrata), l'impiego di canali di trasmissione dei dati anch'essicifrati e l'utilizzo di procedure di autenticazione e di registrazione degliaccessi costituiscano misure idonee ai sensi degli artt. 31 e ss. del Codice.Inoltre, anche il fatto che i dati biometrici non risiederanno, neanche perperiodi limitati, sui tablet (cfr. Progetto SignPad del 25 giugno 2012) e che itemplate, non riversibili nell'originario dato biometrico, verranno conservatiin database appositamente "dedicati" –misure tali, unitamente aquelle già menzionate, da far ritenere come remoto il rischio di eventualioperazioni indebite sui dati biometrici degli interessati– induce aconsiderare il prospettato trattamento, sul piano della sicurezza, comeconforme alla disciplina del Codice.

Analogamente,anche in ragione di quanto previsto dall'art. 11, comma 1, lett. c) del Codice,va valutata in chiave positiva la scelta di adottare meccanismi diauto-apprendimento, in grado di garantire, nel tempo, la "qualità"dei dati biometrici trattati.

Infine,preso atto che il modello di informativa prodotto in atti dalla banca nonpresenta profili problematici,  si ritiene conforme a legge il fatto chela società, fatta salva l'eventuale applicabilità di specifiche normative, conservii dati biometrici degli interessati per il periodo di tempo strettamentenecessario al perseguimento degli scopi per i quali gli stessi verrannoraccolti e successivamente trattati (art. 11, comma 1, lett. e) del Codice),restando comunque impregiudicata la loro ulteriore conservazione in caso dieventuali contestazioni, anche in sede anche giudiziaria. In caso di cessazionedel trattamento, ovviamente, i dati dovranno essere cancellati immediatamente,ovvero nei tempi tecnici necessari consentiti dal sistema.

TUTTO CIO' PREMESSO IL GARANTE

aisensi dell'art. 17 del Codice, a conclusione della verifica preliminarerichiesta da Unicredit S.p.A. relativamente all'utilizzo, nell'ambito delservizio preordinato alla sottoscrizione di documenti con firma digitale, di unsistema di rilevazione delle caratteristiche biometriche della firma autografaapposta dagli interessati su dispositivi a ciò dedicati, ammette il trattamentodei dati biometrici, a condizione che esso avvenga per le sole finalitàdichiarate, con le modalità indicate in narrativa e nel doveroso rispetto diquanto dichiarato dall'istante ai sensi dell'art. 168 del Codice.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 31 gennaio 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia