Controllo degli accessi, telecamere e biometria

Il 27 ottobre 2005, l’Autorità Garante per la protezione dei dati personali, sulla base delle indicazioni pervenute dall’ABI e delle richieste di verifica preliminare inoltrate da numerosi Istituti di Credito, ha adottato un nuovo provvedimento generale riguardante la videosorveglianza.

La nuova disciplina integra i precedenti del 28 settembre 2001 e del 29 aprile 2004, dei quali, sostanzialmente, rappresenta una sintesi, ed ai quali si richiama, in ogni caso, per i principi generali ivi enunciati.

La segnalazione dell’Associazione Bancaria Italiana ha portato alla cognizione del Garante la situazione di alcune dipendenze bancarie particolarmente esposte al fenomeno criminoso, per le quali il solo sistema di videosorveglianza non appare più sufficiente a prevenire comportamenti delittuosi. Molti Istituti hanno già attivato dispositivi che abbinano la registrazione dell’immagine proveniente dalla telecamera di sorveglianza all’impronta memorizzata dal lettore biometrico che attiva la bussola posta all’ingresso della filiale, e ciò comporta, ovviamente, un grave rischio di trattamento illecito dei dati dei clienti, per l’evidente appetibilità del dato biometrico per una pluralità di soggetti con i quali la banca potrebbe entrare in contatto ovvero ad opera dei quali potrebbe subire la sottrazione dei dati medesimi.

Secondo quanto stabilito dall’art. 17 del Codice della riservatezza dei dati personali, D.Lgs. 196/2003, ogni trattamento che presenti rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, deve essere assoggettato a verifica preliminare da parte dell’Authority, che ha il compito di individuare misure ed accorgimenti rivolti “a determinate categorie di titolari o di trattamenti“.

Onde evitare “prove tecniche di schedatura”, l’Autorità ha quindi posto dei limiti ben precisi all’adozione di taluni accorgimenti tecnici che potrebbero risultare ridondanti, superflui o semplicemente pericolosi per le esigenze di riservatezza del cittadino, ritenendo indispensabile, innanzitutto, una dettagliata documentazione delle scelte operate dagli Istituti di Credito, per ciascuna filiale. Il principio è quello della documentazione delle scelte già sancito con il provvedimento generale del 29 aprile 2004, che è applicazione del principio di necessità previsto dal Codice. In sostanza, nessun trattamento deve essere effettuato se non vi è necessità di ricorrere ad esso, nell’equilibrio di interessi che deve sempre indicare la strada a chi intenda anteporre un proprio diritto (tutela dell’istituto dalla criminalità, in questo caso) ai diritti degli altri (diritto del cittadino alla riservatezza).

E’ quindi importante rappresentare chiaramente ed analiticamente le ragioni per le quali si intende ricorrere ad un tale invasivo sistema di rilevamento ibrido, consistente nell’impianto di videosorveglianza integrato da lettori di impronte digitali, anziché all’utilizzo di altri sistemi di prevenzione del crimine, come ad esempio la vigilanza interna ed esterna, un comune impianto di allarme, la bussola videosorvegliata ecc.

Viene segnalata – a titolo esemplificativo, ma certamente non esaustivo, per la varietà di situazioni che possono verificarsi nella concreta gestione di uno sportello bancario – la localizzazione in aree ad alta densità criminale o in prossimità di agevoli vie di fuga. Altra circostanza che assume rilevanza è l’aver subito rapine o furti, ovvero trovarsi nelle vicinanze di altri istituti che ne hanno subite. A parere dello scrivente non è inopportuna la segnalazione di zone ad alto rischio, per la concentrazione, ad esempio, di attività che possono costituire oggetto di interesse per la criminalità o che abbiano già subito crimini, anche se non strettamente attinenti il sistema bancario (ad esempio, attività con alta concentrazione di denaro o valori, ovvero rapine o furti commessi in danno di gioielleria o supermercato nelle immediate vicinanze della banca).

L’art 4 del provvedimento elenca alcuni accorgimenti e misure di garanzia che dovrebbero garantire il rispetto dei diritti degli interessati.

Tra questi, per la verità, diversi aspetti che risultano quantomeno illogici e contraddittori. Se, da un lato, è encomiabile lo sforzo profuso nella individuazione delle regole tecniche e giuridiche di riferimento, dall’altro, ogni impegno appare vanificato nel momento in cui, nel tentativo di tutelare presunte categorie a rischio (delle quali, tuttavia, nessuno ha mai redatto un elenco che consentisse concretamente di individuarle), viene enunciato il principio secondo il quale chiunque può rifiutarsi di sottoporsi al controllo e deve comunque essergli garantito il diritto di accedere all’istituto di credito, magari mediante identificazione a mezzo documento di identità.

Ed ancora, non si comprende, innanzitutto, la ragione di una conservazione dei dati, nel tempo, limitata ad una settimana, anziché consentire al singolo di giustificare modalità e tempi di conservazione sulla base di concrete esigenze di sicurezza rappresentate nel documento delle scelte.

Recita l’art. 4: “La rilevazione delle impronte digitali non può comportare una contrazione della libertà e della dignità degli utenti degli sportelli bancari. L’accesso tramite i descritti sistemi di rilevazione deve avvenire predisponendo un meccanismo che, in presenza di una difforme volontà del cliente, oppure dell’impossibilità del medesimo di prestarsi alle operazioni di trattamento in ragione di proprie condizioni personali, gli permetta di accedere comunque all’istituto bancario attraverso un ingresso alternativo (o comunque senza dover essere obbligato a rilasciare dati personali), con l’eventuale adozione di cautele rimesse alla ragionevole valutazione dei responsabili della filiale (come, ad esempio, con la richiesta di esibizione di un documento). Come già rilevato nel richiamato provvedimento del 2001, sono da ritenersi precluse eventuali pratiche vessatorie o comunque elusive dell’obbligo di consentire l’ingresso senza rilevazione dell’impronta”.

Appare evidente come tale previsione sia in contrasto con gli obiettivi della normativa di riferimento e con le stesse finalità di sicurezza che consentirebbero di derogare ai principi generali in materia di riservatezza.

Sotto i metal detector, per ragioni tecniche, non possono transitare i portatori di stimolatori cardiaci o soggetti che hanno protesi metalliche. Ma si tratta di ragioni che hanno un riscontro obiettivo, una giustificazione più che ragionevole. Nel caso degli apparati di videosorveglianza manca finanche una individuazione quantomeno esemplificativa delle categorie a rischio e dei comportamenti che, in concreto, dovrebbero essere evitati (con le relative giustificazioni, logiche ancor prima che giuridiche), che possano guidare l’interprete nella gestione materiale dell’installazione e nella manutenzione ed aggiornamento, anche tecnologico, dell’impianto. Con il risvolto, tutt’altro che marginale, che l’Istituto potrebbe essere coinvolto in procedimenti amministrativi e penali e finanche sanzionato, qualora il controllore non condivida le scelte operate dall’azienda. Un grado di discrezionalità che non si sposa con il principio di certezza del diritto che dovrebbe animare l’Ordinamento e che espone ogni azienda al rischio di sostenere spese legali anche ingenti, per vedersi assolvere o legittimare solo a distanza di anni ed al prezzo di gravi danni di immagine.

Appare sempre più evidente, dalle pronunce del Garante, come l’Autorità sia anche inconsciamente fuorviata dal detto comune secondo il quale “il problema delle telecamere non è la riservatezza; in realtà fanno male agli occhi”. Nel senso che il fastidio è dato non dal concreto trattamento operato dal titolare, ma dal fastidio che deriva all’interessato dal sapere di essere sottoposto a controllo. Un po’ come accade con le antenne dei telefonini, che sono certamente meno pericolose di molte altre fonti di inquinamento elettromagnetico che quotidianamente irradiano le nostre abitazioni e i luoghi di quotidiana dimora o lavoro, ma non sono altrettanto invisibili.

Quanto al principio secondo il quale deve comunque essere garantito l’accesso alla banca anche a chi non intenda sottoporsi alla rilevazione, salvo che non si faccia affidamento sulla semi-infermità mentale della totalità dei delinquenti, è di banale evidenza che qualunque malintenzionato provvederà a munirsi di un documento di identità falso e a richiedere l’accesso alla filiale senza passare dalla bussola dotata di lettore di impronte digitali. Sarà quindi in ogni caso sacrificata la riservatezza del cittadino (perché il rilevamento sarà comunque operato nei confronti di chi non ha cattive intenzioni e quindi non si pone il problema) a fronte di un vantaggio pressoché nullo nei confronti della criminalità.

Il sapore di tale disposizione, unitamente a quello sulla conservazione limitata nel tempo, è simile a quello che, nel provvedimento del 2004, sanciva un termine massimo di conservazione delle immagini di sette giorni (ed infatti, non a caso, il termine coincide), di talchè sarebbe sufficiente effettuare un sopralluogo otto giorni prima della rapina per essere sicuri di non incappare nel successivo utilizzo, a fini probatori, delle immagini (ed ora delle impronte) registrate dall’impianto.

Un altro aspetto lacunoso del provvedimento riguarda la memorizzazione di tali dati e, soprattutto, l’interconnessione tra più sistemi informativi. In sostanza, il rischio che, per “particolari esigenze di sicurezza” si istituisca una banca dati delle impronte digitali e delle foto dei clienti a livello nazionale è tutt’altro che remota e, al momento – anche se il provvedimento esclude tale possibilità (ma, come già detto, esso ha finalità di orientamento, di individuazione di prassi, e non costituisce un vincolo per il titolare, non essendo fonte normativa) – non vi sono procedure di controllo idonee ad evitare che ciò avvenga. I paventati “Nuclei speciali privacy” della Guardia di Finanza sono stati istituiti, ma sono carenti di organico, di formazione professionale, di risorse, e, almeno stando a quanto sia dato conoscere, tutt’altro che operativi. In caso di violazione dei diritti dell’interessato, l’acquisizione probatoria che possa consentire ad un cliente di tutelarsi è affidata alla buona volontà e disponibilità delle Forze dell’Ordine, e grazie alla cifratura ed alla gestione digitale, quantomeno difficile da garantire, anche da parte di queste ultime

I dati sono nella piena disponibilità dell’Istituto bancario, ed affidati a sistemi informativi decisamente complessi, che spesso vengono sviluppati per le esigenze di un circuito particolarissimo come quello creditizio.

Appare evidente che un uso illecito dei dati sarebbe quantomeno occultabile con estrema semplicità, ricorrendo a tecniche crittografiche e steganografiche di vario genere, alla dislocazione su più server, a soluzioni che renderebbero  difficilmente rilevabili i database anche in caso di controlli approfonditi.

In assenza di parametri che stabiliscano regole di storage ad evidenza pubblica, la tutela del cittadino appare tutt’altro che garantita.

La figura dell’istituendo vigilatore dei dati, oltre a non essere prevista dalla norma di riferimento (che, si ribadisce, resta il D.Lgs. 196/2003, non avendo, il provvedimento generale, alcuna forza normativa o cogente), non assicura alcuna tutela al cittadino, trattandosi comunque di dipendente interno sul quale, al massimo, potrà l’azienda scaricare eventuali responsabilità.

A tale situazione, si aggiunga il pericolo di vedersi precluso l’accesso all’Istituto o addirittura di trovarsi nei guai, qualora l’impronta del cliente venga associata, per un falso risultato positivo, a quella di un criminale che ha già compiuto delle rapine.

Senza contare la possibilità che un dipendente infedele sostituisca di proposito le impronte di un normale cliente, già affidato presso lo sportello, con quelle di un criminale, con il chiaro intento di generare un falso rilievo negativo all’accesso del delinquente e favorire così il compimento del reato.

Ciò che lascia perplessi degli Istituti di credito, e che contribuisce alla sensazione di fragilità dell’intero sistema, è la semplicità con cui solitamente vengono perpetrati atti criminosi sfruttando proprio le debolezze manifestate dai sistemi informativi.

Un caso eclatante è stato quello del “phishing”, la frode informatica che negli ultimi mesi – ed in particolare lo scorso anno – ha flagellato il sistema bancario, con gravi danni per i clienti che ingenuamente (ed anche a causa di una bassissima preparazione in materia di sicurezza informatica) hanno ceduto User Id e Password dei loro conti correnti a chiunque fosse in grado di dirottarli su siti Internet simili a quelli degli Istituti di cui erano clienti.

Un effetto perverso del crescente e spensierato utilizzo di sistemi informatici senza la minima consapevolezza della loro potenzialità e delle misure minime di sicurezza da adottare, paragonabile alla guida di auto da corsa senza avere acquisito neppure la patente del ciclomotore.

Anche le recenti clonazioni di Bancomat e carte di credito, rese possibili dall’utilizzo di tecnologie obsolete da anni (vedi banda magnetica) o non sfruttate al massimo della potenzialità effettiva (pin delle carte di credito, password dispositive basate su crittografia asimmetrica per i conti correnti on line) danno l’idea di quanto il sistema bancario, sul versante dei servizi alla clientela, abbia bisogno di aggiornamento tecnologico e professionale. Era davvero necessario attendere che qualcuno trovasse il modo di frodare i clienti per implementare le misure che oggi, frettolosamente, sono state introdotte?

Sarebbe inoltre interessante conoscere la ragione per la quale, ancora oggi, molti conti correnti on line non hanno password dispositive o non utilizzano sistemi di cifratura asimmetrica a codici variabili periodicamente.

Risulterebbe ancora molto interessante – nella fase di aggiornamento tecnologico necessaria per dotare le bussole e gli impianti di videosorveglianza di sistemi in grado di rilevare l’impronta biometrica ed associarla all’immagine del viso del cliente – l’estensione di tali nuove tecnologie ai servizi bancomat erogati tramite sportelli ATM e dispositivi POS, affinché non possano ripetersi eventi in danno dei clienti come quelli già descritti. Operazione che, peraltro, le attuali carte a microprocessore potrebbero tranquillamente gestire, essendo predisposte e progettate per gestire quantità di dati di molto superiori a quelle necessarie per memorizzare al loro interno una chiave privata basata sull’impronta digitale del titolare e verificarla con un codice prelevato dal server di rete, per convalidare la transazione. Sicuro e decisamente inattaccabile, almeno fino a quando i sistemi crittografici basati su cifratura a chiavi asimmetriche non saranno facilmente violabili. Tale tecnica, peraltro, eviterebbe ai “polli” di turno di scrivere il PIN sulla carta.

Tornando al provvedimento, vengono disciplinati alcuni aspetti tecnici, in verità piuttosto scontati, come la cifratura dei dati, la possibilità di accesso alle informazioni e di conservazione nel tempo solo al verificarsi di un reato, il divieto di prolungare surrettiziamente la conservazione attraverso il ricorso alle copie di backup, la comunicazione dei dati solo dietro richiesta dell’interessato o delle Forze dell’Ordine e della Magistratura.

Viene poi richiamato l’obbligo di comunicazione preventiva al Garante dell’installazione dell’impianto, che richiederà il duplice adempimento della notifica (per il trattamento di dati biometrici) e della verifica preliminare, ai sensi dell’art. 17, D.Lgs. 196/2003 (gli impianti esistenti, com’è noto, dovevano essere regolarizzati entro il 31 maggio 2006).

Una ulteriore novità consiste nella richiesta di conservazione della seguente documentazione, da esibire in caso di controllo:

a) copia della richiesta di verifica preliminare inviata al Garante;
b) eventuale documentazione dalla quale si possa desumere l’esistenza di condizioni di rischio concreto dello sportello;
c) documentazione tecnica relativa all’installazione dei sistemi biometrici e di videosorveglianza adottati, dalla quale risulti la conformità alle condizioni indicate nel provvedimento e possano evincersi:

  • le caratteristiche dell’impianto di ripresa;
  • le caratteristiche dell’impianto di raccolta del dato biometrico;
  • le caratteristiche del sistema informatico di gestione delle immagini e dei dati biometrici, con particolare riguardo alle fasi del processo crittografico;
  • l’indicazione del tempo massimo di conservazione dei dati;

d) copia dell’informativa resa alla clientela;
e) documentazione dalla quale si possano desumere le modalità alternative di accesso alla struttura della banca.

Da ultimo, l’obbligo di segnalare ai clienti l’esistenza dell’impianto di videosorveglianza abbinato ad un sistema di rilevazione biometrica, con un cartello simile a quello già segnalato in precedenza, integrato dall’immagine del dito e dell’impronta digitale, che richiami immediatamente l’attenzione dell’interessato, anche visivamente, sulla tipologia di trattamento.

Gianluca Pomante

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *