OSSERVATORIO PRIVACY

Riconoscimento biometrico come sistema di autenticazione: via al test

11/01/2017 14:31


Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli

AssistenzaLegalePremium.it

La diffusione di strumenti tecnologici sempre più avanzati e sempre più alla portata di molti, conduce spesso a dover affrontare nuove situazioni anche rispetto alla salvaguardia dei dati personali. L'autenticazione mediante l'impronta digitale, ad esempio, è ormai soluzione comune nei modelli di smartphone di ultima generazione.

Recentemente il Garante per la protezione dei dati personali ha emanato un provvedimento che dà il permesso al Consorzio per il Sistema Informativo (CSI) Piemonte di sperimentare un innovativo metodo di autenticazione basato sul riconoscimento facciale e vocale per la consegna on line dei cedolini.

Il progetto fa parte di un più ampio programma (PIDaaS – Private Identity as a Service) per l'innovazione e la competitività dell'Unione Europea, e prevede il coinvolgimento dei dipendenti del CSI i quali, per poter visualizzare la busta paga e gli altri documenti facenti parte del "Cedolino on line", potranno usare il servizio di riconoscimento biometrico di PIDaaS come sistema di autenticazione, il tutto esclusivamente su base volontaria.

La sperimentazione coinvolgerà dapprima 200 utenti per poi estendersi a tutti i dipendenti. Con tale innovativo sistema, gli interessati potranno scaricare una app sui propri smartphone grazie alla quale potranno accedere ai propri dati on line a seguito di un'autenticazione biometrica. Scopi principali sono da un lato l'abbattimento dei costi legati al ciclo di vita delle credenziali, adoperando i tratti somatici e il timbro vocale come fattori di identificazione; dall'altro l'incremento la sicurezza del sistema nonché la sua immediatezza nell'utilizzabilità.

Preme sottolineare come il Garante abbia imposto al Consorzio di adottare speciali ed importanti misure di sicurezza affinché l'utilizzo e il trattamento dei dati biometrici ai fini sopra indicati possa essere consentito. In particolare, nel provvedimento 438 del 27 ottobre, l'autorità di controllo italiana ha previsto che il CSI si debba avvalere di sistemi applicativi informatici distinti da quelli utilizzati per finalità di gestione del lavoro e debba fornire agli utenti coinvolti nella sperimentazione delle credenziali ad hoc ed un indirizzo di posta elettronica temporaneo per accedere all'applicazione PIDaaS. A sperimentazione conclusa (o su richiesta del partecipante), tutti i dati dovranno poi essere immediatamente cancellati in maniera irreversibile.

Dal momento che il progetto coinvolge anche partner spagnoli, il CSi dovrà stabilire condizioni e termini circa le operazioni di trattamento dati che verranno effettuate da tale soggetto al d fuori del territorio nazionale. In caso di eventuali data breach, questi dovranno essere immediatamente comunicati al Garante nonché, se necessario, ai diretti interessati.

In ogni caso, al fine di garantire una maggior sicurezza, i campioni biometrici non vengono conservati sul server, ma sono cancellati al termine dell'operazione di generazione della rappresentazione vettoriale la cui durata è di pochi secondi.

Questo provvedimento del Garante spiana la strada all'introduzione di nuove soluzioni tecnologiche che, grazie alla diffusioni di dispositivi comuni molto potenti (smartphone, tablet, smartwear…), possono portare ad una semplificazione dei processi (spesso scomodi) di autenticazione. Per ora è "solo" una sperimentazione, ma la possibilità di diventare noi stessi le password d'accesso dei nostri account virtuali diventa sempre più una realtà.