BANCHE: SI ALL'USO DELLA FIRMABIOMETRICA, MA CON PRECISE GARANZIE

IlGarante per la privacy ha autorizzato [1 e 2] l'avvio di due progetti innovativi che consentono adalcune banche di identificare i propri clienti tramite l'analisi biometricadella firma apposta su dei lettori digitali, ma solo in seguito all'adozione diapposite garanzie a tutela della privacy.

Lanuova procedura prevede che l'utente non firmi più su un normale foglio dicarta, ma su un tablet elettronico "grafometrico" in grado diacquisire alcuni parametri biometrici della persona come il ritmo, la velocità,la pressione esercitata durante il movimento di firma. I dati registrati sonopoi confrontati con quelli già memorizzati in precedenza al fine di consentirel'autenticazione informatica del cliente che l'ha apposta.

Nelcorso dell'istruttoria sui due progetti presentati per una verificapreliminare, il Garante ha riconosciuto l'effettiva utilità del nuovostrumento, anche alla luce della specifica normativa del settore bancario - cherichiede, ad esempio, l'identificazione certa e rigorosa dell'utenza, inun'ottica di sana e prudente gestione del rischio.

L'Autoritànon ha riscontrato significativi profili di criticità nel primo progetto,presentato da un unico istituto bancario. Sono infatti assicurate adeguatemisure di sicurezza e procedure per garantire la corretta gestione dei datitrattati. Il Garante ha però rimarcato che, data la particolare delicatezzadelle informazioni raccolte (dati biometrici che potrebbero anche consentire,tra l'altro, di risalire a eventuali patologie dell'utente che appone lafirma), esse dovranno essere usate esclusivamente per effettuarel'identificazione dell'utente.

Sono state invece prescrittealcune integrazioni al secondo progetto di firma biometrica, proposto daquattro diverse banche appartenenti allo stesso gruppo e da una società cheoffre servizi tecnologici alla PA e alle imprese, al fine di renderlo conformealla normativa sulla privacy. Il Garante ha rilevato che, diversamente daquanto sostenuto nella documentazione, nel caso specifico le banche e la societàdi servizi tecnologici condividono la titolarità della gestione dei dati:dovranno quindi definire insieme le modalità del trattamento per le parti dirispettiva competenza e fornire ai clienti un'adeguata informativa in merito.L'Autorità ha poi sottolineato che non si può imporre, neppure indirettamente,alla clientela di aderire alla nuova procedura di analisi biometrica dellafirma. Gli utenti, infatti, devono poter esprimere il loro consenso altrattamento dei dati in forma libera, con la garanzia di poter usufruire diprocedure alternative per la sottoscrizione di documenti bancari. L'Autorità hainfine evidenziato che i dati biometrici così raccolti, a meno che non siaprevisto da apposite normative di settore, potranno essere conservati solo peril tempo strettamente necessario a offrire il servizio o per rispondere aeventuali contestazioni presentate anche in sede giudiziaria.