Siete qui: Oggi sulla stampa
Oggi sulla stampa

Lotta alle frodi senza biometria

Contro i furti di identità non si può usare la biometria. Mentre si possono fare controlli incrociati con il database gestito dalla Consap.

Non si può, dunque, costruire un archivio dei volti delle persone che chiedono finanziamenti. Lo ha stabilito il Garante della privacy con il provvedimento n. 77 del 25 febbraio 2016, che ha bocciato la richiesta di verifica preliminare di un sistema di riconoscimento facciale delle fotografie poste sui documenti di identità di soggetti che presentano richieste di finanziamento a banche e intermediari finanziari.

Gli operatori del settore, abilitati per legge, invece, possono aderire al sistema di prevenzione, delle frodi nel settore del credito al consumo e dei pagamenti dilazionati o differiti, siglato Scipafi (si veda box in pagina).

Ma vediamo di analizzare i sistemi di prevenzione di un giro illecito, che conta oltre 40 frodi giornaliere.

No al database biometrico. Una società ha chiesto al garante di poter utilizzare un sistema mediante il quale verrebbero acquisite le sembianze delle persone tramite scansione della fotografia apposta sul suo documento di identità.

I dati verrebbero criptati e codificati per il confronto con analoghi codici identificativi di fotografie riconducibili allo stesso o ad altri individui, inseriti nel database e presi da diverse fonti (altri intermediari, foto tratte dai giornali o foto segnaletiche dei ricercati dalle forze di polizia).

Se a uno stesso volto risultassero abbinate identità diverse, allora saremmo di fronte a un furto di identità.

Principi di proporzionalità. Secondo il Garante della privacy non può ritenersi necessario e proporzionato un uso generalizzato e incontrollato dei dati biometrici relativi alla conformazione del volto, visto che ci sono modalità alternative (il già citato Scipafi).

Inoltre il trattamento in esame è risultato eccessivo, in quanto riguarderebbe un numero potenzialmente enorme di interessati, fino a diverse decine di milioni di persone.

Ancora, i dati dovrebbero essere conservati per tanti anni, almeno pari alla durata dei finanziamenti richiesti, senza un limite congruo predefinibile.

Inefficacia. Il trattamento non assicura un elevato grado di affidabilità.

Si acquisirebbe, tramite una scansione, la fotografia del volto dell’interessato da associare al suo codice fiscale e si effettuerebbe il confronto con altre foto, al fine di segnalare se il volto dell’interessato ha caratteristiche simili ad altri volti già presenti nell’archivio (cioè foto di clienti censiti perché già richiedenti un finanziamento) o in altri archivi messi a disposizione delle autorità competenti per l’identificazione di persone ricercate. Successivamente, il sistema verificherebbe eventuali altre foto associate allo stesso codice fiscale e, al termine dei controlli, memorizzerebbe la foto e il codice fiscale dell’interessato e li conserverebbe per la durata del finanziamento richiesto.

Perché il sistema funzioni occorre disporre di un archivio con tantissime fotografie da utilizzare per effettuare il confronto. E, in ogni caso, ci possono essere foto similari, con il rischio di «falsi negativi» (Frr – False Rejection Rate) e i «falsi positivi» (Far – False Acception Rate).

Misure di sicurezza. Il Garante ha bocciato la procedura di confronto, che si limita a utilizzare un protocollo https e un livello di autenticazione debole (basato sul solo inserimento di userid e password).

Informativa. Anche l’informativa predisposta dai promotori del progetto non è risultata adeguata: si indica, tra l’altro, che gli interessati sarebbero addirittura obbligati a fornire i propri dati biometrici.

Manca, inoltre, nel modello di informativa ogni riferimento a tecniche alternative per la verifica dell’identità dell’interessato, in contrasto con l’articolo 13 del Codice della privacy, secondo il quale è necessario che le informazioni da rendere agli interessati enuncino chiaramente tutte le modalità impiegate nel trattamento e la tipologia di dati personali utilizzati per ciascuna di esse.

Consenso. Poiché non sussiste l’obbligo di conferire i dati biometrici, il Garante ha ritenuto viziata sia l’informativa sia il consenso: l’interessato, infatti, non sarebbe libero di aderire o meno al sistema basato sull’utilizzo di dati biometrici, non garantendo il titolare sistemi alternativi di riconoscimento.

Il confronto tra i dati costituisce, dunque, un’operazione di trattamento, da indicare nell’informativa e da effettuare previo consenso, libero e consapevole, dell’interessato.

Antonio Ciccia Messina

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Leonardo Del Vecchio stila la lista per il rinnovo del consiglio di amministrazione di Essilor Luxot...

Oggi sulla stampa

Oggi sulla stampa

Per capire la Ragioneria generale dello Stato bisogna aver visitato la sala di Via Venti Settembre d...

Oggi sulla stampa

Oggi sulla stampa

Riflettori puntati sulla cessione della quota (il 62,50%) di Banca Profilo, oggi all’interno del p...

Oggi sulla stampa