Siete qui: Oggi sulla stampa
Oggi sulla stampa

Lotta alle frodi senza biometria

Contro i furti di identità non si può usare la biometria. Mentre si possono fare controlli incrociati con il database gestito dalla Consap.

Non si può, dunque, costruire un archivio dei volti delle persone che chiedono finanziamenti. Lo ha stabilito il Garante della privacy con il provvedimento n. 77 del 25 febbraio 2016, che ha bocciato la richiesta di verifica preliminare di un sistema di riconoscimento facciale delle fotografie poste sui documenti di identità di soggetti che presentano richieste di finanziamento a banche e intermediari finanziari.

Gli operatori del settore, abilitati per legge, invece, possono aderire al sistema di prevenzione, delle frodi nel settore del credito al consumo e dei pagamenti dilazionati o differiti, siglato Scipafi (si veda box in pagina).

Ma vediamo di analizzare i sistemi di prevenzione di un giro illecito, che conta oltre 40 frodi giornaliere.

No al database biometrico. Una società ha chiesto al garante di poter utilizzare un sistema mediante il quale verrebbero acquisite le sembianze delle persone tramite scansione della fotografia apposta sul suo documento di identità.

I dati verrebbero criptati e codificati per il confronto con analoghi codici identificativi di fotografie riconducibili allo stesso o ad altri individui, inseriti nel database e presi da diverse fonti (altri intermediari, foto tratte dai giornali o foto segnaletiche dei ricercati dalle forze di polizia).

Se a uno stesso volto risultassero abbinate identità diverse, allora saremmo di fronte a un furto di identità.

Principi di proporzionalità. Secondo il Garante della privacy non può ritenersi necessario e proporzionato un uso generalizzato e incontrollato dei dati biometrici relativi alla conformazione del volto, visto che ci sono modalità alternative (il già citato Scipafi).

Inoltre il trattamento in esame è risultato eccessivo, in quanto riguarderebbe un numero potenzialmente enorme di interessati, fino a diverse decine di milioni di persone.

Ancora, i dati dovrebbero essere conservati per tanti anni, almeno pari alla durata dei finanziamenti richiesti, senza un limite congruo predefinibile.

Inefficacia. Il trattamento non assicura un elevato grado di affidabilità.

Si acquisirebbe, tramite una scansione, la fotografia del volto dell’interessato da associare al suo codice fiscale e si effettuerebbe il confronto con altre foto, al fine di segnalare se il volto dell’interessato ha caratteristiche simili ad altri volti già presenti nell’archivio (cioè foto di clienti censiti perché già richiedenti un finanziamento) o in altri archivi messi a disposizione delle autorità competenti per l’identificazione di persone ricercate. Successivamente, il sistema verificherebbe eventuali altre foto associate allo stesso codice fiscale e, al termine dei controlli, memorizzerebbe la foto e il codice fiscale dell’interessato e li conserverebbe per la durata del finanziamento richiesto.

Perché il sistema funzioni occorre disporre di un archivio con tantissime fotografie da utilizzare per effettuare il confronto. E, in ogni caso, ci possono essere foto similari, con il rischio di «falsi negativi» (Frr – False Rejection Rate) e i «falsi positivi» (Far – False Acception Rate).

Misure di sicurezza. Il Garante ha bocciato la procedura di confronto, che si limita a utilizzare un protocollo https e un livello di autenticazione debole (basato sul solo inserimento di userid e password).

Informativa. Anche l’informativa predisposta dai promotori del progetto non è risultata adeguata: si indica, tra l’altro, che gli interessati sarebbero addirittura obbligati a fornire i propri dati biometrici.

Manca, inoltre, nel modello di informativa ogni riferimento a tecniche alternative per la verifica dell’identità dell’interessato, in contrasto con l’articolo 13 del Codice della privacy, secondo il quale è necessario che le informazioni da rendere agli interessati enuncino chiaramente tutte le modalità impiegate nel trattamento e la tipologia di dati personali utilizzati per ciascuna di esse.

Consenso. Poiché non sussiste l’obbligo di conferire i dati biometrici, il Garante ha ritenuto viziata sia l’informativa sia il consenso: l’interessato, infatti, non sarebbe libero di aderire o meno al sistema basato sull’utilizzo di dati biometrici, non garantendo il titolare sistemi alternativi di riconoscimento.

Il confronto tra i dati costituisce, dunque, un’operazione di trattamento, da indicare nell’informativa e da effettuare previo consenso, libero e consapevole, dell’interessato.

Antonio Ciccia Messina

Print Friendly

Condividi su

Potrebbe interessarti anche
Oggi sulla stampa

Un balzo in avanti. In parte previsto, ma che comunque apre una prospettiva diversa rispetto al pess...

Oggi sulla stampa

Oggi sulla stampa

Decontribuzione dal 50 al 100% per i lavoratori che usciranno dalla cassa integrazione del settore t...

Oggi sulla stampa

Oggi sulla stampa

Dica la verità, senatrice Bongiorno, ma la Lega vuole davvero i fondi del Recovery che sono legati ...

Oggi sulla stampa