g-docweb-display Portlet

Verifica preliminare. Utilizzo di un servizio di firma elettronica avanzata con autenticazione biometrica - 17 dicembre 2015 [4645479]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4645479]

Verifica preliminare. Utilizzo di un servizio di firma elettronica avanzata con autenticazione biometrica - 17 dicembre 2015

Registro dei provvedimenti
n. 662 del 17 dicembre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali" (di seguito "Codice");

VISTO il d.lgs. 7 marzo 2005, n. 82, recante il "Codice dell´amministrazione digitale";

VISTO il d.P.C.M. 22 febbraio 2013, recante le "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71";

VISTO il provvedimento del Garante del 12 novembre 2014, come modificato dal provvedimento del 15 gennaio 2015 (docc. web nn. 3556992 e 3701432);

VISTA la richiesta di verifica preliminare presentata da B.N.L. s.p.a. ai sensi dell´art. 17 del Codice;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. La richiesta formulata dalla società.

1.1. B.N.L. s.p.a., con nota depositata il 12 maggio 2015, ha presentato a questa Autorità, ai sensi dell´art. 17 del Codice, una richiesta di verifica preliminare relativa alla adozione di una soluzione di firma elettronica avanzata (FEA) basata su una procedura di autenticazione biometrica effettuata tramite signpad (c.d. tablet).

B.N.L. s.p.a. ha sviluppato per la propria clientela un sistema di sottoscrizione dei contratti e dei documenti nel quale la fase di autenticazione del firmatario avviene mediante confronto di template di firma grafometrica. Nello specifico, il cliente, al fine di sbloccare il certificato di firma a lui assegnato, deve apporre su di un apposito tablet grafometrico la propria firma autografa.

B.N.L. s.p.a., in tal modo, ha inteso offrire alla propria clientela una modalità di sottoscrizione dei documenti informatici in grado di garantire idonei requisiti di sicurezza (firma elettronica avanzata) pur mantenendo una user experience del tutto analoga a quella della sottoscrizione di documenti cartacei (mediante la firma grafometrica).

La Banca, inoltre, mediante l´utilizzo di tale sistema assicura una maggiore certezza nelle operazioni di sportello, riducendo sensibilmente il rischio di frode e, contestualmente, ottenendo un maggior livello di dematerializzazione dei documenti in modo da semplificare i rapporti con la clientela,  evitando la stampa di numerosi documenti da archiviare (secondo le stime di B.N.L. s.p.a. si tratta di alcuni milioni di documenti cartacei ogni anno).

A corredo dell´istanza, B.N.L. s.p.a. ha presentato una copiosa documentazione, tra cui il "Manuale Operativo alla Clientela" che delinea le caratteristiche tecniche del servizio e il correlato trattamento di dati personali che la Banca, a tal fine, intende svolgere.

2. Il servizio proposto.

2.1. Sulla base della documentazione inviata da B.N.L. s.p.a., il servizio proposto si compone delle fasi che si descrivono di seguito.

Al momento dell´adesione al servizio di firma elettronica avanzata, il cliente, dopo essere stato identificato secondo quanto previsto dalla normativa bancaria, presta il proprio consenso informato al trattamento dei suoi dati biometrici per finalità di autenticazione.

Terminata tale fase, ai fini del riconoscimento biometrico dell´interessato (c.d. fase di enrollement) l´operatore di sportello invita il cliente ad apporre, mediante uno speciale pennino, un numero minimo di 5 firme su un tablet collegato alla postazione informatica dello stesso operatore.

Il sistema trasmette le informazioni così acquisite in modalità cifrata ad un server dedicato (biometric server) nella disponibilità di B.N.L. s.p.a. senza salvare sul dispositivo di firma ovvero sulla postazione dell´operatore, neppure in via temporanea, i dati biometrici grezzi. Il biometrc server ha la funzione di trasformare le informazioni biometriche raccolte nella fase di enrollement in un modello biometrico di firma del cliente - consistente in una sequenza di caratteri ("stringa") ottenuta attraverso l´applicazione di un algoritmo unidirezionale al campione originario - garantendone la immodificabilità e la non reversibilità.

Una volta effettuata con successo la procedura di identificazione ed enrollment, il sistema genera all´interno di un dispositivo remoto di firma (HSM Hardware Security Module) la coppia di chiavi associate univocamente al cliente e un certificato di firma secondo lo standard X.509 attestante l´identità dell´interessato.

La coppia di chiavi e il certificato di firma non sono consegnati al cliente, ma vengono conservati nel dispositivo HSM.

Il modello biometrico è conservato separatamente dai dati anagrafici del cliente ed è associato a quest´ultimo mediante un codice univoco.

Tale modello biometrico di riferimento viene utilizzato quale termine di confronto per le successive sessioni di autenticazione. Infatti, in occasione della sottoscrizione dei singoli documenti, il cliente appone, alla presenza dell´operatore incaricato, la propria firma sul tablet al fine di avviare il procedimento di autenticazione. Con le medesime modalità sopradescritte il sistema ricava un nuovo modello biometrico che viene confrontato all´interno del server biometrico con quello memorizzato al momento dell´adesione al servizio e, in caso di matching positivo, il processo di autenticazione si conclude con successo e il sistema avvia il processo di firma del documento visionato dal cliente.

2.2. Il trattamento dei dati biometrici derivanti dall´utilizzo del servizio di FEA avviene, a giudizio della Società, nel rispetto dei principi di finalità, pertinenza e non eccedenza.

La soluzione predisposta dalla Società per la propria clientela  consiste in "una firma elettronica avanzata basata su una procedura di autenticazione biometrica ma non costituisce una firma grafometrica in senso stretto". I dati biometrici dei firmatari vengono utilizzati esclusivamente ai fini dell´autenticazione dell´interessato in vista dell´attivazione del processo di firma mentre non è prevista la loro connessione in qualsiasi forma al documento sottoscritto.

Le informazioni biometriche rilevate dal sistema sono: ritmo, pressione, velocità, accelerazione e movimento della mano nel gesto di apporre la firma. Il sistema utilizza tali informazioni in misura ritenuta pertinente e non eccedente rispetto alla finalità del servizio, nonché in forma acritica con modalità tali da non consentire, neppure accidentalmente, di risalire a dati sensibili del firmatario (es. eventuali patologie).

In ogni caso i dati biometrici non sono conservati da B.N.L. s.p.a. in chiaro, venendo tradotti in codici alfanumerici che non consentono di risalire alle informazioni biometriche originarie.

I modelli risultanti dalla conversione dei campioni biometrici in una stringa alfanumerica di caratteri sono conservati presso i datacentre della Capogruppo BNP Paribas e gestiti dal fornitore di servizi tecnologici BNP Paribas Partners for Innovation Italia s.r.l., designato da B.N.L. s.p.a. responsabile del trattamento dei dati personali nell´ambito dei servizi di Information Technology.

La conservazione di tali modelli avviene per il tempo strettamente necessario al perseguimento degli scopi per cui i dati sono stati raccolti e successivamente trattati, tenuto conto delle esigenze di ulteriore conservazione in caso di contestazioni.

Rispetto ai dati biometrici trattati a fini di autenticazione B.N.L. s.p.a. assume il ruolo di titolare del trattamento, decidendo in autonomia le finalità e modalità del trattamento nonché gli strumenti utilizzati, ivi compreso il profilo della sicurezza.

L´autenticazione biometrica richiede l´utilizzo di appositi tablet certificati disponibili solo all´interno delle filiali B.N.L. s.p.a. ovvero forniti agli operatori della Banca autorizzati a prestare il servizio "fuori sede". Non è prevista la consegna di alcun dispositivo al cliente con la conseguenza che il servizio è utilizzabile solo ed esclusivamente nelle filiali B.N.L. s.p.a. ovvero "fuori sede" alla presenza di un operatore incaricato.

Il cliente è libero di scegliere se aderire al servizio di FEA basato su autenticazione biometrica o se effettuare l´operazione mediante documento cartaceo tradizionale. In ogni caso, è assicurata al cliente la possibilità di recedere dal servizio in qualsiasi momento, revocando il consenso al trattamento dei dati biometrici a fini di autenticazione.

3. Le valutazioni dell´Autorità.

3.1. La verifica preliminare presentata all´Autorità ha ad oggetto il trattamento di dati personali connesso all´utilizzo di un sistema di firma elettronica avanzata basata su una procedura di autenticazione biometrica.

In proposito deve evidenziarsi che il Gruppo per la tutela dei dati personali ex art. 29 della direttiva 95/46/Ce ha ritenuto che l´utilizzo di sistemi basati sull´impiego di dispositivi in grado di rilevare le caratteristiche "dinamiche" della firma determini un trattamento di dati biometrici di natura comportamentale, come tale riconducibile nell´ambito di applicazione della disciplina in materia di protezione dei dati personali (cfr. documento di lavoro sulla biometria del 1° agosto 2003, Wp 80; cfr. altresì Parere 3/2012 sugli sviluppi nelle tecnologie biometriche del 27 aprile 2012, WP 193).

Ciò premesso, è necessario valutare, se il sistema descritto dalla Società istante possa reputarsi conforme, limitatamente al trattamento di dati biometrici degli utenti, ai principi stabiliti nel Codice.

3.2. A fronte della documentazione prodotta e delle dichiarazioni rese, il trattamento dei dati biometrici effettuato da B.N.L. risulta lecito.

Occorre, preliminarmente, sottolineare, che dal punto di vista generale, l´utilizzabilità dei dati biometrici nelle procedure di firma dei documenti informatici è espressamente prevista, a livello normativo, dal d.P.C.M. 22 febbraio 2013.

Nella soluzione proposta, la firma del documento è realizzata e implementata in modo conforme a quanto previsto dalla normativa vigente per la firma elettronica avanzata, assicurando l´identificazione del firmatario, la connessione univoca tra firma e firmatario, il controllo esclusivo del firmatario sul dispositivo di firma, nonché l´integrità del documento sottoscritto (art.1, comma 1, lett. q-bis, d.lgs. 7 marzo 2005, n. 82 e art. 55 e ss., d.P.C.M. 22 febbraio 2013).

Non si può non rilevare, inoltre, che il sistema in esame contribuisce a contrastare il rischio di frode e il fenomeno dei furti di identità, rafforzando le garanzie di autenticità e integrità dei documenti informatici sottoscritti.

Il trattamento dei dati biometrici dei firmatari, avvenendo sulla base del libero consenso degli interessati e per il perseguimento di legittime finalità rese preventivamente note a questi ultimi (artt. 13 e 23 del Codice), soddisfa anche i requisiti di cui all´art. 11, comma 1, lett. a) e b), del Codice.

Per quanto attiene, poi, all´osservanza dei princìpi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice), il sistema descritto, alla luce delle dichiarazioni rese, risulta preordinato all´acquisizione delle sole informazioni pertinenti rispetto alla finalità di autenticazione degli interessati.

BNL s.p.a., infine, in qualità di titolare del trattamento di dati biometrici, correlato all´utilizzo del sistema proposto, ha provveduto ad effettuare la notificazione al Garante ai sensi dell´art. 37 del Codice.

4. Ulteriori adempimenti.

4.1. Sotto il profilo della sicurezza dei dati trattati, occorre osservare che il descritto servizio di autenticazione biometrica per l´apposizione della firma elettronica avanzata non rientra negli ambiti di esonero individuati nel Provvedimento generale n. 513 del 12 novembre 2014, poiché le ipotesi di utilizzo della firma grafometrica considerate al parg. 4.4 del citato provvedimento sono limitate alla realizzazione di soluzioni di sottoscrizione di documenti informatici mediante firma elettronica avanzata.

La soluzione di firma sviluppata da B.N.L. s.p.a., invece, prevede che i dati biometrici siano utilizzati esclusivamente con finalità di autenticazione del cliente per l´attivazione del processo di firma, con la conseguenza che gli stessi restano estranei rispetto alla firma elettronica vera e propria intesa come "insieme di dati in forma elettronica allegati oppure connessi a un documento informatico" (art. 1, comma 1, lett. q-bis, d.lgs. 7 marzo 2005, n. 82).

Ciononostante, alcuni degli obiettivi di sicurezza contemplati per il trattamento dei dati biometrici associati alla firma grafometrica possono ragionevolmente ritenersi adeguati anche nel caso in esame, con particolare riguardo ai punti a) identificazione del firmatario, c) cancellazione dei dati biometrici grezzi, d) conservazione dei dati biometrici, h) utilizzo di strumenti mobile o BYOD (Bring Your Own Device), di cui al medesimo par. 4.4.

4.2. Tanto premesso, alla luce dello scenario d´uso del servizio descritto nella documentazione inviata e delle misure di sicurezza già implementate, si prende atto, in particolare, che il cliente viene identificato al momento della sottoscrizione dei singoli documenti e che il sistema trasmette le informazioni biometriche acquisite in modalità cifrata ad un server dedicato (biometric server) nella disponibilità di B.N.L. s.p.a. senza salvare sul dispositivo di firma ovvero sulla postazione dell´operatore, neppure in via temporanea, i dati biometrici grezzi.

Considerati gli obiettivi di sicurezza individuati dal richiamato provvedimento generale e dal d.P.C.M. 22 febbraio 2013, si ritiene altresì opportuno prescrivere, ai sensi dell´art. 17 del Codice, al titolare del trattamento l´adozione di talune ulteriori misure di sicurezza come di seguito specificate:

- i modelli biometrici acquisiti in fase di enrollment al sistema e impiegati per i successivi confronti, nonché quelli utilizzati per l´autenticazione nella fase di sottoscrizione dei documenti devono essere conservati per almeno 20 anni (in analogia a quanto disposto dall´art. 32, comma 3, lett. j) del C.A.D.) anche in caso di cessazione del servizio o di recesso dal servizio;

- i modelli biometrici devono essere conservati in forma cifrata tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata alla dimensione e al ciclo di vita dei dati. La chiave privata deve essere posta nella esclusiva disponibilità di un soggetto terzo fiduciario che fornisca idonee garanzie di indipendenza e sicurezza nella conservazione della medesima chiave. La chiave può essere frazionata tra più soggetti ai fini di sicurezza e integrità del dato. In nessun caso B.N.L. s.p.a. può conservare in modo completo tale chiave privata. Le modalità di generazione, consegna e conservazione delle chiavi devono essere dettagliate nell´informativa resa agli interessati, in conformità con quanto previsto all´art. 57, comma 1, lettere e) ed f) del d.P.C.M. 22 febbraio 2013;

- i modelli biometrici di autenticazione devono essere associati in modo permanente al documento informatico sottoscritto nei dispositivi tablet devono essere adottati idonei sistemi di gestione delle applicazioni o dei dispositivi mobili, con il ricorso a strumenti MDM (Mobile Device Management) o MAM (Mobile Application Management) o altri equivalenti al fine di isolare l´area di memoria dedicata all´applicazione biometrica di registrazione e autenticazione, ridurre i rischi di installazione abusiva di software anche nel caso di modifica della configurazione dei dispositivi e contrastare l´azione di eventuali agenti malevoli (malware);

- devono essere introdotte delle soglie di allarme, allorché il tasso di corrispondenza tra il modello memorizzato e quello creato all´atto della firma di un documento superi una certa soglia, poiché una loro eventuale corrispondenza perfetta potrebbe risultare sintomatica di anomalie.

TUTTO CIÒ PREMESSO, IL GARANTE

a conclusione della verifica preliminare presentata da B.N.L. s.p.a., relativamente all´utilizzo del servizio di firma elettronica avanzata con autenticazione biometrica, autorizza il trattamento dei dati biometrici e, a tal fine, prescrive al titolare del trattamento, ai sensi dell´art. 17 del Codice:

- di adottare le misure di sicurezza di cui al punto 4.2. del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 17 dicembre 2015

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia