[doc. web n. 4167873]

Verifica preliminare relativa al trattamento di dati personali connesso all´utilizzo di un servizio di firma digitale remota con autenticazione biometrica - 28 maggio 2015

Registro dei provvedimenti
n. 318 del 28 maggio 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali" (di seguito "Codice");

VISTO il d.lgs. 7 marzo 2005, n. 82, recante il "Codice dell´amministrazione digitale";

VISTO il d.P.C.M. 22 febbraio 2013, recante le "Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali, ai sensi degli articoli 20, comma 3, 24, comma 4, 28, comma 3, 32, comma 3, lettera b), 35, comma 2, 36, comma 2, e 71";

VISTO il provvedimento del Garante del 12 novembre 2014, come modificato dal provvedimento del 15 gennaio 2015 (docc. web nn. 3556992 e 3701432);

VISTA la richiesta di verifica preliminare presentata congiuntamente da Telecom Italia Trust Technologies s.r.l., Credito Emiliano s.p.a. e Banca Euromobiliare s.p.a. ai sensi dell´art. 17 del Codice, nonché le successive comunicazioni inviate dalle società;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1. La richiesta formulata dalle società.

1.1. Telecom Italia Trust Technologies s.r.l., Credito Emiliano s.p.a. e Banca Euromobiliare s.p.a. (Banche del Gruppo Credem), con nota congiunta del 22 settembre 2014 e con le successive comunicazioni del 7 gennaio 2015, hanno presentato a questa Autorità, ai sensi dell´art. 17 del Codice, una richiesta di verifica preliminare relativa al trattamento di dati personali connesso all´utilizzo di un servizio di firma digitale remota con autenticazione biometrica.

Le Banche del Gruppo Credem intendono offrire ai propri clienti un servizio di firma digitale biometrica, c.d. "Servizio di Firma MySelf", al fine di introdurre una nuova modalità di sottoscrizione dei contratti e della modulistica relativa ai rapporti bancari, assicurando, altresì, alla clientela e alle stesse Banche un complessivo miglioramento dei processi operativi interni in termini di sicurezza dei dati, con contestuale diminuzione del rischio di frode, e di dematerializzazione della documentazione bancaria, ottimizzando anche in termini di economicità l´operazione  di raccolta dei dati del cliente.

In particolare, le società istanti vorrebbero garantire ai propri clienti una modalità di sottoscrizione dei documenti informatici tale da assicurare i più elevati requisiti di sicurezza (firma digitale remota) pur mantenendo una user experience del tutto analoga a quella della sottoscrizione di documenti cartacei (mediante la firma grafometrica).

Infatti, il servizio di firma digitale biometrica (FDB) proposto consisterebbe nel rendere disponibile, per i clienti delle Banche, una firma digitale remota in cui la fase di autenticazione del firmatario sarebbe basata sul confronto di specimen di firma grafometrica anziché sull´inserimento dell´usuale PIN. Il cliente, per sbloccare il certificato di firma digitale a lui assegnato, non dovrebbe quindi digitare alcun codice alfanumerico ma apporre su di un apposito tablet grafometrico la propria firma autografa.

Il servizio si baserebbe su dispositivi sicuri di firma, custoditi dal certificatore accreditato TI Trust Technologies s.r.l. (iscritto all´Elenco Pubblico dei Certificatori tenuto dall´Agenzia per l´Italia Digitale - Agid) e prevede l´apposizione della firma digitale mediante un dispositivo sicuro centralizzato (Hardware Security Module), attivabile esclusivamente dall´utente finale, il firmatario, solo a seguito di una autenticazione forte, c.d. strong authentication.

A corredo dell´istanza, TI Trust Technologies s.r.l. e le Banche del Gruppo Credem hanno prodotto due documenti che delineano le caratteristiche tecniche del sistema di autenticazione biometrica e i correlati trattamenti di dati personali che le società istanti intendono svolgere, in qualità di co-titolari, ciascuno nel rispettivo ambito di competenza.

2. Il servizio proposto.

2.1. A fronte della documentazione inviata da TI Trust Technologies s.r.l. e dalle Banche del Gruppo Credem, il servizio proposto sarebbe caratterizzato da due distinte fasi:

registrazione dei clienti al servizio, con creazione dello specimen di firma (c.d. provisioning);

autenticazione forte del cliente in occasione della sottoscrizione di un documento informatico mediante firma digitale.

2.2. La prima fase di identificazione e registrazione dei firmatari verrebbe organizzata in autonomia da parte delle Banche mediante gli "Addetti alla identificazione" appartenenti alla propria organizzazione e il sistema informativo messo a disposizione dalla capogruppo Credem, che erogherebbe il servizio anche a Banca Euromobiliare s.p.a., in virtù di uno specifico contratto di servizio.

Nello specifico, l´utente che intendesse aderire al servizio, il firmatario, verrebbe invitato ad apporre la propria firma autografa su tablet presidiati esclusivamente dagli addetti delle Banche che procederebbero a identificare di persona il firmatario (c.d. riconoscimento de visu).

Successivamente, verrebbero rilevate le informazioni caratteristiche della firma autografa del firmatario ottenute mediante l´apposizione sul tablet della medesima firma almeno tre volte.

In questo modo si otterrebbero tre template nei quali verrebbero memorizzati l´immagine della firma, l´identificativo del tablet su cui sarebbe stata apposta la firma autografa del firmatario e i dati biometrici della firma (velocità del gesto, pressione, accelerazione, inclinazione, etc).

I tre template così registrati andrebbero a costituire lo specimen di firma da utilizzare quale termine di confronto nelle successive sessioni di autenticazione.

Lo specimen cosi ottenuto verrebbe cifrato e memorizzato in un database (DB Specimen) custodito presso il Server Grafometrico del certificatore accreditato. Il certificatore verificherebbe la correttezza dello specimen e procederebbe a emettere il certificato digitale per il cliente che, a questo punto, potrebbe utilizzare il servizio di firma digitale biometrica.

2.3. Al momento della sottoscrizione di un documento informatico, il template biometrico della firma, unitamente al numero seriale identificativo del tablet, verrebbe trasmesso in modalità cifrata al Server Grafometrico presso il certificatore.

Tale server una volta ricevuto il template, al fine di autenticare il firmatario e consentire così il completamento del processo, verificherebbe che:

- il numero seriale identificativo del tablet contenuto nel template corrisponda a uno dei numeri seriali censiti e presenti nelle Banche, così da garantire che il template sia stato rilevato solo da un tablet censito;

- i dati biometrici della firma contenuti nel template corrispondano a quelli dello specimen archiviato nel DB specimen nella fase di registrazione;

- l´hash del template ricevuto non sia identico ad uno degli hash dei template già verificati per precedenti operazioni di firma effettuate dallo stesso firmatario, rifiutando in caso contrario l´autenticazione.

L´autenticazione si concluderebbe con successo solo in caso di esito positivo di tutte e tre le verifiche. Effettuata l´autenticazione, il certificatore renderebbe disponibile al firmatario il certificato digitale per la sottoscrizione remota di un documento informatico.

In questa fase non verrebbero trattati dati biometrici, utilizzati esclusivamente nel processo di autenticazione precedente. Il processo di autenticazione è, infatti, l´unico che prevede il trattamento di dati biometrici, in quanto nessun dato relativo alla firma grafometrica verrebbe utilizzato dai sistemi coinvolti nel rilascio dei certificati di firma digitale o nelle procedure di apposizione della stessa in fase di sottoscrizione.

Il servizio di FDB sarebbe utilizzabile dal firmatario solo a seguito dell´avvenuta emissione del certificato da parte di TI Trust Technologies s.r.l.

2.4. Il trattamento dei dati biometrici derivanti dall´utilizzo del servizio di FDB avverrebbe nel rispetto dei principi di finalità, necessità e proporzionalità.

La separazione logica e fisica degli ambienti di rilevazione dei dati biometrici (presso le Banche) da quelli di autenticazione forte e firma digitale (presso TI Trust Technologies s.r.l.) garantirebbero il transito dei dati biometrici cifrati sui sistemi delle Banche per essere trasmessi a TI Trust Technologies s.r.l. che, in quanto certificatore accreditato, custodirebbe i dati biometrici in maniera conforme ai più stringenti vincoli di sicurezza, tutelando in questo modo i firmatari da eventuali tentativi di furto della propria identità.

L´utilizzo del database contenente gli specimen dei firmatari avverrebbe da parte TI Trust Technologies s.r.l. nel rispetto dell´art. 22, comma 6, d.lgs. n. 196 del 2003. Infatti, i dati biometrici custoditi in modalità cifrata, sarebbero indicizzati tramite ID numerici al fine di escludere un´associazione diretta con i dati personali identificativi del firmatario.

Pertanto, i dati biometrici memorizzati in modo centralizzato per la verifica biometrica della firma non sarebbero direttamente utilizzabili anche in altri contesti in grado di produrre effetti sugli interessati.

Tutti i sistemi previsti per l´erogazione del servizio e per la gestione dei dati presso TI Trust Technologies s.r.l. sarebbero collocati esclusivamente all´interno di locali protetti, accessibili ai soli incaricati del trattamento e ai soggetti specificamente autorizzati.

Infine, in caso di cessazione del servizio i dati biometrici relativi agli utenti verrebbero cancellati o anonimizzati in modalità irreversibile "immediatamente o nei tempi tecnici necessari e comunque non oltre i 30 giorni solari dalla registrazione dell´evento".

2.5. Le Banche in tutte le fasi del processo non avrebbero mai visibilità e disponibilità dei dati biometrici che, pur transitando tramite la rete delle Banche, messa a disposizione dalla capogruppo Credem, verrebbero cifrati al momento della loro generazione sul tablet/pc + pad, senza consentire in alcun modo l´intellegibilità da parte delle Banche stesse.

I dati biometrici sarebbero memorizzati e utilizzati direttamente dal certificatore accreditato che applicherebbe elevati standard di sicurezza in ragione della delicatezza dei dati trattati.

Le Banche si limiterebbero unicamente a consentire la trasmissione di tali dati, in formato cifrato, da e verso il certificatore accreditato.

Il trattamento dei dati personali da parte del personale dipendente (incaricato del trattamento) e del personale esterno, debitamente autorizzato, sarebbe consentito mediante il superamento di una procedura di autenticazione. Il personale incaricato sarebbe preventivamente profilato in base agli ambiti di operatività.

L´intera materia della sicurezza verrebbe disciplinata da una specifica policy per tutte le banche del Gruppo Credem.

In relazione alle caratteristiche del servizio di FDB, le Banche e TI Trust Technologies s.r.l. sarebbero cotitolari del trattamento effettuato, per gli ambiti di rispettiva competenza, sui dati personali e biometrici dei firmatari ai fini dell´attivazione, erogazione, gestione, amministrazione e manutenzione del servizio mediante i propri sistemi.

Gli addetti delle Banche agirebbero in qualità di incaricati del trattamento dei dati.

Le Banche provvederebbero a integrare la nomina a "responsabile esterno del trattamento" di Cedacri s.p.a. (outsourcer informatico delle Banche), includendovi il trattamento dei dati biometrici dei firmatari, prevedendo specifiche istruzioni al fine di assicurare che lo stesso avvenga in condizioni di sicurezza tali da assicurare il pieno rispetto delle vigenti disposizioni normative.

L´attivazione del servizio avverrebbe solo dopo il rilascio agli interessati della prevista informativa predisposta congiuntamente dalle Banche e da TI Trust Technologies s.r.l.

Le Banche, infine, acquisirebbero, anche per conto di TI Trust Technologies s.r.l., il consenso del firmatario al trattamento dei dati personali e biometrici, rendendo esplicito per coloro che non intendessero autorizzare l´utilizzo dei dati biometrici nell´ambito della prospettata soluzione, che i medesimi servizi verrebbero assicurati in forma tradizionale.

3. Le valutazioni dell´Autorità.

3.1. La verifica preliminare presentata all´Autorità ha ad oggetto il trattamento di dati personali connesso all´utilizzo di un servizio di firma digitale remota con autenticazione biometrica.

In proposito, deve evidenziarsi che il Gruppo per la tutela dei dati personali ex art. 29 della direttiva 95/46/Ce ha ritenuto che l´utilizzo di sistemi basati sull´impiego di dispositivi in grado di rilevare le caratteristiche "dinamiche" della firma determini un trattamento di dati biometrici di natura comportamentale, come tale riconducibile nell´ambito di applicazione della disciplina in materia di protezione dei dati personali (cfr. documento di lavoro sulla biometria del 1° agosto 2003, Wp 80; cfr. altresì Parere 3/2012 sugli sviluppi nelle tecnologie biometriche del 27 aprile 2012, WP 193).

Ciò premesso, occorre valutare, se il sistema descritto dalle società istanti possa reputarsi conforme, limitatamente al trattamento di dati biometrici degli utenti, ai principi stabiliti nel Codice.

3.2. A fronte della documentazione prodotta e delle dichiarazioni rese, il trattamento dei dati biometrici che le società istanti intendono effettuare risulta lecito.

Occorre, preliminarmente, sottolineare, che dal punto di vista generale, l´utilizzabilità dei dati biometrici nelle procedure di firma dei documenti informatici è già espressamente prevista, a livello normativo, dal d.P.C.M. 22 febbraio 2013 (recante la disciplina tecnica di attuazione delle relative disposizioni contenute nel Codice dell´amministrazione digitale),

In disparte tale riferimento, è necessario poi prendere atto della crescente considerazione che, anche a livello europeo, sta acquisendo l´utilizzo, a fini di autenticazione, di tali dati, anzitutto in ragione delle ritenute garanzie di affidabilità che gli stessi offrirebbero – a fortiori nel peculiare contesto bancario – sul piano della rigorosa identificabilità degli utenti e, correlativamente, dell´effettiva riconducibilità a questi ultimi delle operazioni effettuate.

Nello specifico, infine, non si può non rilevare che il sistema proposto contribuirebbe a contrastare il rischio di frode e il fenomeno dei furti di identità, rafforzando le garanzie di autenticità e integrità dei documenti informatici sottoscritti.

Inoltre, nella misura in cui il sistema prospettato risulti effettivamente conforme al quadro normativo vigente, si può ragionevolmente ritenere che il trattamento dei dati biometrici dei firmatari, avvenendo sulla base del libero consenso degli interessati e per il perseguimento di legittime finalità rese preventivamente note a questi ultimi (artt. 13 e 23 del Codice), possa anche soddisfare i requisiti di cui all´art. 11, comma 1, lett. a) e b), del Codice.

Per quanto attiene, poi, all´osservanza dei princìpi di necessità e proporzionalità (artt. 3 e 11, comma 1, lett. d), del Codice), occorre sottolineare che il sistema descritto, alla luce delle dichiarazioni rese, risulta preordinato all´acquisizione delle sole informazioni pertinenti rispetto alla finalità di autenticazione degli interessati.

Resta fermo che i dati biometrici dei firmatari potranno essere conservati per il solo periodo di tempo strettamente necessario al perseguimento degli scopi per i quali gli stessi sono stati raccolti e successivamente trattati (art. 11, comma 1, lett. e), del Codice), salva la possibilità di una ulteriore conservazione in ragione di specifiche previsioni normative o della tutela di eventuali diritti in sede giudiziaria.

Resta, inoltre, inteso che i dati biometrici dei firmatari non potranno essere utilizzati in operazioni di trattamento non compatibili con le finalità originarie della raccolta (art. 11, comma 1, lett. b), del Codice).

I titolari del trattamento, infine, ai sensi dell´art. 37 del Codice, dovranno effettuare la notificazione all´Autorità prima che il trattamento di dati biometrici, correlato all´utilizzo del sistema proposto, abbia inizio.

4. Ulteriori adempimenti.

4.1. Preso atto del trattamento che le società istanti intendono svolgere, si ritiene comunque opportuno, prescrivere, ai sensi dell´art. 17 del Codice, le seguenti ulteriori misure a garanzia degli interessati.

Ferma restando la necessità di attenersi scrupolosamente alle finalità e modalità di trattamento indicate, i titolari del trattamento dovranno fornire agli interessati, oltre agli elementi di cui all´art. 13 del Codice, le indicazioni relative alle caratteristiche del sistema proposto, mettendo in rilievo la possibilità, per coloro che non intendano autorizzare l´utilizzo dei dati biometrici nell´ambito della prospettata soluzione, di avvalersi delle tradizionali modalità di autenticazione e di sottoscrizione degli atti.

4.2.  Sotto il profilo della sicurezza dei dati trattati, occorre notare che il servizio non rientra negli ambiti di esonero individuati nel Provvedimento generale n. 513 del 12 novembre 2014, poiché le ipotesi di utilizzo della firma grafometrica, considerate al paragrafo 4.4 del citato Provvedimento, sono limitate alla realizzazione di soluzioni di sottoscrizione di documenti informatici mediante firma elettronica avanzata.

Ciononostante, alcuni degli obiettivi di sicurezza ivi rappresentati per il trattamento dei dati biometrici associati alla firma grafometrica possono ragionevolmente ritenersi adeguati anche nel caso in esame, con particolare riguardo ai punti a) identificazione del firmatario; c) cancellazione dei dati biometrici grezzi; d) conservazione dei dati biometrici; e) trasmissione dei dati biometrici; h) utilizzo di strumenti mobile o BYOD (Bring Your Own Device) del paragrafo 4.4.

Tanto premesso, considerando lo scenario d´uso del servizio proposto e gli obiettivi di sicurezza individuati dal richiamato Provvedimento generale, si ritiene opportuno prescrivere ai titolari del trattamento l´adozione di talune ulteriori misure di sicurezza:

- i dati biometrici grezzi devono essere cancellati immediatamente dopo il completamento della procedura di registrazione.

- I dati biometrici grezzi e i template biometrici devono essere cancellati immediatamente dopo il completamento della procedura di autenticazione, fatta salva la conservazione del relativo hash, per le finalità sopra evidenziate.

- I dati biometrici non devono essere conservati, neanche per periodi limitati, sui tablet utilizzati per la raccolta, né in fase di registrazione né in fase di autenticazione.

- I dati biometrici devono essere conservati nel server grafometrico esclusivamente in forma cifrata tramite sistemi di crittografia a chiave pubblica con dimensione della chiave adeguata alla dimensione e al ciclo di vita dei dati.

- La trasmissione dei dati biometrici tra i tablet di acquisizione, postazioni informatiche e server deve avvenire esclusivamente tramite canali di comunicazione resi sicuri con l´ausilio di tecniche crittografiche con lunghezza delle chiavi adeguata alla dimensione e al ciclo di vita dei dati. 

- Nei dispositivi tablet devono essere adottati idonei sistemi di gestione delle applicazioni o dei dispositivi mobili, con il ricorso a strumenti MDM (Mobile Device Management) o MAM (Mobile Application Management) o altri equivalenti al fine di isolare l´area di memoria dedicata all´applicazione biometrica di registrazione e autenticazione, ridurre i rischi di installazione abusiva di software anche nel caso di modifica della configurazione dei dispositivi e contrastare l´azione di eventuali agenti malevoli (malware).

- Alla cessazione del servizio, tutti i dati biometrici del cliente, ivi compresi gli hash dei template di firma, devono essere cancellati immediatamente, ovvero nei tempi tecnici a tal fine necessari e, comunque, non oltre l´indicato termine di 30 giorni.

TUTTO CIÒ PREMESSO, IL GARANTE

a conclusione della verifica preliminare presentata dalle società istanti, relativamente all´utilizzo del servizio di firma digitale remota con autenticazione biometrica, autorizza il trattamento dei dati biometrici e, a tal fine, prescrive ai titolari del trattamento, ai sensi dell´art. 17 del Codice, di:

a) fornire agli interessati, oltre agli elementi di cui all´art. 13 del Codice, le indicazioni relative alle caratteristiche del sistema proposto, mettendo in rilievo la possibilità, per coloro che non intendano autorizzare l´utilizzo dei dati biometrici nell´ambito della prospettata soluzione, di avvalersi delle tradizionali modalità di autenticazione;

b) effettuare, ai sensi dell´art. 37 del Codice, la notificazione all´Autorità prima che il trattamento di dati biometrici, correlato all´utilizzo del sistema proposto, abbia inizio.

c) adottare, nei rispettivi ambiti di competenza, le ulteriori misure di sicurezza di cui al punto 4.2. del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 28 maggio 2015

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia