L’internet banking si sta imponendo come canale preferenziale per l’esecuzione di operazioni bancarie per la sua semplicità nell’utilizzo e la rapidità dell’accesso al servizio. Rispetto alle modalità “tradizionali” di offerta dei servizi bancari l’internet banking espone, tuttavia, la clientela ad una serie di rischi connessi all’utilizzo degli strumenti digitali: tra tutti furti di identità o acquisizione illecita di dati personali.
Gli strumenti tradizionalmente predisposti per identificare in maniera univoca i clienti – accesso attraverso username e password – da soli potrebbero non essere sufficienti a garantire la piena sicurezza degli account soprattutto a fronte dell’elaborazione di meccanismi sempre più sofisticati di frode e acquisizione illecita di dati. Alcuni operatori hanno creato, in-house o con la collaborazione di provider di servizi nel settore della sicurezza informatica, sistemi alternativi o complementari di autenticazione dei clienti che accedono ai servizi di internet banking in grado di assicurare un maggior livello di tutela contro le frodi. Uno di tali software sviluppato da una società operante nel settore della sicurezza informatica è stato oggetto di un recente provvedimento del Garante per la protezione dei dati personali in seguito ad una richiesta di verifica preliminare presentata dall’operatore bancario che intende utilizzare tale software.
Sottoponendo al Garante una richiesta di verifica preliminare è possibile effettuare un trattamento di dati personali che presenti rischi specifici per i diritti, le libertà fondamentali e la dignità dell’interessato, a condizione, naturalmente, che il soggetto interessato rispetti le prescrizioni fornite dal Garante nell’ambito della verifica preliminare condotta. Si tratta di una procedura che sempre più di frequente viene attivata nel caso di trattamento di dati personali che comportino dei rischi e presentino delle “zone grigie” sulle quali il Garante viene chiamato a fare luce.
Le caratteristiche del software analizzato
Il software analizzato dal Garante si fonda sull’analisi di dati biometrico-comportamentali del cliente, in particolare dati attinenti alla navigazione nell’area riservata del sito di internet banking dell’operatore in questione e dell’interazione del cliente con i dispositivi utilizzati.
In una prima fase, in seguito ad ogni accesso del cliente, il software inizierebbe a registrare una serie di informazioni – tra cui le attività del mouse o del dito del cliente in caso di touchscreen, l’intensità della pressione esercitata sul touchscreen o la velocità di digitazione della tastiera, l’orientamento del dispositivo, alcuni parametri del browser, le reazioni inconsce ad alcune interferenze appositamente prodotte (es. scomparsa temporanea del cursore) – che permetterebbero al provider dei servizi di sicurezza informatica in questione di tracciare un profilo univoco associabile al cliente. Nel corso degli ulteriori accessi del cliente al sito, il software analizzerebbe i dati di navigazione, comparandoli con il profilo del cliente e valutandone eventuali scostamenti.
Al termine di queste operazioni invierebbe un feedback all’operatore bancario, che potrebbe così provvedere, in caso di anomalie riscontrate, ad avviare le opportune iniziative di mitigazione del rischio (come invio di avvisi al cliente o inibizione dalle operazioni di internet banking).
Il punto di vista del Garante
Il Garante nella sua analisi si è soffermato sulle cautele predisposte dalla banca nel trattamento dei dati dei clienti ricordando, in via preliminare, come in materia di trattamento dei dati biometrici rilevano le disposizioni del Codice, nonché le indicazioni fornite dal cliente nel provvedimento generale prescrittivo in materia di biometria del 12 novembre 2014 e diverse opinion sul tema emanate dall’Article 29 Working Party a livello europeo.
Anzitutto il Garante ha rilevato come correttamente l’operatore bancario ha previsto che l’utilizzo del software sia espressamente subordinato ad una specifica informativa e ad un altrettanto specifico consenso da parte dei clienti.
Analizzando poi le caratteristiche del software il Garante ha evidenziato come il trattamento dei dati biometrici dei clienti appaia oltre che lecito, proporzionato rispetto allo scopo prefissato di prevenire eventuali frodi cui risulterebbero soggetti i sistemi di autenticazione “tradizionali”.
Particolare attenzione viene, quindi, riservata dal Garante ai sistemi di sicurezza messi in atto dal provider di servizi di sicurezza informatica e dall’operatore bancario. Sotto tale profilo il Garante, valorizzando il principio di necessità del trattamento, osserva come la separazione fisica e logica tra i dati di navigazione e i dati anagrafici dei clienti, implementata in modo da non consentire un’associazione tra tali dati e quindi l’identificazione dei clienti, appaia pienamente in linea con il principio di necessità.
Sempre sotto il profilo della proporzionalità, il Garante nota come il sistema dinamico di acquisizione dei dati implementato dal provider dei servizi, che consente un’acquisizione man mano meno invasiva dei dati dei clienti, appaia conforme a tale principio.
Da ultimo il Garante nel provvedimento che si segnala si sofferma sui tempi di conservazione dei dati biometrici acquisiti, ritenendo congruo un periodo di conservazione dei dati afferenti ai profili pari alla durata del rapporto contrattuale con i relativi clienti (con obbligo di cancellazione entro 30 giorni in caso di scioglimento del vincolo contrattuale) e la cancellazione immediata dei dati relativi alle singole sessioni di navigazione una volta effettuate le verifiche svolte dal software.
Il provvedimento da ultimo segnalato appare di grande interesse e utilità pratica in quanto idoneo a fornire utili indicazioni per gli operatori bancari o per i provider di servizi di sicurezza informatica che intendano offrire tali servizi alla propria clientela. Le indicazioni del Garante, tuttavia, sono limitate al caso concreto e quindi non universalmente valide. E’ opportuno, pertanto, svolgere un assessment caso per caso in relazione alle diverse soluzioni tecnologiche che si intendono proporre alla clientela soprattutto allorquando le stesse implichino un trattamento significativo dei dati biometrici dei clienti.
