|
Per
combattere i furti di identità o le frodi nell\’internet banking, una
banca potrà analizzare informazioni biometrico-comportamentali dei
clienti, quali la pressione sul touch screen o i movimenti del mouse,
in occasione della loro “navigazione” nell\’area privata del proprio sito
web.
Il sistema, sottoposto al Garante della privacy per una verifica preliminare [doc. web n. 5252271],
si propone di innalzare i livelli di tutela attualmente previsti(come
password per l\’accesso al conto corrente on line, oppure one time
password per bonifici e altre operazioni) con nuove modalità di
“identificazione” dell\’utente.
Per
raggiungere tale obiettivo, l\’istituto di credito ha chiesto a un
partner tecnologico di generare profili univoci dei propri clienti
basati sull\’analisi del loro comportamento durante le operazioni svolte
nell\’area riservata del sito di internet banking. La società, in una
prima fase, raccoglie informazioni su azioni spontanee dell\’utente, come
i movimenti del mouse (incluse reazioni inconsce a “interferenze”
prodotte appositamente dal sistema), la pressione del dito su schermi
tattili, oppure la velocità di digitazione sulla tastiera. Tali dati
biometrici sono combinati con altre informazioni relative alla
tecnologia usata per collegarsi (pc, tablet, smartphone), come i
parametri del sistema operativo e del browser di navigazione.
Ogni
volta che il cliente si ricollega ai servizi bancari on line, il sistema
provvede a comparare le caratteristiche della sua navigazione sul sito
con quelle associate al profilo in memoria, così da individuare
eventuali tentativi di accesso illecito ai conti on-line, informandone i
clienti ed eventualmente inibendo determinate operazioni.
Il
Garante ha riconosciuto l\’importanza delle finalità perseguite dalla
banca a garanzia della sicurezza dei servizi on-line ma, proprio per la
delicatezza dei dati personali trattati, ha vincolato l\’attivazione del
nuovo sistema alla rigorosa osservanza delle misure individuate a tutela
della privacy degli interessati.
La
banca, ad esempio, potrà attivare il sistema di verifica
biometrico-comportamentale solamente su base volontaria, dopo aver
fornito al cliente una completa informativa e averne ottenuto lo
specifico consenso. Dovrà inoltre valutare con attenzione l\’effettiva
pertinenza e non eccedenza di tutti i “dati di navigazione”
astrattamente utilizzabili, configurando il sistema in modo tale da
acquisire e trattare, fin dall\’inizio, solo quelli strettamente
necessari all\’esecuzione del servizio.
Il
partner tecnologico non avrà accesso alle schede anagrafiche dei clienti
dell\’istituto di credito in modo tale da non poter risalire alla loro
identità e, in ogni caso, non potrà interconnettere i profili
comportamentali con le informazioni contenute in altre banche dati, così
da scongiurare il rischio di trattamenti illeciti.
Sono
state inoltre definite precise misure di sicurezza e limiti ai tempi di
conservazione dei dati raccolti per la fornitura del servizio,
garantendo comunque gli adempimenti previsti da specifiche normative di
settore e la tutela di eventuali diritti in sede giudiziaria.
|
