Dal sito Prevenzione Rapine e Furti, riportiamo un articolo sulle nuove Linee Guida e sul Provvedimento Gennerale sulla biometria:

Scatta la corsa all’adeguamento per l’impiego della biometria all’accesso dei clienti agli sportelli bancari (e non solo). Il 4 febbraio scorso si è tenuto, a Milano, il seminario AIPROS sull’impiego della biometria negli sportelli bancari, le cui riprese sono disponibili a questo link per tutti i lettori di Prevenzione Rapine e Furti.

Al seminario hanno partecipato circa 50 invitati, in massima parte esponenti del mondo bancario e imprese installatrici, ma la novità è stata proprio la diretta streaming effettuata attraverso la Web TV di Prevenzione Rapine e Furti, che ha visto ben 325 contatti televisivi, cioè un numero molto alto considerata la limitatezza dei soggetti potenzialmente interessati in questa materia, essenzialmente di natura specialistica.
L’esigenza di un serrato confronto in tema di biometria negli sportelli bancari, è nata dalla pubblicazione del nuovo Provvedimento generale sulla biometria e delle allegate Linee Guida a cura del Garante della Privacy, che è stato pubblicato sulla Gazzetta Ufficiale il 2 dicembre 2014.

ImprontaDigitaleWeb

Impointa digitale – Immagini a cura di PRF

Le nuove norme hanno innovato le regole già fissate dall’Autorità dopo lo specifico Provvedimento sulla rilevazione delle impronte digitali dei clienti all’accesso alle filiali bancarie, datato 2005.
Come ricorderanno gli esperti della materia, in quell’anno il Garante ha autorizzato la rilevazione delle impronte digitali dei clienti a scopo antirapina, in maniera di potere identificare eventuali malfattori.
In quella circostanza, sempre il Garante della Privacy aveva fissato delle regole severe, a partire dalla crittazione delle impronte e delle immagini, la cancellazione sicura dopo una settimana, l’isolamento dei sistemi informativi e l’istituzione di un soggetto di garanzia (il c.d. “vigilatore dei dati”), che custodisse le chiavi crittografiche in maniera da impedire utilizzi irregolari.
Inoltre, sempre l’Autorità della Privacy aveva precisato che l’impiego della biometria doveva essere limitato alle effettive, specifiche, esigenze di sicurezza del caso, ad esempio in occasione di altri eventi passati. Non a caso, negli anni successivi, il Garante ha sanzionato alcune banche per non avere rispettato appieno le disposzioni impartite.
Nel frattempo, l’ABI aveva emanato delle specifiche Linee Guida sulla materia, che erano servite da modello di riferimento al mondo industriale, tenuto conto delle differenti tipologie di soluzioni tecnologiche disponibili sul mercato.
Ma il nuovo Provvedimento generale sulla biometria ha innovato il sonnacchioso quadro di adempimenti previsti.
Anzitutto va precisato che essi non riguardano solo l’accesso dei clienti nelle banche, ma tutte le applicazioni biometriche eventualmente utilizzate nelle più disparate condizioni.
In effetti, il Garante ha inteso pronunciarsi su quattro categorie di sistemi:
1) l’autenticazione informatica;
2) il controllo accessi fisico ad aree “sensibili” e casi simili;
3) l’utilizzo a scopi facilitativi;
4) la sottoscrizione dei documenti informatici (la c.d. “firma grafometrica”).
Ovviamente il Provvedimento generale si occupa di numerosi casi di utilizzo della biometria, ma come Prevenzione Rapine e Furti vi segnaliamo, per ora, il caso della biometria nelle banche per l’accesso dei clienti alle filiali bancarie, ma adeguate misure debbono essere prese, per esempio, anche per l’utilizzo dei c.d. caveau biometrici e in altri casi.
Di queste categorie, la casistica della rilevazione delle impronte dei clienti rientra nel secondo punto, anche se deve essere chiaro che tale attività non è finalizzata ad un vero e proprio controllo accessi, ma a scopi dissuasivi o di repressione.
Chiunque tratti i dati biometrici con finalità o modalità non previste è comunque tenuto a presentare una istanza di verifica preliminare, altrimenti i trattamenti sono consentiti, alle condizioni che riassumiamo in forma sommaria.
Inoltre l’Autorità ha ben chiarito che i due provvedimenti, quello del 2005 e l’altro del 2014, non si annullano o cancellano ma, semplicemente, si integrano tra loro.
Tornando alle banche, il nuovo Provvedimento non ha modificato le regole, ma le ha senz’altro integrate e chiarite.
Citiamo, tra le altre, le novità più importanti:
– l’obbligo di Data breach, cioè di segnalazione al Garante di qualsiasi perdita o sottrazione dei dati biometrici, che va adempiuto entro 24 ore dal fatto;
– la capacità del sensore, di riconoscere la c.d. vivezza” del dito;
– una più adeguata definizione della c.d. “robustezza” delle chiavi crittografiche richieste, che debbono essere di una “lunghezza adeguata alla dimensione e al ciclo di vita dei dati” (questo significa che eventuali tentativi di accesso non devono consentire la forzatura delle chiavi, perché l’algoritmo deve essere progettato in maniera tale da resistere per lungo tempo, superirore al periodo di utilizzo di questi dati);
– la gestione dei file di log;
– la stesura di una relazione che descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare, verificata periodicamente e sul posto.
In alternativa, il Garante ha previsto anche l’impiego di sistemi certificati alla norma UNI CEI ISO/IEC 27001:2006 (sorprendentemente, non tenendo conto della nuova norma italiana del 2014), che però sono una casistica rara.
Infine, va segnalato che già nel Provvediemento del 2005 era stata richiamata adeguatamente la necessità, da parte dell’installatore, di rilasciare l’Attestazione di conformità, ai sensi della Regola 25 dell’all. B del D. Lgs.vo 196/03 (c.d. Disciplinare tecnico sulle misure minime di sicurezza). Di fatto questo documento, se predisposto adeguatamente, può agevolare grandemente la predisposizione della Relazione descrittiva già prima richiamata, ma ovviamente è importante redigere l’Attestazione in forma completa.
Infine: attenzione ai tempi di messa a regime: ci sono 180 giorni dalla pubblicazione sulla Gazzetta Ufficiale, quindi entro il 1 giugno 2015 tutto dovrà essere in regola!

 

I consulenti e i tecnici di Adeia Consulting restano a disposzione per ogni necessità dei clienti