Anche i c.d. caveau biometrici, cioè quando bisogna utilizzare l’impronta digitale per accedere alle cassette di sicurezza ed aprirle, dovranno essere in regola entro il 1 giugno 2015!

DitoSuLettoreWeb

Impronta su lettore digitale – Immagini di Adeia Consulting

I lettori di impronte digitali – Immagini di Prevenzione Rapine e FurtiIn effetti non è stato ancora affrontato adeguatamente, nonostante il lancio del nuovo Provvedimento generale sulla biometria e delle allegate Linee Guida a cura del Garante della Privacy, che è stato pubblicato sulla Gazzetta Ufficiale il 2 dicembre 2014.

Ecco perchè, come per l’accesso dei clienti nelle filiali bancarie (qui e qui), scatta la corsa all’adeguamento per l’impiego della biometria nei caveau bancari. Ma ci sono delle importanti differenze che è bene spiegare.

In effetti, a partire dal 2010, tre diversi provvedimenti del Garante (qui, qui e qui) hanno consentito la realizzazione di questi caveau, che consentono l’accesso alle cassette di sicurezza attraverso l’apposizione dell’impronta digitale e la digitazione di un PIN, più l’adozione di varie, altre, misure in materia.

Si tratta della classica procedura di “match on card, che riassumiamo di seguito:

– il cliente conferisce l’impronta digitale per il suo “enrollment“, la trasformazione in template (cioè nel modello biometrico dell’impronta conferita) e la memorizzazione (ovviamente in forma crittata) del dato di una smart card;

– al primo accesso, il cliente digita un PIN, poi introduce (o avvicina) la tessera verso una device, che legge il template, decrittandolo;

– immediatamente dopo il cliente viene invitato ad apporre l’impronta sul lettore collocato nella device, la quale a sua volta elabora il template;

– sempre la device effettua il matching (confronto) tra il template estratto dalla smart card e quello conferito nell’occasione, per verificarne una sufficiente somiglianza (i dati non sono mai identici) che consenta di dichiararne la corrispondenza (confornto 1:1);

– in caso positivo, si ha la certezza (sempre in termini approssimativi, perchè esiste sempre un sia pur bassissimo margine di errore) che “tizio” è quel che dichiara di essere (attraverso il PIN) e può attivarsi la procedura di rilascio automatizzato della cassetta di sicurezza, anche se va precisato che nei tre casi citati ci sono alcune differenze, ma la sostanza è quella che vi illustriamo.

Come coordinare le casistiche già autorizzate con quelle del Provvedimento generale sulla biometria? A questo proposito l’Autorità ha precisato che: “Le indicazioni relative al trattamento dei dati biometrici contenute nei precedenti provvedimenti del Garante … continuano ad applicarsi in quanto compatibili con le previsioni del presente provvedimento. I provvedimenti specifici di verifica preliminare sui quali il Garante ha già espresso le proprie valutazioni non dovranno essere oggetto di ulteriori istanze“.

Questo significa che quanto già consentito potrà essere proseguito senza ulterioripratiche burocratiche, ma è necessario applicare le cose “in più” che sono previste nel Provvedimento generale.

Quali, nel caso dei caveau biometrici? Bisogna andare avanti per passi.

Il Garante ha inteso pronunciarsi su quattro categorie di sistemi:
1) l’autenticazione informatica;
2) il controllo accessi fisico ad aree “sensibili” e casi simili;
3) l’utilizzo a scopi facilitativi;
4) la sottoscrizione dei documenti informatici (la c.d. “firma grafometrica”).

Per ognuna di queste casistiche il Garante ha dettato delle regole particolari e, purtroppo, non è chiaro quali di esse debbano rientrare nei caveau biometrici. In particolare, i precedenti provvedimenti sono stati adottati sia a scopi facilitativi che di controllo accessi di sicurezza (sia pure non per le persone, ma per gli oggetti contenuti nelle cassette di sicurezza).

Va però tenuto conto che, in termini generali, le regole per gli scopi facilitativi sono meno stringenti rispetto a quelli di sicurezza, quindi è opportuno applicare in ogni caso quelle più severe e, di queste, applicare quelle eventualmente non già previste con i provvedimenti finora autorizzati in casi specifici, già citati all’inizio.

Illustriamo, tra le altre, le novità più importanti:
– l’obbligo di Data breach, cioè di segnalazione al Garante di qualsiasi perdita o sottrazione dei dati biometrici, che va adempiuto entro 24 ore dal fatto;
– la capacità del sensore, di riconoscere la c.d. vivezza” del dito;
– una gestione dei supporti portatili (le smart card) dotati di adeguate capacità crittografiche (si veda dopo) e certificati per le funzionalità richieste in conformità alla norma tecnica ISO/IEC 15408 o FIPS 140-2 almeno level 3, più altre specifiche misure di protezione;
– una adeguata gestione delle chiavi crittografiche richieste, che debbono essere di una “lunghezza adeguata alla dimensione e al ciclo di vita dei dati” (questo significa che eventuali tentativi di accesso non devono consentire la forzatura delle chiavi, perché l’algoritmo deve essere progettato in maniera tale da resistere per lungo tempo, superirore al periodo di utilizzo di questi dati);
– implementare una adeguata gestione dei file di log;
– la stesura di una relazione che descrive gli aspetti tecnici e organizzativi delle misure messe in atto dal titolare, verificata periodicamente e sul posto. In alternativa, il Garante ha previsto anche l’impiego di sistemi certificati alla norma ISO/IEC 27001, che però sono una casistica rara.

Ancora, va segnalato che già nei provvediementi specifici rilasciati in tema di caveau biometrici era stata richiamata adeguatamente la necessità, da parte dell’installatore, di rilasciare l’Attestazione di conformità, ai sensi della Regola 25 dell’all. B del D. Lgs.vo 196/03 (c.d. Disciplinare tecnico sulle misure minime di sicurezza). Di fatto questo documento, se predisposto adeguatamente, può agevolare grandemente la predisposizione della Relazione descrittiva già prima richiamata, ma ovviamente è importante redigere l’Attestazione in forma completa.

Questo basta? Sicuramente si per le banche e gli sportelli già autorizzati. Ma come comportarsi per le altre realtà già realizzate nel tempo, magari anche con alcune differenze? Purtroppo la risposta non è univoca in quanto, per i soggetti non già autorizzati bisogna verificare, caso per caso, quando non è necessario fare altro (intendiamoci, oltre agli adempimenti già illustrati), ovvero sia comunque necessario presentare una istanza di Verifica preliminare, che in ogni caso costiuirebbe un adempimento semplice e non rischioso, trattandosi di un amateria già ampiamente trattata dal Garante.

Peraltro, sarebbe asupicabile che l’ABI, ovvero altri soggetti, prendessero contatto con l’Autorità Garante, allo scopo di presentare le “best practice” adottate in materia e consentire la diffuzione di linee guida generalizzate e condivise in materia, valide per tutti gli istituti bancari.

Una ultima precisazione. Esistono altre casistiche e, in particolare, un Provvedimento sui caveau biometrici in ambito non bancario. Di questo ne parleremo in futuro, come delle molte altre casistiche ancora da esaminare.

Infine: attenzione ai tempi di messa a regime: ci sono 180 giorni dalla pubblicazione sulla Gazzetta Ufficiale, quindi entro il 1 giugno 2015 tutto dovrà essere in regola!

I consulenti e i tecnici di Adeia Consulting restano a vostra disposzione per indicazioni e consulti