da Repubblica.it – La Privacy dà l’ultimo via libera al sistema di controlli biometrici che permettono di capire se siamo veramente noi ad entrare nel conto online. Tutte le garanzie per i cittadini.
ROMA – Entriamo nel servizio Internet della nostra banca, per vedere l’estratto conto, i movimenti della carta di credito, oppure per fare un bonifico. E la banca – grazie a un suo partner tecnologico e a software molto sofisticati – in un certo senso ci spia. Osserva i nostri comportamenti. Registra come muoviamo il mouse del computer, quanto a lungo premiamo con il dito sullo schermo del tablet, come reagiamo a un’improvvisa avaria che la banca stessa causa ad arte (quasi a provocarci). In questo modo, la banca e il suo partner tecnologico ricaveranno l’identikit dei nostri comportamenti sia consapevoli sia inconsci. Ad ogni nuovo collegamento, così, avranno facile gioco a capire se siamo proprio noi ad entrare nel conto corrente online; se viceversa un truffatore si è impossessato delle nostre password e credenziali per rubarci i soldi.
Ora – a distanza di un mese da un esame preliminare – il Garante per la Privacy afferma che questa tecnica di controllo “biometrico” è del tutto legittima. Con molta maggiore chiarezza, però, il Garante spiega che il cliente della banca deve essere perfettamente informato del fatto che sarà osservato. Quindi dovrà dare un consenso esplicito firmando un’informativa distinta e molto chiara nelle condizioni.
La banca che ha ideato questo sistema prende alcuni impegni che il Garante mostra di gradire. I dati che la banca raccoglie ad ogni nostra navigazione, ad esempio, viaggeranno verso i data base del partner tecnologico (che sono a Dublino, in Irlanda) lungo canali criptati. E gli stessi data base saranno protetti da possibili intrusioni. Soprattutto il partner tecnologico non potrà accedere ai dati anagrafici dei clienti della banca. Questa barriera gli impedirà di collegare un determinato comportamento ad un nome, ad un volto.
Il Garante interviene per precisare altri paletti. L’osservazione del cliente servirà a recuperare i soli dati indispensabili a mettere in piedi questo sistema di sicurezza. Via via, che il cliente naviga, lo studio delle sue azioni si farà meno invasivo e puntuale (visto che il suo identikit sarà ormai delineato). I dati sulla singola navigazione saranno conservati per il tempo necessario a scoprire eventuali anomalie. Poi saranno cancellati. E l’identikit comportamentale, anch’esso verrà azzerato subito nel caso il cliente chiuda il conto corrente oppure rinunci ai servizi via Internet. Subito significa entro massimo trenta giorni, come prevede la legge.
La legittimità di questa tecnica, a giudizio del Garante va rintracciata in una serie di sentenze dei Tribunali italiani, di Firenze e Bari nel 2014, di Siracusa nel 2012, di Palermo del 2010. Questi tribunali hanno stabilito che la banca è tenuta a mettere in campo dei muri anche innovativi e sofisticati contro possibili truffe e intrusioni. Il controllo biometrico – che si basa su “calcoli probabilistici e algoritmi di autoapprendimento” – è prova dello scrupolo dell’istituto bancario nella protezione del suo cliente. Inviti a tutele adeguate sono arrivati, d’altra parte, anche dalla Bce e dalla stessa Bankitalia.
Tenere il tablet in una posizione irrituale, utilizzare un browser mai usato prima, digitare la tastiera molto più lentamente del solito. Quando la banca nota azioni anomale nella persona che entra in un conto corrente online attiverà una serie di procedure d’emergenza. Può inviarci una e-mail oppure un sms per informarci dell’accesso al conto, e addirittura impedire le “operazioni dispositive”. Vieterà, in altre parole, l’uscita anche solo di un euro dal nostro contro.
Photo by Silvio Naef 