Nuovo capitolo nella lotta contro le frodi e i furti di identità. Di recente, su commissione di una banca, è stato creato un sistema di sicurezza che permette di analizzare le informazioni biometriche-comportamentali dei clienti, durante la navigazione nell’area riservata del sito web della banca. Su questo sistema si è espresso anche il Garante Privacy, a seguito di una richiesta di verifica di preliminare. Con un provvedimento, reso noto a luglio 2016, l’Autorità ha stabilito che, per contrastare il crescente numero di furti di identità o le frodi nell’internet banking, le banche potranno analizzare queste informazioni biometrico-comportamentali dei clienti, a condizione che sia tutelata la privacy dell’interessato.
Il sistema analizzato dal Garante, ha l’obiettivo di innalzare i livelli di sicurezza e protezione dei dati, rispetto a quelli già attualmente utilizzati, come ad esempio la password per l’accesso alle aree riservate o il codici PIN per effettuare le operazioni dal conto corrente.
Si tratta di un servizio ad elevato contenuto tecnologico, in grado di elevare i livelli di tutela attualmente previsti per l’utilizzo dei servizi di internet banking, sempre più esposti al rischio di furto di identità e di frodi.
Come funziona il sistema?
Esso è composto da un software e una componente veicolata al dispositivo. La logica di base si fonda sul fatto che la condotta dei clienti sul web risulta tendenzialmente naturale ed istintiva e difficilmente replicabile. Alla luce di ciò, la condotta rappresenta un possibile elemento di “identificazione”. La banca ritiene che un simile servizio consentirebbe di proteggere adeguatamente i clienti da eventuali accessi non autorizzati ai loro conti correnti.
Non appena il cliente avrà effettuato l’accesso all’area personale del sito web della banca, il sistema comincierà a raccogliere le informazioni sulle azioni spontanee dell’utente – come i movimenti del mouse, la pressione esercitata dal dito sul touch-screen, la velocità con cui si digita sulla tastiera, la lingua del sistema operativo. Grazie ai dati raccolti nelle varie sessioni di navigazione, all’interno dell’area riservata del sito, verrà creato un profilo comportamentale, il quale verrà associato al cliente tramite un codice identificativo univoco. Quindi, tutte le volte che il cliente effettuerà l’accesso alla propria area riservata, il sistema confronterà le caratteristiche della sua navigazione con quelle del profilo in memoria, in modo tale da verificarne l’identità e valutare se vi sia stato un tentativo di accesso illecito bloccando, eventualmente, le operazioni bancarie svolte all’istante.
L’opinione del Garante
Il Garante Privacy si è espresso favorevolmente in merito all’utilizzo di questi sistemi, viste le finalità che la banca intende perseguire, ovvero garantire maggiore sicurezza ai clienti che utilizzano sistemi di Home Banking. Tuttavia, è necessario che l’istituto rispetti tutte le normative in materia di Privacy, in modo da garantire la riservatezza delle informazioni dei propri clienti.
Questo particolare tipo di trattamento, che vede l’utilizzo di dati biometrici, potrà essere attivato solo su base volontaria, dopo aver fornito al cliente una completa informativa e aver ottenuto lo specifico consenso. Inoltre, il Garante sottolinea che la banca
“dovrà inoltre valutare con attenzione l’effettiva pertinenza e non eccedenza di tutti i ‘dati di navigazione’ astrattamente utilizzabili, configurando il sistema in modo tale da acquisire e trattare, fin dall’inizio, solo quelli strettamente necessari all’esecuzione del servizio”.
il Garante ha evidenziato – dopo un’attenta analisi delle caratteristiche principali del software – che il trattamento dei dati biometrici dei clienti risulta essere lecito e proporzionato rispetto alle finalità di prevenzione delle frodi.
Il partner tecnologico non avrà la possibilità di accedere alle schede anagrafiche dei clienti dell’istituto di credito. In questo modo, sarà impossibile risalire all’identità dei clienti e non potrà collegare i profili comportamentali dei clienti con le informazioni contenute in altre banche dati, in modo tale da evitare il rischio di trattamento illecito dei dati.
L’Autorità ha specificato che
“le informazioni raccolte per la creazione dei singoli profili comportamentali, inoltre, potranno essere conservate, in aderenza a quanto previsto dall’art. 11, comma 1, lett. e), del Codice, per l’intera durata del servizio, ferma restando la loro tempestiva cancellazione – che comunque dovrà intervenire entro 30 giorni – in caso di richiesta di cessazione da parte del cliente. I dati raccolti in occasione delle singole sessioni di navigazione, invece, dovranno essere immediatamente cancellati, come riferito, al termine delle previste operazioni di confronto”.
La necessità di un assessment preventivo
Questo tipo di sistema di sicurezza darà un contributo molto importante nella lotta contro le frodi informatiche e potrebbe essere utilizzato anche in altri settori, come ad esempio l’e-commerce. Tuttavia, è bene ricordare che le indicazioni del Garante, contenute nel provvedimento, sono specifiche per il caso concreto e quindi non universalmente valide, ovvero applicabili ad altri settori. Pertanto, vista la delicatezza dei dati raccolti per effettuare questo tipo di trattamento, è sempre opportuno svolgere un assessment caso per caso, necessario a capire di quali misure di sicurezza necessiti il servizio offerto, tali da evitare trattamenti eccessivi e invasivi.
In particolare l’assessment, oltre a valutare l’utilità di un simile trattamento, dovrebbe tenere conto dei rischi sussistenti nei confronti dell’interessato, il quale potrebbe subire gravi ripercussioni nella propria sfera personale. Oltre a quanto detto finora, è di fondamentale importanza che si tenga conto delle misure di sicurezza atte a prevenire il rischio di appropriazione indebita di dati biometrici. Oltre alle misure generali, previste dal Codice Privacy (artt. 33-34 e Allegato B), il Garante Privacy ne suggerisce altre come, ad esempio, la cifratura del dato biometrico.
Conclusioni
In conclusione possiamo dire che negli ultimi anni, a seguito di una evoluzione costante delle minacce di frodi informatiche, un simile sistema di sicurezza può rappresentare un grande progresso nella lotta al cyber crime. Grazie al continuo monitoraggio dell’attività del cliente e alla raccolta dati (e all’utilizzo di molti più parametri per analizzare tali dati), riesce a creare un profilo univoco e difficilmente replicabile, cosa che non avveniva con i sistemi cosiddetti ”tradizionali”.
Tuttavia è necessario che le aziende, che intendano dotarsi di tale sistema, effettuino un’analisi dettagliata sull’opportunità di utilizzarlo, vista la delicatezza dei dati trattati e le implicazioni legali ed organizzative che tali trattamenti comportano, in modo da tutelare la privacy degli interessati.
L'articolo Frodi bancarie: la biometria corre in aiuto, Privacy permettendo sembra essere il primo su Colin.