Il Garante per la protezione dei dati personali, in data 6 marzo 2014, ha reso noto di essere intervenuto, a seguito di verifica preliminare,  sul tema della firma biometrica, autorizzando Banca Generali S.p.A e Fineco Bank s.p.a ad utilizzare  due nuovi sistemi per la firma dei clienti sui tablet dei promotori finanziari.

In particolare, in relazione a Banca Generali spa, il Garante ha riconosciuto al promotore finanziario la possibilità di far  firmare il cliente sul tablet a fini di riconoscimento. L’analisi delle caratteristiche “dinamiche” della firma  apposta sul tablet (pressione, accelerazione e inclinazione) viene confrontata con i parametri già acquisiti da una società di certificazione. In caso di corrispondenza, il cliente viene così autenticato e può sottoscrivere con un’apposita firma digitale il contratto proposto dall’operatore finanziario.

In tal senso, pertanto, il Garante ha imposto alla Banca Generali s.p.a di modificare l’informativa da rendere agli interessati nella parte relativa al profilo della co-titolarità del trattamento dei dati biometrici  con Telecom Italia Trust Technologies s.r.l. , precisando meglio le finalità del trattamento medesimo da parte della banca stessa (art. 13 del Codice privacy); di emendare la modulistica concernente la “richiesta di attivazione del servizio di «firma sicura biometrica»”, precisando che il soggetto che compie, in concreto, le operazioni relative a “il confronto, la conseguente conservazione dei dati biometrici e, in generale, l’apposizione della firma digitale” è Telecom Italia Trust Technologies s.r.l.; e infine di acquisire un consenso realmente libero da parte dei firmatari, in aderenza a quanto disposto dall’art. 23 del Codice privacy.

Inoltre, il Garante ha imposto alla banca  di conservare i dati biometrici degli interessati (e, in particolare, gli specimen raccolti quale termine di raffronto per le successive operazioni di autenticazione) per il periodo di tempo non superiore agli scopi per i quali gli stessi sono stati raccolti e successivamente trattati (art. 11, comma 1, lett. e), del Codice privacy). In particolare, gli specimen raccolti quale termine di raffronto per le successive operazioni di autenticazione potranno essere conservati per il solo periodo di tempo strettamente correlato alla durata del servizio, dopodiché dovranno essere cancellati, sia pure nel rispetto dei tempi tecnici a tal fine necessari. Resta salva, ovviamente, la necessità di una loro ulteriore conservazione in ragione di specifiche previsioni di legge o per la tutela di un diritto in sede giudiziaria.

Con riferimento a Fineco Bank s.p.a, invece, il Garante ha ritenuto legittimo l’impiego di un sistema che prevede che la firma (cosiddetta “grafometrica”) apposta sul tablet per sottoscrivere direttamente il documento attraverso modalità eventualmente riconducibili a una firma elettronica avanzata.

Una volta sottoscritto, il contratto viene poi inviato e conservato in modalità cifrata da società incaricate della gestione documentale. In caso di contenzioso, e solo su specifica richiesta dell’autorità giudiziaria, questo sistema consente di utilizzare i dati biometrici raccolti per poter riprodurre in chiaro la firma di fronte a un perito grafologo che possa certificarne l’autenticità.

Il Garante ha comunque imposto alla banca di adottare inter alia gli ulteriori presidi tecnici e organizzativi di sicurezza a protezione dei dati biometrici degli interessati e, segnatamente idonee misure volte a ridurre i rischi di installazione abusiva di software o di modificazione della configurazione dei dispositivi in dotazione ai promotori, adottando altresì ogni accorgimento utile a contrastare l’azione di eventuali agenti malevoli (malware); e un sistema di gestione dei dispositivi impiegati nei trattamenti grafometrici basato su certificazioni digitali e policy di sicurezza che disciplinino, sulla base di criteri predeterminati, le condizioni di loro utilizzo sicuro.

Infine, il Garante ha prescritto che dovranno risultare disponibili funzionalità di remote wiping applicabili nei casi di smarrimento o sottrazione dei dispositivi; e adeguate policy per la gestione degli incidenti di sicurezza nell’ambito delle diverse fasi del processo biometrico/grafometrico.