NEWSLETTER N. 417 del 14 luglio 2016 • Internet banking: analisi

NEWSLETTER N. 417 del 14 luglio 2016
• Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy
• Per invio dati sanitari piloti a compagnie aeree occorre integrare i regolamenti
• Newsletter promozionali: no senza consenso
Internet banking: analisi comportamentale contro le frodi, ma rispettare privacy
Per combattere i furti di identità o le frodi nell'internet banking, una banca potrà
analizzare informazioni biometrico-comportamentali dei clienti, quali la pressione sul
touch screen o i movimenti del mouse, in occasione della loro "navigazione" nell'area
privata del proprio sito web.
Il sistema, sottoposto al Garante della privacy per una verifica preliminare [doc. web
n. 5252271], si propone di innalzare i livelli di tutela attualmente previsti(come
password per l'accesso al conto corrente on line, oppure one time password per
bonifici e altre operazioni) con nuove modalità di "identificazione" dell'utente.
Per raggiungere tale obiettivo, l'istituto di credito ha chiesto a un partner tecnologico
di generare profili univoci dei propri clienti basati sull'analisi del loro comportamento
durante le operazioni svolte nell'area riservata del sito di internet banking. La società,
in una prima fase, raccoglie informazioni su azioni spontanee dell'utente, come i
movimenti del mouse (incluse reazioni inconsce a "interferenze" prodotte
appositamente dal sistema), la pressione del dito su schermi tattili, oppure la velocità
di digitazione sulla tastiera. Tali dati biometrici sono combinati con altre informazioni
relative alla tecnologia usata per collegarsi (pc, tablet, smartphone), come i parametri
del sistema operativo e del browser di navigazione.
Ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a
comparare le caratteristiche della sua navigazione sul sito con quelle associate al
profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti
on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.
Il Garante ha riconosciuto l'importanza delle finalità perseguite dalla banca a garanzia
della sicurezza dei servizi on-line ma, proprio per la delicatezza dei dati personali
trattati, ha vincolato l'attivazione del nuovo sistema alla rigorosa osservanza delle
misure individuate a tutela della privacy degli interessati.
La banca, ad esempio, potrà attivare il sistema di verifica biometrico-comportamentale
solamente su base volontaria, dopo aver fornito al cliente una completa informativa e
averne ottenuto lo specifico consenso. Dovrà inoltre valutare con attenzione l'effettiva
pertinenza e non eccedenza di tutti i "dati di navigazione" astrattamente utilizzabili,
configurando il sistema in modo tale da acquisire e trattare, fin dall'inizio, solo quelli
strettamente necessari all'esecuzione del servizio.
Il partner tecnologico non avrà accesso alle schede anagrafiche dei clienti dell'istituto
di credito in modo tale da non poter risalire alla loro identità e, in ogni caso, non potrà
interconnettere i profili comportamentali con le informazioni contenute in altre banche
dati, così da scongiurare il rischio di trattamenti illeciti.
Sono state inoltre definite precise misure di sicurezza e limiti ai tempi di
conservazione dei dati raccolti per la fornitura del servizio, garantendo comunque gli
adempimenti previsti da specifiche normative di settore e la tutela di eventuali diritti in
sede giudiziaria.
Per invio dati sanitari piloti a compagnie aeree occorre integrare i regolamenti
Ministero della salute ed Enac potranno comunicare al medico di una compagnia aerea
i dati sanitari dei piloti acquisiti in fase di rilascio delle licenze aereonautiche per
l'aviazione civile, integrando i regolamenti sui dati sensibili già adottati. Questo è il
parere [doc. web n. 5149198] del Garante per la protezione dei dati personali al
Ministero della Salute in merito ad una richiesta, avanzata da Alitalia allo stesso
Ministero e all'Enac, di poter avere accesso a tale specifica documentazione allo scopo
di implementare e perfezionare l'attività di sorveglianza sanitaria sui piloti e i relativi
giudizi di idoneità.
All'esito dell'istruttoria, l'Autorità ha riconosciuto l'importanza di tale scambio di dati