Registro dei provvedimenti
n. 256 del 9 giugno 2016
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;
VISTO il d.lgs. 30 giugno 2003, n. 196, recante il "Codice in materia di protezione dei dati personali" (di seguito "Codice");
VISTO il provvedimento prescrittivo generale in tema di biometria adottato dal Garante il 12 novembre 2014 e sue successive modifiche (pubblicato in G.U. n. 280 del 2 dicembre 2014; disponibile in www.gpdp.it, doc. web n. 3556992);
VISTE le "Linee guida per trattamenti dati relativi al rapporto banca-clientela" adottate dal Garante il 25 ottobre 2007 (in G.U. n. 273 del 23 novembre 2007; doc. web n. 1457247);
VISTE la richiesta di verifica preliminare presentata da XY ai sensi dell'art. 17 del Codice, nonché le note successivamente inviate dalla società;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Antonello Soro;
PREMESSO
1. Il sistema oggetto dell'istanza.
1.1. XY, con nota dell'11 febbraio 2014 (regolarizzata in data 27 luglio 2015 e integrata con comunicazioni del 10 novembre 2014, del 5 gennaio e 27 luglio 2015, del 15 gennaio, 1° febbraio e 18 aprile 2016), ha presentato al Garante una richiesta di verifica preliminare ex art. 17 del Codice relativamente al trattamento derivante dal prospettato utilizzo di un sistema di rilevazione di dati personali e biometrici basato sull'analisi comportamentale dei clienti in occasione della loro "navigazione" nell'area privata del proprio sito web. Attraverso un sofisticato software in grado di registrare le attività dell'utente e la sua interazione con i dispositivi utilizzati (per una più dettagliata descrizione dei dati acquisiti dal sistema, v. infra), la banca intenderebbe offrire ai propri clienti un servizio ad elevato contenuto tecnologico in grado di innalzare i livelli di tutela attualmente previsti per l'utilizzo dei servizi di internet banking (login e password per l'accesso all'area privata del sito e one time password per le operazioni dispositive sul conto corrente), sempre più esposti al rischio di attacchi del tipo "identity theft" (furto di identità).
Muovendo dall'assunto che la condotta dei clienti sul web, in quanto naturale, istintiva e non agevolmente replicabile, rappresenti un possibile elemento di "identificazione" degli interessati, la banca ritiene che il servizio di seguito descritto consentirebbe di proteggere adeguatamente costoro da eventuali accessi indebiti ai loro conti correnti, permettendo di attivare tempestivamente, in presenza di presunti comportamenti fraudolenti, le opportune contromisure a tutela dei medesimi (invio di "alert" tramite sms o email; inibizione delle operazioni dispositive; ecc.).
Tale servizio, fruibile da qualunque dispositivo nella disponibilità degli aderenti (pc, smarthphone e tablet), si articolerebbe come segue.
1.2. Il cliente, previa visione e accettazione del contratto di servizio, dell'apposita informativa sul connesso trattamento di dati personali e dietro rilascio di uno specifico consenso, accederebbe all'area personale del sito della banca attraverso le proprie credenziali di autenticazione. Eseguito l'accesso, il sistema, tramite un'apposita componente veicolata sul dispositivo, comincerebbe a registrare le informazioni relative alla navigazione web e all'interazione con lo strumento –tra cui le attività del "mouse" o del "dito" (posizione sullo schermo; traiettorie effettuate; azioni eseguite; ecc.); la pressione sullo schermo e/o sui tasti; la velocità di digitazione della tastiera; l'orientamento del device; la lingua del sistema operativo; taluni parametri del "browser" (versione; plug-in installati; time-zone; ecc.); le reazioni inconsce a "interferenze" artatamente prodotte dal software (modifiche impercettibili della traiettoria del "mouse"; scomparsa temporanea del cursore; ecc.)– sì da creare, nel corso di più sessioni, un primo "profilo" comportamentale associabile al cliente tramite un codice identificativo univoco. Tale profilo, costituito da un "punteggio" ricavato applicando ai parametri sopra evidenziati calcoli probabilistici e algoritmi di autoapprendimento, verrebbe ulteriormente "affinato" dal sistema sulla base delle rilevazioni effettuate nel corso del tempo, sì da renderlo sempre più accurato e rispondente al quadro comportamentale dell'interessato (v. anche punto 1.6).
1.3. Nel corso delle ulteriori operazioni di accesso al sito, il sistema, verificate le credenziali di autenticazione utilizzate, provvederebbe ad analizzare i "dati di navigazione" dell'utente −relativi alla sola area privata del sito web della banca e non superiori a trenta minuti di operatività− per appurarne l'eventuale rispondenza al profilo comportamentale collegato al cliente. Più precisamente, il sistema provvederebbe a comparare i "punteggi" ottenuti nelle singole sessioni di navigazione con quello attribuito a quest'ultimo a seguito della sua adesione al servizio, valutandone il margine di (in)compatibilità in rapporto a eventuali "scostamenti" e inviando, a tal fine, un apposito "feedback" alla banca; in caso di profili (id est: punteggi) significativamente divergenti –e, dunque, potenzialmente sintomatici di accessi indebiti al conto corrente online−, quest'ultima provvederebbe, a tutela (anche) del cliente e previa valutazione degli elementi trasmessi, ad avviare le opportune iniziative di mitigazione del rischio (che spaziano, come detto, dall'inoltro di avvisi secondo modalità differenziate all'inibizione delle operazioni dispositive sul conto corrente dell'interessato).
1.4. Le operazioni di raccolta, elaborazione e confronto dei dati verrebbero effettuate da KW, società operante nel settore della sicurezza informatica e fornitrice del servizio in questione.
I profili associati ai singoli clienti verrebbero memorizzati, unitamente ai relativi codici identificativi, all'interno del data center della società, ospitato in Dublino presso un'apposita infrastruttura hardware e di connettività fornita da JH. Non sarebbe prevista, invece, la raccolta dei loro dati anagrafici, registrati e conservati unicamente nei sistemi informativi di XY.
I profili dei clienti elaborati a seguito della loro adesione al servizio verrebbero conservati nel database in modalità cifrata, al pari dei corrispondenti codici identificativi, salvati sotto forma di "hash" non reversibili. I dati raccolti dai singoli dispositivi, inoltre, verrebbero trasmessi al suddetto data center su canali crittografati, utilizzando reti di comunicazione protette da riconosciuti standard di sicurezza.
L'accesso alle informazioni e ai locali del data center sarebbe consentito a un numero ristretto di operatori, obbligati a modificare periodicamente le proprie credenziali e con permessi limitati sui dati e sul sistema. Verrebbero adottate, inoltre, specifiche misure anti-intrusione (tra cui l'utilizzo di firewall e filtering routers) in grado di ridurre, unitamente alle menzionate tecniche di crittografia dei dati, il rischio di ipotetiche vulnerabilità, comunque oggetto di periodico monitoraggio anche a mezzo di auditing formali. L'accesso ai dati e al sistema sarebbe tracciato attraverso apposite funzionalità.
1.5. Il servizio, per come strutturato, consentirebbe di trattare i dati concernenti la navigazione web dei clienti in forma disgiunta dai relativi dati anagrafici: KW, infatti, si limiterebbe ad acquisire e ad elaborare le informazioni senza possibilità di ricollegarle in alcun modo −nemmeno tramite il codice univoco fornito da XY in occasione delle singole sessioni di navigazione− alle identità anagrafiche dei clienti (registrate, come detto, esclusivamente nei sistemi informativi della banca e conosciute unicamente da quest'ultima); XY, per contro, non tratterebbe direttamente i "dati di navigazione" dei clienti, ricevendo da KW unicamente il "punteggio" da questa ricavato, di volta in volta, sulla base delle singole rilevazioni effettuate.
Ad ulteriore garanzia degli interessati, i profili comportamentali dei clienti verrebbero archiviati in un database "dedicato" e separato, sì da evitare che la società fornitrice del servizio possa risalire, sia pure indirettamente (ad esempio, attraverso un'ipotetica interconnessione con altri archivi riconducibili a KW), alle loro identità.
Quanto a JH, quest'ultima si limiterebbe a eventuali interventi manutentivi sull'infrastruttura ospitante il database di KW (contenente, come detto, solo profili non direttamente identificati e memorizzati in forma cifrata), senza accedere "al contenuto dei server/delle basi dati". Parimenti, nessun trattamento collegato al servizio in esame verrebbe svolto dal KY, individuato da XY quale mero fornitore del servizio di "housing" relativamente al proprio data center.
Con riferimento, infine, all'eventuale (ipotetica) identificabilità di utenti diversi dai clienti aderenti al servizio, la banca si è limitata a dichiarare che il sistema, per come configurato, non consentirebbe tale possibilità.
1.6. L'utilizzo del servizio, a detta della richiedente, si renderebbe necessario, nella prospettata assenza di validi strumenti alternativi, per contrastare efficacemente il rischio di possibili attacchi informatici (sempre più invasivi e sofisticati) in danno del proprio sistema di internet banking. Inoltre, l'erogazione di servizi bancari per via telematica, in ragione delle sue peculiarità, non potrebbe che richiedere, a tutela dei clienti e della stessa banca, tecniche di controllo basate sul monitoraggio del sito e del suo scenario d'uso, che consentano di distinguere con certezza i soggetti legittimati da eventuali malintenzionati.
In tale ottica, il servizio considerato si riprometterebbe, appunto, di individuare presunti tentativi di intrusione nei conti correnti online dei clienti attraverso una profilazione accurata della navigazione web degli utenti, mediante acquisizione di un significativo numero di informazioni rilevanti allo scopo. Tali informazioni, ivi comprese quelle biometrico-comportamentali di natura inconscia, sarebbero complessivamente necessarie, nella prospettiva indicata, per permettere un efficace funzionamento del sistema –altrimenti privo di un modello statistico efficiente−, oltre che per ovviare a possibili criticità legate, ad esempio, all'agevole reperibilità sul mercato di soluzioni in grado di replicare alcune azioni dell'utente (in particolare, il movimento del mouse).
Non tutti i dati conoscibili dal sistema, peraltro, verrebbero concretamente utilizzati per la creazione dei singoli profili; a seguito del già citato processo di "affinamento" (v. punto 1.2.), infatti, il sistema provvederebbe, nel tempo, a "selezionare" dinamicamente le informazioni utilizzabili allo scopo, acquisendo il solo "subset" di dati funzionale in rapporto ai singoli clienti e al contesto d'uso dei relativi dispositivi (ad esempio, l'utilizzo principale della tastiera da parte dell'aderente comporterebbe l'acquisizione progressiva delle sole informazioni inerenti a tale impiego). La banca ha dichiarato, in ogni caso, di poter richiedere a KW, antecedentemente all'inizio del trattamento, "che uno o più dati non vengano memorizzati nel database" della società; "tali dati", di conseguenza, "non ve[rrebber]o utilizzati per creare i[…] profil[i] d[egli] utent[i]".
1.7. La soluzione proposta, come detto, andrebbe a rafforzare i presidi di sicurezza attualmente disponibili sul sito internet della banca. Le informazioni (anche biometriche) connesse al suo utilizzo, correlativamente, verrebbero utilizzate unicamente per prevenire o ridurre eventuali tentativi di illecito in danno, anzitutto, dei clienti.
Il trattamento dei dati di questi ultimi avverrebbe solo dietro rilascio di un'apposita informativa preventiva (distinta da quella utilizzata per l'instaurazione del rapporto bancario) e acquisizione del loro consenso al trattamento (anch'esso distinto da quello richiesto per l'erogazione dei servizi). I moduli di attivazione del servizio, contenenti anche l'informativa "privacy" e il consenso degli interessati, verrebbero conservati dalla banca, al termine del contratto, per un periodo non superiore a dieci anni, in analogia con i vigenti termini prescrizionali; i dati comportamentali utilizzati in occasione delle singole sessioni di navigazione, invece, verrebbero conservati il tempo strettamente necessario a garantire il confronto con il profilo originariamente memorizzato e prontamente cancellati o distrutti al termine delle relative operazioni. In caso di richiesta di cessazione del servizio, la banca provvederebbe all'immediata cancellazione del profilo del cliente o, comunque, non oltre 30 giorni dalla stessa richiesta di cessazione.
Titolare del trattamento sarebbe XY, che provvederebbe alla relativa notifica, in conformità agli artt. 37 e 38 del Codice, antecedentemente al suo inizio; le relative operazioni, inoltre, verrebbero effettuate da incaricati formalmente designati e istruiti ai sensi dell'art. 30 del Codice. KW e KY, pur non trattando informazioni relative a soggetti dagli stessi identificabili, opererebbero in qualità di responsabili ex art. 29 del Codice.
2. Le valutazioni dell'Autorità.
2.1. Il sistema che XY vorrebbe utilizzare a vantaggio (anche) dei propri clienti comporta un trattamento di dati personali e biometrici soggetto alla disciplina del Codice (sulla nozione di "dato biometrico" e sull'utilizzo di caratteristiche comportamentali nell'ambito di sistemi anche multimodali, v. le "linee-guida in materia di riconoscimento biometrico e firma grafometrica" di cui all'allegato "A" al provvedimento generale del Garante del 12 novembre 2014, nonché il "Parere 4/2007 sul concetto di dati personali", WP 136, e il "Parere 3/2012 sugli sviluppi nelle tecnologie biometriche", WP 193, resi dal Gruppo di lavoro articolo 29 per la protezione dei dati). Occorre pertanto valutare, in tale prospettiva, se tale trattamento sia rispondente, anzitutto, ai princìpi di liceità, finalità, necessità e proporzionalità stabiliti dal d.lgs. n. 196/2003 (artt. 3 e 11, comma 1, lett. a), b), e d) del Codice); ciò, non senza ribadire, tuttavia, che l'utilizzo di dati biometrici −come sottolineato, anche di recente, da questa Autorità (v. Provv. 25 febbraio 2016 [doc. web n. 4807744])− può ritenersi giustificato, in linea di principio, solo in casi particolari, in relazione alle finalità e al contesto in cui gli stessi vengono trattati.
2.2. Per quanto attiene alla fattispecie in esame, non vi è dubbio che le finalità perseguite dalla banca –innalzare gli standard di sicurezza relativi alla navigazione sul proprio sito web nell'interesse, tra l'altro, degli stessi clienti– siano da ritenersi lecite.
Al riguardo, occorre anzitutto premettere, in termini generali, che in base all'orientamento giurisprudenziale prevalente la diligenza esigibile dall'operatore bancario nei rapporti con la clientela "deve essere qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale dell'agente consente e richiede" (ex multis: Trib. Firenze 3 novembre 2014; Trib. Asti 3 settembre 2012; Cass. 24 settembre 2009, n. 20543; v. anche Trib. Palermo 17 luglio 2015; Trib. Verona 2 ottobre 2012; Cass. 12 giugno 2007, n. 13777); in tale prospettiva, la carenza di un adeguato livello di protezione dei dati e dei sistemi informatici da parte degli operatori bancari, oltre ad assurgere a possibile fonte di responsabilità per questi ultimi (v. pure Trib. Firenze 20 maggio 2014), può talora acquisire rilevanza anche ai sensi degli artt. 15 e 31 del Codice (in tal senso, Trib. Bari 5 febbraio 2014; Trib. Siracusa 15 marzo 2012; Trib. Palermo 12 gennaio 2010), anzitutto in termini di omessa adozione, a fronte di minacce informatiche sempre più pervasive e sofisticate, di idonee contromisure parimenti evolute in rapporto al progresso tecnico (v., altresì, Trib. Milano 4 dicembre 2014 e Trib. Bari 5 febbraio 2014, cit.).
In tale cornice si innesta, poi, la disciplina di cui al d.lgs. n. 11/2010 (invero relativa, più in generale, ai servizi di pagamento), che oltre a prevedere specifiche responsabilità in capo ai prestatori di tali servizi (tra cui le banche), stabilisce per questi ultimi, tra l'altro, la possibilità di "trattare dati personali ove ciò sia necessario a prevenire, individuare e indagare casi di frode nei pagamenti" (art. 29). Occorre tener conto, infine, delle specifiche indicazioni fornite in materia dalla Banca Centrale Europea (cfr. "Orientamenti finali sulla sicurezza dei pagamenti via Internet" del 19 dicembre 2014), e quelle risultanti dal Documento per la consultazione – "Recepimento in Italia degli orientamenti dell'ABE in materia di sicurezza dei pagamenti tramite canale internet" (Agosto 2015) adottato dalla Banca d'Italia, che mirano, tra l'altro, a: rafforzare gli obblighi di verifica dell'identità dei clienti (c.d. autenticazione forte) per l'avvio di operazioni di pagamento; promuovere l'adozione di meccanismi di monitoraggio delle attività al fine di prevenire, identificare o bloccare eventuali operazioni fraudolente; assicurare la predisposizione di specifici strumenti di mitigazione dei rischi, anche attraverso livelli multipli di controllo.
2.3. Dal punto di vista tecnico, gli approfondimenti effettuati dall'Ufficio rispetto alle più recenti tipologie di minacce informatiche (sia pure rilevate e/o diffuse in altre aree geografiche) hanno evidenziato un'ipotetica vulnerabilità dei "tradizionali" sistemi di difesa attualmente operanti in ambito bancario, specie se basati su tecniche di monitoraggio che utilizzano parametri di riferimento numericamente circoscritti (ad esempio, l'identificativo del dispositivo e/o la zona geografica di connessione). In tale ottica, il sistema che XY vorrebbe utilizzare a fini antifrode si caratterizza, invece, per la raccolta di una molteplicità di parametri e per un elevato livello di accuratezza nell'elaborazione dei profili comportamentali dei clienti tale da far ipotizzare, nella prospettiva indicata, un suo possibile (più) efficace impiego nelle attività di contrasto all'illecita utilizzazione dei servizi di internet banking.
2.4. Alla luce del quadro sopra delineato e dei menzionati approfondimenti tecnici, il trattamento di dati anche biometrici connesso al sistema descritto, effettuato dalla banca su base esclusivamente volontaria, appare lecito e proporzionato (artt. 11, comma 1, lett. a) e d), del Codice); e ciò, a fortiori, in ragione del fatto che un'efficace gestione della sicurezza informatica, al di là dei rilevanti profili connessi all'applicazione delle vigenti disposizioni di legge (artt. 31 e ss. del Codice; allegato "B" al Codice medesimo; v. anche le Linee guida in materia di trattamento di dati personali della clientela in ambito bancario, cit., nonché Provv. 19 novembre 2003 [doc. web n. 1083182]), può effettivamente contribuire, nell'ambito qui considerato, a ridurre il rischio di illeciti in danno dei clienti e della stessa banca.
In ragione di ciò, XY potrà trattare i "dati di navigazione" della clientela (ivi compresi, eccezionalmente, quelli biometrici) nei limiti in cui ciò risulti strettamente necessario all'esecuzione del servizio, attenendosi rigorosamente alle modalità indicate e in scrupolosa osservanza degli adempimenti richiesti, anzitutto, in tema di informativa e consenso (artt. 11, comma 1, lett. a), 13 e 23 del Codice). A tale ultimo riguardo, peraltro, le dichiarazioni rese dalla banca –che si è impegnata, come detto (cfr. par. 1.2), a fornire la prevista informativa e ad acquisire il consenso degli interessati già in occasione della loro adesione al servizio– appaiono in linea con il quadro normativo vigente.
Per altro verso, il sistema appare poi coerente con il principio di necessità (art. 3 del Codice), nella misura in cui consente di trattare i "dati di navigazione" dei clienti in forma "disgiunta" dai relativi dati anagrafici (nello stesso senso Provv. 23 gennaio 2014 [doc. web n. 2938921]; Provv. 31 gennaio 2013 [doc. web n. 2311886]). Inoltre, appare rispondente al principio di proporzionalità (art. 11, comma 1, lett. d), del Codice) la creazione di "profili" basati su processi di "selezione" dinamica delle informazioni, in grado di ridurre progressivamente la raccolta dei dati in funzione del quadro comportamentale associato al singolo cliente.
Nel rispetto dei suddetti princìpi, si raccomanda tuttavia a XY, anche alla luce delle dichiarazioni rese sul punto (cfr. precedente punto 1.6), di configurare ab origine il sistema in maniera tale da acquisire il minor numero di informazioni utile allo scopo, valutandone l'effettiva pertinenza e non eccedenza in rapporto alle finalità perseguite (determinate, esplicite e legittime: art. 11, comma 1, lett. b), del Codice).
Per quanto attiene, invece, alla sicurezza dei dati, le risultanze in atti non hanno evidenziato, sulla base dei pareri tecnici acquisiti, specifici profili di criticità, comunque tali da giustificare la prescrizione di misure ulteriori rispetto a quelle dichiarate; ciò, anche in virtù delle riferite modalità di raccolta e utilizzo delle informazioni, tali da comportare, come detto, un "disaccoppiamento" tra i "dati di navigazione" della clientela e le relative identità anagrafiche. Resta inteso, ovviamente, che il database contenente i profili comportamentali dei clienti della banca non dovrà essere in alcun modo interconnesso con altre banche di dati, sì da scongiurare, anche solo in linea teorica, il rischio di un eventuale utilizzo dei dati in termini non conformi a quelli indicati.
Le informazioni raccolte per la creazione dei singoli profili comportamentali, inoltre, potranno essere conservate, in aderenza a quanto previsto dall'art. 11, comma 1, lett. e), del Codice, per l'intera durata del servizio, ferma restando la loro tempestiva cancellazione – che comunque dovrà intervenire entro 30 giorni - in caso di richiesta di cessazione da parte del cliente. I dati raccolti in occasione delle singole sessioni di navigazione, invece, dovranno essere immediatamente cancellati, come riferito, al termine delle previste operazioni di confronto. Restano salvi, ovviamente, eventuali diversi termini previsti da specifiche normative di settore, ovvero funzionali alla tutela di eventuali diritti in sede giudiziaria.
Nel prendere atto, infine, che il trattamento sarà preceduto dalla prevista notifica in conformità agli artt. 37 e 38 del Codice, si richiama XY all'osservanza più scrupolosa dei princìpi del Codice, ricordando che i dati non potranno essere in alcun modo utilizzati per finalità diverse da quelle dichiarate, o comunque in operazioni di trattamento non compatibili con gli scopi originari della raccolta (art. 11, comma 1, lett. b), del Codice, cit.).
L'odierno provvedimento, reso sulla base delle dichiarazioni e della documentazione prodotta anche ai sensi dell'art. 168 del Codice, riguarda unicamente i trattamenti effettuati da XY in ordine ai "dati di navigazione" dei propri clienti; restano esclusi, pertanto, eventuali ipotetici trattamenti relativi alla navigazione web di utenti diversi da quelli sopra menzionati.
TUTTO CIÒ PREMESSO, IL GARANTE
esaminata la richiesta di verifica preliminare presentata da XY ai sensi dell'art. 17 del Codice, ammette, nei termini di cui in motivazione, il trattamento di dati personali e biometrici connesso all'utilizzo del sistema descritto.
Ai sensi degli articoli 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 9 giugno 2016
IL PRESIDENTE
Soro
IL RELATORE
Soro
IL SEGRETARIO GENERALE
Busia