Con l’avvento dei sistemi di intelligenza artificiale che, come ben noto, sono preordinati a nutrirsi di dati al fine di condividerli con terzi, i problemi di sicurezza relativi ai dati biometrici sono esponenzialmente aumentati.
Poiché possibili soluzioni atte a garantire una maggiore sicurezza certamente non mancano, sarebbe bene che il legislatore intervenisse con una certa celerità nel merito del problema, trovando strumenti adeguati sotto tutti i diversi e complessi profili interessati. Ecco la situazione.
Dati biometrici, quali sono e cosa dice la legge
Il termine “dati biometrici” postula il riferimento diretto ed immediato a speciali categorie di dati che sono strutturalmente preordinati all’analisi delle caratteristiche di tipo fisico, fisiologico e/o comportamentale di una persona. Rientrano in tale paradigma di riferimento le impronte digitali, i tratti del viso, i modelli vocali, le scansioni dell’iride o della retina, l’andatura, l’andamento posturale di una persona ed addirittura la sua grafia.
I dati biometrici, in molti ordinamenti, sono stati equiparati ai dati personali proprio perché riguardano le caratteristiche fisiche, fisiologiche e/o comportamentali che rendono ciascun individuo unico nel suo genere.
La normativa europea e italiana
A livello europeo, tali categorie di dati sono disciplinate dall’art. 9 del GDPR (Reg. UE 679/2016)[1] e la loro utilizzazione presuppone necessariamente la preventiva richiesta del consenso informato ed esplicito del soggetto interessato.
In Italia già nel 2014, quindi ancor prima dell’entrata in vigore del GDPR, era intervenuto il Garante per la Protezione dei dati personali che col provvedimento n.513 del 12 novembre 2014[2], aveva equiparato i dati biometrici ai dati personali e aveva dettato delle linee guida in materia di utilizzo e di trattamento dei predetti dati in linea coi principi di liceità, necessità, finalità e proporzionalità sanciti dal nostro ordinamento, subordinandoli a consenso informato[3].
Il rapporto tra dati biometrici e AI
Oggigiorno, quando si parla di dati biometrici, non si può prescindere dal riferimento esplicito ed implicito all’intelligenza artificiale, atteso che i sistemi biometrici progettati per l’identificazione e l’autenticazione di un individuo funzionano sempre tramite intelligenza artificiale ed operano attraverso il confronto dei suddetti dati con un modello o un database in cui sono memorizzati dati comparativi legati al soggetto dell’analisi. In questo modo è infatti possibile determinare se una persona è realmente quella che dichiara di essere.
Negli ultimi anni l’uso di tecnologie biometriche è diventato sempre più diffuso, sia per via della loro comodità e semplicità di utilizzo, sia per le loro caratteristiche di sicurezza che le rendono maggiormente affidabili rispetto a sistemi di sicurezza più obsoleti: basti pensare all’unicità dell’impronta digitale o dell’iride.
Tuttavia, non sempre è tutto oro quel che luccica ed anche se la tecnologia biometrica, ad un primo impatto, potrebbe apparire sicura, è proprio per il carattere di unicità che contraddistingue i singoli dati biometrici, che dal punto di vista giuridico emergono plurime e diverse problematiche sottese all’utilizzazione e al trattamento di questi dati da parte di terzi.
Difatti, un uso non corretto o, peggio ancora, un abuso nell’utilizzazione di tali dati oltre alla possibilità di ledere principi e diritti costituzionali, può determinare danni di un certo rilievo anche sotto il profilo economico. Paradossalmente, l’unicità dei dati biometrici costituisce però il loro tallone d’Achille. Posto che questi dati non possono essere cambiati o modificati come può accadere, invece, per un codice di sicurezza, il loro principale atout, può trasformarsi in un problema di non poco rilievo nel caso per esempio di furto di identità.
Il caso del Biometric privacy information act
Di conseguenza, a fronte di questa problematica, in questi anni diversi Stati sono corsi ai ripari per impedire un uso non corretto e illecito dei dati biometrici da parte di terzi. In questo quadro e con finalità di tutela, gli Stati Uniti nel lontano 2008 hanno varato il Biometric privacy information act [4]che rappresenta, al pari del GDPR europeo, un primo punto di partenza per una disamina complessiva.
Il Bipa che, per alcuni aspetti risulta simile al GDPR europeo, sottopone l’acquisizione e il trattamento dei dati biometrici al consenso esplicito ed informato da parte del soggetto interessato.
Sul tema del consenso informato di recente è intervenuta la Suprema Corte dell’Illinois che con la sentenza 2019 IL 123186 del 25 gennaio 2019[5] ha sancito in capo ai titolari dei dati biometrici il c.d. “private right of action”, ossia il diritto di agire a propria tutela nei confronti di soggetti terzi che abbiano acquisito i predetti dati in assenza di consenso informato (art. 20 del BIPA).
La decisione della Corte suprema
Tale azione secondo la Corte suprema può essere esperita anche prima del verificarsi di un danno economicamente valutabile in concreto.
Nel caso di specie una madre aveva agito a tutela del proprio figlio minorenne le cui impronte digitali erano state acquisite in un parco divertimenti in assenza di consenso esplicito ed informato atto ad autorizzare tale operazione.
La Corte Suprema, contrariamente alla Corte Distrettuale che aveva rigettato la richiesta della ricorrente, ha ritenuto la domanda meritevole di accoglimento per via dei rischi connessi alla circolazione di informazioni biometriche che, se incontrollata, potrebbe portare ad un aumento dei casi di furto di identità.
Le tutele dell’AI Act
La tutela dettata dal Bipa statunitense e dal GDPR nonostante la sottoposizione dei dati biometrici al consenso informato appare, tuttavia, blanda e di certo non adeguata di fronte all’evolversi dei sistemi di intelligenza artificiale che coinvolgono tale tipologia di dati.
Per questo motivo, l’Unione Europea, è corsa ai ripari con l’AI act [6], ossia con l’approntamento della prima normativa al mondo in materia di intelligenza artificiale.
L’AI act presta particolare attenzione al tema dei dati biometrici attraverso la tutela ed il divieto dello sviluppo, della commercializzazione e dell’utilizzo di sistemi di intelligenza artificiale considerati inaccettabili per il loro elevato rischio di violazione dei diritti e delle libertà fondamentali delle sfere giuridiche soggettive.
Rientrano in questa categoria i sistemi di sorveglianza di massa in tempo reale, i social scoring e qualsiasi altra metodologia volta alla manipolazione del comportamento umano.
La normativa europea nel tutelare i dati biometrici richiama il GDPR atteso che equipara i dati biometrici ai dati sensibili. Tale equiparazione, infatti, garantisce una maggiore tutela dell’individuo in quanto pone più limiti all’acquisizione e al trattamento dei dati da parte dei sistemi di intelligenza artificiale, subordinando l’uso di detti dati al preventivo consenso informato dell’interessato e al contempo vieta ab origine l’impiego di sistemi di IA considerati dannosi per l’individuo e per la comunità.
I dati biometrici devono essere infatti raccolti, archiviati e utilizzati in modo sicuro e conforme alle normative sulla privacy e alla dignità dell’individuo. Ciò non di meno la normativa vigente nel definire le modalità di tutela dei dati biometrici tralascia un dato fondamentale, ossia il fatto che i predetti dati, non sono tutti uguali.
La suddivisione dei dati biometrici
I dati biometrici sono, infatti, divisi in due macrocategorie: fisica e comportamentale. Appartengono alla prima categoria le impronte digitali, l’iride, il volto, la forma della mano di un individuo, mentre fanno parte della seconda categoria, denominata biometria comportamentale, tutti i movimenti del corpo e la firma grafometrica o FEA (firma elettronica avanzata) che scaturisce dai movimenti della mano e, che andremo ad analizzare nel paragrafo successivo unitamente al suo rapporto con l’intelligenza artificiale.
Firma grafometrica e problematiche ad essa sottese
La Firma grafometrica o FEA è una particolare tipologia di firma che conserva le caratteristiche della firma manuale con cui mantiene una certa affinità[7], ma essendo apposta su appositi tablet grafometrici, consente l’acquisizione, mediante software, dei dati biometrici alla stessa correlati.
La FEA in poche parole è un «insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati»[8].
La scrittura che viene acquisita tramite i tablet grafometrici viene denominata scrittura online, poiché i cd. tools grafometrici consentono di catturare in tempo reale i movimenti della mano e/o delle dita durante l’intero processo di scrittura.
I dati acquisti al momento della firma vengono inviati a un sistema di IA che, tramite un apposito server, li converte in una sequenza di caratteri criptati con chiavi di cifratura asimmetrica e li archivia in un database.
In questo modo, quando il soggetto che ha apposto la firma su un documento, firmerà nuovi documenti, i server medesimi saranno in grado di comparare le nuove firme con quella archiviata e verificare l’identità della persona che ha firmato.
Le regole tecniche
La FEA viene considerata valida nel momento in cui rispetta le Regole Tecniche dettate dal DPCM 22/02/2013 e dal Regolamento e IDAS (Reg. UE 910/2014) ossia quando:
a) è possibile identificare il firmatario del documento;
b) sussiste la connessione univoca della firma al firmatario e della firma al documento sottoscritto;
c) vi è il controllo esclusivo da parte del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;
d) è possibile verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;
e) vi è la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto (possibilità di scaricare in pdf il documento firmato);
f) è possibile l’individuazione del soggetto terzo che eroga il servizio;
g) non vi è la presenza di qualunque elemento nell’oggetto della sottoscrizione atto a modificarne gli atti, fatti o dati nello stesso rappresentati.[9]
La FEA al giorno d’oggi si sta rivelando molto utile in quanto abbatte i costi di stampa grazie alla dematerializzazione della gestione documentale. Questa tipologia di firma, a cui dal nostro ordinamento è stata riconosciuta la stessa efficacia probatoria della firma tradizionale,[10] di solito viene utilizzata per operazioni contrattuali e/ o bancarie in quanto offre alti standard di sicurezza, anche se ciò non la rende del tutto invulnerabile.
L’identificazione dell’individuo con la firma grafometrica
Difatti la FEA, pur essendo considerata uno strumento di identificazione sicura, presenta, per vero, l’indiscutibile punto debole nell’identificazione indiretta dell’individuo, che viene riconosciuto soltanto attraverso la propria firma e non già anche attraverso la scansione di una parte fisica del proprio corpo.
Questa tipologia di identificazione, al contrario di una scansione della retina o di un’impronta digitale, consente in astratto a terze persone, che siano abili a copiare e/o imitare i movimenti altrui di potersi identificare con il titolare della firma. La firma grafometrica può essere quindi esposta a falsificazione, così come avviene per la tradizionale firma cartacea.
L’autenticità della FEA, oggigiorno viene verificata da sistemi di IA che la comparano con quella precedentemente registrata da un individuo. La comparazione avviene attraverso la misurazione di segni particolari simili a quelli che vengono presi in considerazione nelle perizie calligrafiche tradizionali e sono: velocità di scrittura, pressione esercitata sul tablet e/o altro device, angolo di inclinazione della penna digitalizzata, accelerazione del movimento e numero di volte che la penna viene sollevata.
I nodi per la sicurezza
Tutti questi dati, una volta raccolti, vengono tradotti in caratteri e sono confrontati non direttamente con la persona fisica che ha emesso la firma, ma con la firma precedentemente depositata dalla persona stessa. Se i movimenti coincidono coi caratteri registrati il sistema riconosce la firma come valida e autentica. La precisione di analisi durante la comparazione dei dati varia a seconda del sistema di IA utilizzato e purtroppo non tutti i sistemi sono dotati della stessa approfondita sensibilità nel rilevare i parametri grafici sopramenzionati con l’ovvia conseguenza che rende alcuni di loro più vulnerabili rispetto ad altri.
Ciò significa che, meno un sistema è sensibile, più alta è la probabilità che lo stesso possa venire bypassato. Per questo motivo è importante correre ai ripari non solo col prevenire e/o evitare che si possano verificare ipotesi di falsificazione della firma altrui e/o di furto di identità, ma con l’introduzione di norme ad hoc e pene adeguate.
Le possibili soluzioni
Sicuramente un primo passo è dettato dall’innalzamento degli standard di sicurezza sotto il profilo tecnologico. Sotto il profilo normativo la questione è di grande complessità ed anche se alcune proposte sono state messe sul tavolo, ad oggi nulla si è concretizzato. Un’idea potrebbe essere quella di varare una normativa che imponga a tutte le aziende che progettano sistemi di IA che si occupano di firma grafometrica di separare il dato biometrico inteso come insieme di movimenti della penna o delle dita, dal dato identificativo dell’utente (nome e cognome).
Già alcuni sistemi di IA lo fanno per garantire una maggiore tutela della privacy e per cercare di prevenire eventuali furti di identità derivanti da attacchi hacker. Questa accortezza potrebbe essere resa obbligatoria.
Un’altra possibilità potrebbe essere quella di associare la firma grafometrica a un codice accessibile esclusivamente al titolare della firma che potrebbe essere apposto come strumento di ulteriore validazione, oppure associare la firma grafometrica alla firma digitale. Si tratterebbe di un sistema di doppio controllo che innalzerebbe il livello di sicurezza e sarebbe molto più affidabile dell’inserimento del numero del documento d’identità di un individuo o della scansione del documento stesso, in quanto questi dati possono essere reperiti più facilmente da terzi
Alle prescrizioni normative dovrebbero però essere associate forme importanti di verifica del rispetto della norma e sanzioni conseguenti alla violazione.
Note _
1 Cfr. General Data Protection Regulation (Reg. UE 2016/679).
[2] Provvedimento Garante Privacy n. 513 del 12.11.2014 disponibile al seguente link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/3556992
[3] All. A, Provvedimento Garante Privacy n. 513 del 12.11.2014 disponibile al seguente link https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3563006
[4] Cfr. Biometric Privacy Information Act (BIPA) (740 ILCS 14/1) del 2008.
[5] Cfr. Rosenbach v. Six Flags Entertainment Corp., 2019 IL. n°123186 disponible al link https://www.illinoiscourts.gov/Resources/f71510f1-fb2a-43d8-ba14-292c8009dfd9/123186.pdf
[6] Cfr. Artificial Intelligence Act (AI ACT) approvato il 13 marzo 2024 dal Parlamento Europeo.
[7] Cfr. G. D. Finocchiaro, “La metafora e il diritto nella normativa sulla cosiddetta “firma grafometrica” « Il Diritto dell’informazione e dell’ informatica » 2013, 1, pp. 1 – 16 articolo.
[8] Cfr. Articolo 1 comma 1 lettera q-bis) del CAD (Codice dell’Amministrazione Digitale) D.Lgs. 7 marzo 2005 n. 82, inserita con D.Lgs. 30 dicembre 2010 n. 235
[9] Cfr. Art 56 DPCM 22/02/2013.
[10] Cfr. Art. 2702 Codice Civile e art. 21 del CAD, D.Lgs. 7 marzo 2005 n. 82, inserita con D.Lgs. 30 dicembre 2010 n. 235
