La rubrica “Digital & Law” è curata da D&L Net e offre una lettura delle materie dell’innovazione digitale da una prospettiva che sia in grado di offrire piena padronanza degli strumenti e dei diritti digitali, anche ai non addetti ai lavori. Per consultare tutti gli articoli clicca qui.
In un’era in cui i servizi e le relazioni business diventano sempre più “digital” l’ambiente in cui si gestisce il rapporto con l’utente-cliente è spesso il web. Non c’è da stupirsi che per l’identificazione dell’adeguata verifica si individuino modalità nuove “a distanza”, senza dimenticare la buona gestione della protezione dei dati personali.
La gestione dei servizi con i propri clienti e, in generale, con i propri utenti, attraverso il web, permette una gestione dei processi aziendali e della user experience più efficiente, flessibile e veloce.
Ci sono vari ambiti in cui l’identificazione ed il riconoscimento “certo” del cliente sono obbligatori e regolamentati dalla normativa, ad esempio nel caso dell’adegua verifica per l’antiriciclaggio oppure nel caso dell’identificazione per l’erogazione di servizi fiduciari quale l’emissione di firme digitali o delle identità digitali SPID.
L’esperienza dei Prestatori dei servizi fiduciari qualificati e degli Identity provider
I servizi erogati dai Prestatori dei servizi fiduciari qualificati per il rilascio delle firme elettroniche qualificate, meglio conosciute in Italia come firme digitali, e i servizi erogati dagli Identity Provider per il rilascio dell’identità digitale SPID, richiedono obbligatoriamente il riconoscimento della persona interessata con annessa verifica del documento di riconoscimento, quale ad esempio la carta d’identità o altro documento equipollente.
Già da diversi anni, al fine di ottimizzare la fase di identificazione, sono state implementate con successo dai Prestatori dei servizi fiduciari qualificati e degli Identity provider delle modalità di riconoscimento da remoto più innovative rispetto alla modalità di riconoscimento tradizionale de visu, che permettono all’utente di non muoversi da casa o dall’ufficio.
Il riconoscimento certo dell’individuo può essere “remotizzato” attraverso applicazioni di onboarding e identification che utilizzano il riconoscimento tramite webcam o in alternativa acquisiscono i dati identificativi opponibili a terzi della persona già memorizzati in strumenti come la Carta d’Identità Elettronica CIE 3.0 (quelle che non hanno la banda ottica sul retro della tessera in plastica), la Carta Nazionale dei Servizi (CNS), la Firma Digitale o l’identità digitale SPID, sempre che la persona richiedente ne sia in possesso.
Si sottolinea che l’Agenzia per l’Italia Digitale (AgID) con la determinazione n. 116 del 21 aprile 2017 ha precisato che durante la sessione audio-video è obbligatoria la presenza dell’operatore che deve espletare la verifica dell’identità del richiedente del servizio fiduciario (ad esempio lo SPID), ciò a garanzia e tutela dell’utente finale.
La Banca d’Italia autorizza la video identificazione per l’adeguata verifica a distanza
Con il Provvedimento 30 luglio 2019 pubblicato sulla G.U. n. 189 del 13 agosto 2019 ed entrato in vigore il successivo 28 agosto, in attuazione alle disposizioni di cui agli artt. 17-30 del Decreto Antiriciclaggio, la Banca d’Italia ha stabilito che gli intermediari finanziari possono eseguire la procedura di identificazione con registrazione audio-video per l’adeguata verifica dei clienti, senza la loro presenza fisica, rispettando il provvedimento ed in particolare l’Allegato 3 oltre che il Regolamento UE 2016/679 in materia di protezione dei dati personali.
Nell’Allegato 3 al provvedimento, la Banca d’Italia precisa il ruolo dell’operatore dell’intermediario finanziario nella procedura di video-identificazione e stabilisce che costui deve eseguire un’ulteriore verifica sui dati identificativi del cliente acquisiti nella sessione audio-video secondo le modalità ritenute più opportune, in relazione al profilo di rischio.
Nel rispetto dell’approccio basato sul rischio l’intermediario può decidere di utilizzare anche meccanismi di riscontro basati su soluzioni tecnologiche affidabili ( che prevedono, ad esempio, forme di riconoscimento biometrico), purché assistite da robusti presidi di sicurezza.
Soluzioni di digital identification sì, ma con garanzia di protezione dei dati personali
L’utilizzo del riconoscimento digitale, previo consenso iniziale del cliente, implica un trattamento dei dati di registrazione della voce, immagini e video del cliente, ai fini della conservazione delle evidenze dell’identificazione effettuata.
In questo scenario di riconoscimento digitale, inoltre, è possibile l’eventuale integrazione di un software per il riconoscimento facciale automatizzato tramite tecniche di intelligenza artificiale in modo da ottimizzare non solo l’identificazione iniziale per l’onboarding ai servizi web, ma anche per i successivi accessi da parte dell’utente cliente, al fine di espletare un controllo costante e continuativo nel corso del rapporto.
Tuttavia, l’adozione di queste soluzioni innovative “a distanza” per l’identificazione ed il riconoscimento, non deve arrecare alcun danno o rischio al diritto che ogni persona ha di protezione dei propri dati personali.
Pertanto, la soluzione corretta deve essere quella di garantire a questi nuovi servizi la piena conformità al Regolamento europeo in materia di protezione dei dati personali n. 2016/679, in sigla noto come GDPR, ma a parer dello scrivente non solo garantendo l’utilizzo di canali cifrati o altre misure di sicurezza ormai note, bensì ottenendo delle certificazioni ISO in materia di sicurezza e protezione dei dati personali quale garanzia verso il cliente secondo il principio dell’accountability, assicurando l’applicazione di tecniche di cifratura per rendere inintelligibili le registrazioni audio-video dal momento dell’acquisizione e memorizzazione e fino a tutto il periodo di conservazione digitale delle stesse e valutando l’obbligo di eseguire la procedura di valutazione d’impatto sulla protezione dei dati (DPIA), prevista dall’art. 35 GDPR.
Per concludere
Sta nascendo un nuovo ecosistema di servizi digital per l’identificazione ed il riconoscimento anche quando ciò è richiesto da normative in materia di prevenzione e contrasto alle operazioni sospette di riciclaggio e di finanziamento del terrorismo.
Ben venga l’innovazione e l’utilizzo di questi nuovi servizi che ottimizzano il processo e l’usabilità, ma per essere adottati si spera che ci sia la giusta trasparenza informativa da parte dei servizi verso i clienti e che le varie autorità come il Garante, la Banca d’Italia e l’Agenzia per l’Italia Digitale verifichino che questi servizi innovativi danno le giuste garanzie di protezione dei dati personali in tutto il ciclo di vita del processo di digital identification e garantiscono una conservazione dei documenti informatici “registrazioni audio-video per l’adeguata verifica” in modalità sicura ed anonimizzata, nel rispetto delle disposizioni del Decreto Legislativo n. 82/2005 (“Codice dell’Amministrazione Digitale” o “CAD”).
L’’identità di un individuo è fondamentale, possiamo digitalizzare ed automatizzare la fase di riconoscimento e verifica, ma lo dobbiamo fare in un processo che garantisca estrema sicurezza e tutela per i dati biometrici dell’individuo stesso.
Focus su Banche e Assicurazioni
La Studio Legale Lisi Academy presenta un focus dedicato a tutti i professionisti che si occupano di digitalizzazione del settore bancario e assicurativo. In programma per mercoledì 24 giugno, con gli Avv.ti Sarah Ungaro e Mario Montano, in diretta su piattaforma Digital&Law Academy, dalle 10:00 alle 13:00.
Oltre a garantire la conoscenza degli aspetti di carattere generale, degli strumenti e delle metodologie necessarie per adempire e operare nel rispetto degli obblighi previsti dalla normativa europea e nazionale, il focus fornirà spunti operativi e concreti per gestire correttamente le transazioni con la clientela mediante modalità telematiche e il trattamento dei dati personali, soprattutto avendo riguardo delle ultime novità normative emanate nell’attuale contesto del Covid-19.
Il Focus avrà un taglio operativo, con suggerimenti utili derivanti da indicazioni dell’Autorità Garante per la protezione dei dati personali e dalle più recenti best practices.
Per info e iscrizioni clicca qui.
Articolo di Fabrizio Lupone, Esperto in Digitalizzazione, Firme e Fatturazione Elettronica, Identità e Conservazione digitale, componente del D&L NET
