Privacy - Garante: sì all’analisi comportamentale contro le frodi nell’internet banking, purché sia rispettata la privacy degli interessati

Il Garante Privacy, con provvedimento reso noto dalla newsletter n. 417 del 14 luglio 2016, ha stabilito che per combattere i furti di identità o le frodi nell’internet banking, una banca potrà analizzare informazioni biometrico-comportamentali dei clienti in occasione della loro navigazione nell’area privata del proprio sito web a condizione che sia tutelata la privacy dell’interessato.

Nel caso in esame, il cliente di una banca ha presentato al Garante Privacy una richiesta di verifica preliminare relativamente al servizio riguardante l’utilizzo di un sistema di rilevazione di dati personali e biometrici con il quale la banca, attraverso un sofisticato software in grado di registrare le attività dell’utente e la sua interazione con i dispositivi utilizzati, intenderebbe offrire ai propri clienti un servizio ad elevato contenuto tecnologico in grado di elevare i livelli di tutela attualmente previsti per l’utilizzo dei servizi di internet banking sempre più esposti al rischio di attacchi del tipo “identity theft” (furto di identità).

Di seguito una breve descrizione di come si articolerebbe il suddetto servizio proposto dalla banca.

Dopo la visione e l’accettazione del contratto di servizio da parte del cliente e dell’apposita informativa sul connesso trattamento di dati personali con rilascio di uno specifico consenso, il sistema della banca, dopo l’accesso all’area personale del cliente al sito, comincerebbe a raccogliere informazioni su azioni spontanee dell’utente, come i movimenti del mouse, la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera, la lingua del sistema operativo, ecc.. In tal modo, nel corso di più sessioni, si creerebbe un primo profilo comportamentale associabile al cliente tramite un codice identificativo univoco, generato da un partner tecnologico su richiesta della banca. Quindi, ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.

Alla luce di quanto detto, l’Autorità Garante per la protezione dei dati personali, ha riconosciuto l’importanza delle finalità perseguite dalla banca, volte a garantire maggiore sicurezza dei servizi on line nell’interesse dei propri clienti, vincolando, però, l’attivazione del nuovo sistema alla rigorosa osservanza delle misure individuate a tutela della privacy degli interessati.

La banca, infatti, potrà attivare il trattamento di dati anche biometrici connesso al sistema descritto solamente su base volontaria, dopo aver fornito al cliente una completa informativa e averne ottenuto lo specifico consenso. Inoltre, afferma il Garante, l’istituto di credito potrà trattare i “dati di navigazione” della clientela nei limiti in cui ciò risulti strettamente necessario all’esecuzione del servizio, attenendosi rigorosamente alle modalità indicate e in scrupolosa osservanza degli adempimenti richiesti, anzitutto, in tema di informativa e consenso”. Mentre il partner tecnologico non avrà accesso alle schede anagrafiche dei clienti dell’istituto di credito in modo tale da non poter risalire alla loro identità.

L’Autorità ha concluso le sue valutazioni sull’argomento in esame affermando che le informazioni raccolte per la creazione dei singoli profili comportamentali potranno essere conservate, in conformità a quanto previsto dall’articolo 11, comma 1, lettera e), del Codice, per l’intera durata del servizio, ferma restando la loro tempestiva cancellazione in caso di richiesta di cessazione da parte del cliente.

(Garante per la protezione dei dati personali, Provvedimento 9 giugno 2016, n. 256)

Il Garante Privacy, con provvedimento reso noto dalla newsletter n. 417 del 14 luglio 2016, ha stabilito che per combattere i furti di identità o le frodi nell’internet banking, una banca potrà analizzare informazioni biometrico-comportamentali dei clienti in occasione della loro navigazione nell’area privata del proprio sito web a condizione che sia tutelata la privacy dell’interessato.

Nel caso in esame, il cliente di una banca ha presentato al Garante Privacy una richiesta di verifica preliminare relativamente al servizio riguardante l’utilizzo di un sistema di rilevazione di dati personali e biometrici con il quale la banca, attraverso un sofisticato software in grado di registrare le attività dell’utente e la sua interazione con i dispositivi utilizzati, intenderebbe offrire ai propri clienti un servizio ad elevato contenuto tecnologico in grado di elevare i livelli di tutela attualmente previsti per l’utilizzo dei servizi di internet banking sempre più esposti al rischio di attacchi del tipo “identity theft” (furto di identità).

Di seguito una breve descrizione di come si articolerebbe il suddetto servizio proposto dalla banca.

Dopo la visione e l’accettazione del contratto di servizio da parte del cliente e dell’apposita informativa sul connesso trattamento di dati personali con rilascio di uno specifico consenso, il sistema della banca, dopo l’accesso all’area personale del cliente al sito, comincerebbe a raccogliere informazioni su azioni spontanee dell’utente, come i movimenti del mouse, la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera, la lingua del sistema operativo, ecc.. In tal modo, nel corso di più sessioni, si creerebbe un primo profilo comportamentale associabile al cliente tramite un codice identificativo univoco, generato da un partner tecnologico su richiesta della banca. Quindi, ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.

Alla luce di quanto detto, l’Autorità Garante per la protezione dei dati personali, ha riconosciuto l’importanza delle finalità perseguite dalla banca, volte a garantire maggiore sicurezza dei servizi on line nell’interesse dei propri clienti, vincolando, però, l’attivazione del nuovo sistema alla rigorosa osservanza delle misure individuate a tutela della privacy degli interessati.

La banca, infatti, potrà attivare il trattamento di dati anche biometrici connesso al sistema descritto solamente su base volontaria, dopo aver fornito al cliente una completa informativa e averne ottenuto lo specifico consenso. Inoltre, afferma il Garante, l’istituto di credito potrà trattare i “dati di navigazione” della clientela nei limiti in cui ciò risulti strettamente necessario all’esecuzione del servizio, attenendosi rigorosamente alle modalità indicate e in scrupolosa osservanza degli adempimenti richiesti, anzitutto, in tema di informativa e consenso”. Mentre il partner tecnologico non avrà accesso alle schede anagrafiche dei clienti dell’istituto di credito in modo tale da non poter risalire alla loro identità.

L’Autorità ha concluso le sue valutazioni sull’argomento in esame affermando che le informazioni raccolte per la creazione dei singoli profili comportamentali potranno essere conservate, in conformità a quanto previsto dall’articolo 11, comma 1, lettera e), del Codice, per l’intera durata del servizio, ferma restando la loro tempestiva cancellazione in caso di richiesta di cessazione da parte del cliente.

(Garante per la protezione dei dati personali, Provvedimento 9 giugno 2016, n. 256)