Per l’accesso a banche dati e a sistemi informatici, così come per l’accesso a luoghi ritenuti “sensibili”, il trattamento delle caratteristiche biometriche (impronta digitale o emissione vocale) può avvenire anche senza il consenso dell’utente.
Il consenso al trattamento dei dati sarà invece necessario per associare una firma a dati biometrici (firma elettronica avanzata) e per l’accesso degli utenti a luoghi pubblici o privati (come biblioteche o aree aeroportuali riservate).
Le strutture dovranno prevedere modalità alternative per l’accesso degli utenti che non vorranno utilizzare i propri dati biometrici. Non solo, i dati biometrici personali dovranno essere crittografati per assicurare un adeguato livello di protezione.
Le violazioni dei dati biometrici ed eventuali incidenti informatici che possano metterli a rischio dovranno essere comunicati al Garante da parte di chi detiene i dati entro 24 ore dalla scoperta.
Ma la biometria è davvero sicura? Anche se forse è più resistente di una normale password, i rischi non mancano, come ha da poco dimostrato un hacker tedesco, Jan Krissler.
Krissler è riuscito a “rubare” l’impronta digitale del ministro della difesa tedesco grazie a una foto scattata dal suo telefono e a un programma di elaborazione. L’hacker ha preferito non utilizzare l’impronta rubata del ministro per verificare la validità del suo esperimento, ma lo ha fatto ripetendo la prova in condizioni quasi identiche con la propria impronta digitale. Risultato? Sistemi di autenticazione ingannati.
Niente è al sicuro, dunque? Mai al 100%, ma i sistemi con doppia autenticazione garantiscono un livello più alto di protezione. Noi, intanto, non dobbiamo abbassare la guardia.