L’implementazione di sistemi di autenticazione basati sulla tecnologia biometrica nel settore della videosorveglianza costringe la legge e le autorità a fare i conti con il rischio di utilizzo illecito di una grande quantità di informazioni anche sensibili.
L’uso degli impianti di sorveglianza mediante sensori, telecamere e sistemi di localizzazione, contestualmente con la presenza di meccanismi di autenticazione basati su sistemi di riconoscimento biometrico, ha elevato il livello di allerta nelle istituzioni e nelle associazioni che si occupano dei diritti e delle libertà dei cittadini, inducendo il Parlamento italiano a convertire rapidamente in Legge dello Stato (L. 205/2021) la norma varata dal Governo (D.L. 139/2021) secondo cui sono sospesi - fino all’emissione di una regolamentazione del settore e, comunque, fino al 31 dicembre 2023, salvo proroghe - l’uso e la realizzazione di sistemi di identificazione biometrica tramite impianti di videosorveglianza.
La disposizione sui sistemi di riconoscimento biometrico non si applica alle attività di prevenzione e repressione dei reati e a quelle di tutela della sicurezza e dell’ordine pubblico, relativamente a cui le norme attribuiscono alla magistratura e alle forze dell’ordine la facoltà di identificare i soggetti ripresi dalle telecamere di sorveglianza (previa acquisizione di parere positivo dell’autorità Garante per la protezione dei dati personali) ove l’attività sia utile all’accertamento dei fatti (testimoni) o a punire dei reati (colpevoli).
Non sono previste modifiche neppure per quanto riguarda gli impianti di videosorveglianza tradizionali, che possono continuare a essere installati e utilizzati secondo gli ordinari canoni interpretativi del Reg. UE 679/2016 e dell’art. 4 della L. 300/1970.
Punti di forza e vulnerabilità degli open data
Dato l’uso già diffuso di tecnologie video associate a sistemi di riconoscimento biometrico (è sufficiente pensare ai meccanismi di autenticazione dei più diffusi smartphone e altri dispositivi digitali in commercio), viene spontaneo chiedersi cosa occorre attendersi, per il futuro e per la regolamentazione degli accessi in ambienti a rischio, nella prospettiva di implementare la tecnologia biometrica nei sistemi di videosorveglianza.
Secondo il Garante non esiste attualmente una normativa sulla raccolta massiva di dati biometrici: si è ancora in attesa di una disciplina che regolamenti l’utilizzo di sistemi per il riconoscimento automatico delle immagini e altri programmi analoghi da parte della magistratura e delle forze dell’ordine, così da evitare il rischio di sconfinare in meccanismi di sorveglianza di massa che potrebbero aprire la strada finanche alla limitazione di diritti e libertà fondamentali per i cittadini.
Un approccio sottoposto a regolamentazione normativa potrebbe consentire di impiegare le tecnologie più avanzate per la tutela dell’ordine e della sicurezza durante eventi pubblici, per l’individuazione di soggetti ricercati per aver commesso gravi reati (rapine, stupri, omicidi, atti terroristici ecc.) o con finalità di salvaguardia della persona interessata quali:
- l’individuazione di persone scomparse o con limitata capacità di intendere e di volere;
- l’attivazione di un allarme nel momento in cui un paziente di una casa di riposo si muova all’esterno del perimetro che gli è stato assegnato o si sottragga alla sorveglianza degli operatori, con grave rischio di pregiudizio della propria incolumità;
- la limitazione dell’accesso alle aree a rischio per i lavoratori, con la finalità di consentire l’entrata solo ai soggetti autorizzati e dotati dei necessari dispositivi di protezione individuale (il software è in grado di riconoscere e convalidare anche gli accessori indossati dalla singola persona).
L’utilizzo di tali impianti di riconoscimento biometrico consentirebbe sicuramente di garantire una maggiore sicurezza agli utenti e agli operatori, di regolamentare la fruizione di servizi, di evitare frodi e di impedire l’accesso ai soggetti già responsabili di disordini o furti; comporterebbe però anche la potenziale registrazione di una notevole quantità di dati biometrici per i quali, al momento, non esiste tutela diversa da quella rappresentata dalla diligenza del titolare del trattamento. Piegare l’applicazione ad altre finalità meno edificanti risulterebbe oltremodo semplice, con un impatto potenzialmente elevato sulle vittime.
Occorre inoltre considerare che i sistemi di riconoscimento biometrico tramite videocamera si stanno ormai diffondendo anche tra gli utenti meno smaliziati, al punto da essere disponibili (anche su NAS non particolarmente costosi) come strumento accessorio alle applicazioni di videosorveglianza, attivabile semplicemente pagando il relativo canone.
È inutile evidenziare come la sicurezza di tali dati sia affidata unicamente alle capacità tecniche di aggiornamento e implementazione delle misure di difesa, che non tutti gli acquirenti sono in grado di gestire adeguatamente. Conseguentemente, il database realizzato dal privato potrebbe essere facilmente esposto a sottrazione e utilizzo illecito da parte di eventuali malintenzionati.
La pietra dello scandalo
È recente (10 febbraio 2022) la sanzione irrogata dall’autorità Garante per la protezione dei dati personali alla società statunitense ClearView AI Inc., che, attraverso una piattaforma di riconoscimento facciale, permette la ricerca di informazioni sui soggetti memorizzati nel proprio database.
La società raccoglie immagini da ogni fonte disponibile su Internet (social network, blog, siti web, motori di ricerca, inclusi i video pubblicati dagli utenti su servizi come Vimeo, Youtube ecc.), per estrarre, con tecniche di rilevamento biometrico, le caratteristiche identificative di ciascun soggetto ritratto e trasformarle in rappresentazioni vettoriali che ricalcano le diverse linee uniche di un volto.
Le immagini vengono successivamente sottoposte a image hashing (creando un identificativo univoco per ogni immagine, il corrispondente dell’impronta digitale per il viso) per finalità di indicizzazione del database. L’azienda crea dunque dei modelli biometrici che, in fase di ricerca, vengono sottoposti a comparazione con il campione prodotto dal cliente, generando un processo di verifica “one to many”.
Ogni immagine può essere arricchita con i metadati a essa associati o individuati da altre fonti (nome, cognome, indirizzo della pagina web, geolocalizzazione, data di nascita, nazionalità, lingua ecc.) e con i metadati corporei (colore dei capelli, della pelle, degli occhi, genere, segni particolari, abbigliamento e accessori indossati ecc.).
In tal modo, il software procede a una schedatura di massa, mettendo a disposizione i dati a chiunque possa pagare (anche se l’azienda dichiara che, attualmente, il servizio è disponibile solo per le autorità pubbliche).
Quando il software identifica una corrispondenza, estrae dal database tutte le immagini che soddisfano i requisiti inseriti e le sottopone al cliente assieme ai metadati e ai link associati, permettendo così di risalire a ogni singola pagina ancora disponibile in rete. In ogni caso, le immagini e le informazioni raccolte restano nel database anche nel caso in cui le fonti originarie siano state successivamente rimosse o rese private.
Riconoscimento biometrico e videosorveglianza: in attesa della legge
Un database come quello di Clearview costituisce un evidente pericolo per i cittadini interessati dalla raccolta, soprattutto nell’ipotesi di falsi positivi. Essere scambiati per un criminale macchiatosi di reati odiosi o sospettato di finalità terroristiche, oltre a causare all’interessato inevitabili problemi giudiziari, rischia di generare una gogna mediatica che comprometterebbe irrimediabilmente la vita di relazione del malcapitato e della sua famiglia, mettendone a rischio l’incolumità in caso di reazione popolare.
Se pure la sicurezza e la lotta al crimine possono giustificare la compressione delle libertà individuali per obiettive esigenze di interesse pubblico, è altrettanto evidente che un approccio superficiale a questa tipologia di problemi non può essere consentito, perché rischierebbe di arrecare più danni alla collettività di quanti potrebbe risolverne (incluso il rischio di condannare un innocente e lasciare in libertà un criminale in caso di falso positivo).
È quindi decisamente condivisibile la pronuncia del Garante, in attesa che una norma chiara e precisa possa disciplinare il corretto utilizzo delle informazioni di riconoscimento biometrico.
BOCCIATO L’UTILIZZO DEL RICONOSCIMENTO AUTOMATICO DELLE IMMAGINI IN REAL TIME
L’impiego live del SARI è stato ritenuto equivalente a un sistema di rilevamento massivo dei dati biometrici dei cittadini.
Il sistema SARI (Sistema Automatico di Riconoscimento delle Immagini) consente attualmente alle forze dell’ordine e alla magistratura di confrontare le immagini rilevate sul luogo di un crimine con quelle presenti nel casellario centrale della polizia criminale, dove sono memorizzate le caratteristiche fisiche, le foto segnaletiche e le impronte digitali di tutti i soggetti che sono stati sottoposti a rilievi per fini di polizia giudiziaria.
Su tale meccanismo di indagine, nel 2018, il Garante ha espresso parere favorevole, poiché il SARI, in versione Enterprise, sostituisce semplicemente l’intervento dell’operatore nell’utilizzo del sistema AFIS (Automatic Fingerprinting Identification System), rendendo automatiche e velocizzando le operazioni di inserimento dati, che in precedenza venivano svolte manualmente.
Invece, sull’ipotesi di utilizzo del sistema SARI in versione real time, che propone il confronto automatico di tutte le immagini rilevate in tempo reale dalle telecamere con quelle del database delle forze dell’ordine, nel 2020 e nel 2021 l’autorità si è espressa negativamente.
Tale modalità d’azione è stata infatti ritenuta equivalente a un sistema di rilevamento massivo dei dati biometrici di tutti i cittadini che si trovassero a passare nel raggio d’azione di un sistema di videosorveglianza pubblico, con gravi ricadute sui diritti e le libertà degli interessati per eventuali falsi positivi e per il rischio di discriminazioni razziali o di genere.
