Tutti, almeno una volta nella vita, siamo stati ritratti in una foto con il gesto di vittoria, ovvero quello in cui il dito indice e il dito medio sono posizionati in modo tale da formare la lettera "V". Ecco, proprio questo gesto potrebbe rappresentare un enorme rischio per la privacy di ognuno di noi.
Il segnale di pericolo viene lanciato proprio dalla Cina (che recentemente ha introdotto il requisito dell'impronta digitale per poter ottenere il visto di ingresso nel paese, anche a fine turistico).
In occasione della Cyber Security Week 2019 di Shanghai, esperti informatici e digitali hanno mostrato i rischi legati a tale gesto. Questi, infatti, hanno confermato che le foto che mostrano il segno di vittoria scattate già a una distanza di 1,5 metri da fotocamere di ultima generazione potrebbero potenzialmente permettere la totale ricostruzione dell'impronta digitale.
Da una foto così strutturata, gli hacker più esperti sarebbero, quindi, in grado di accaparrarsi preziosi dati personali, utilizzando strumentazioni professionali di ingrandimento fotografico uniti ad altre sofisticate tecnologie di intelligenza artificiale.
Dunque, da una semplice fotografia si possono ricostruire impronte digitali e usarle illegalmente in vari modi: aprire serrature biometriche, sbloccare smartphone e altri dispositivi tecnologici, avviare pagamenti digitali e perfino rubare l'identità di altre persone.
Cos'è un'impronta digitale e come viene qualificata giuridicamente?
Un'impronta digitale costituisce un dato specificamente riferito ad un determinato soggetto ed è composta da tratti biometrici, come vortici, biforcazioni, creste, valli e terminazioni, che permettono non solo il riconoscimento di tale soggetto, ma ne assicurano l'identificazione con un grado di univocità vicino alla certezza.
Le impronte digitali, infatti, forniscono indicazioni su dati sensibili dell'interessato (ad esempio permettono di individuarne l'etnia di appartenenza) ed hanno un grado di univocità tale da permettere di differenziare perfino gemelli omozigoti.
Queste caratteristiche, in particolare, le hanno rese molto utili per finalità giudiziarie e di polizia, sia in ambito nazionale che europeo, anche al fine di controllare il flusso di persone per ragioni di sicurezza e di prevenire tipologie di crimini particolarmente gravi.
Da un punto di vista giuridico, l'impronta digitale rientra nella categoria dei "dati biometrici", che a loro volta costituiscono una sottocategoria dei dati sensibili.
Secondo la definizione dell'art. 4, comma 1, punto 14), del Regolamento UE 679/2016 (GDPR) sono dati biometrici i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici.
Le caratteristiche di questi dati, quindi, sono: l'unicità, la loro tendenziale immodificabilità e la loro idoneità ad identificare con certezza assoluta il soggetto cui si riferiscono.
I dati biometrici e, quindi, le impronte digitali possono essere lecitamente trattati solo nei casi espressamente previsti dall'art. 9 del Regolamento UE 2016/679 (GDPR), ovvero quando vi sia espresso consenso dell'interessato, un interesse vitale dell'interessato stesso o di un'altra persona, uno specifico obbligo legale, oppure un determinato interesse pubblico collegato a specifiche materie.
Inoltre, il Regolamento 2016/679 lascia la possibilità agli Stati membri di introdurre ulteriori tutele e limitazioni maggiori per il trattamento dei dati biometrici, proprio per la loro capacità di identificare in maniera univoca un soggetto.
A questo proposito, il nuovo articolo 2-septies del Codice Privacy italiano ha previsto che siano introdotte dal Garante Privacy con apposito provvedimento ulteriori misure di garanzia che dovranno essere osservate per il trattamento dei dati biometrici, ad integrazione di quelle già disposte dal GDPR. Questo elenco di misure di garanzia dovrà essere aggiornato con continuità (almeno ogni due anni) e conterrà dei "modelli di protezione" da seguire se si trattano tali tipologie di dati. Le eventuali misure richieste potranno essere costituite da più restrittive tecniche di cifratura o di pseudonomizzazione, da misure di minimizzazione, da specifiche modalità per l'accesso selettivo o limitazioni alle finalità del trattamento del dato personale e dovranno essere proposte tenendo conto non solo delle linee guida del Comitato Europeo per la protezione dei dati, ma anche dell'evoluzione scientifica e tecnologica nel settore in oggetto e dei concreti interessi, anche alla libera circolazione dei dati personali, in gioco.
Ricavare da una foto un'impronta digitale costituisce trattamento illecito di dati?
Ricavare un'impronta digitale da una foto, tramite strumentazioni professionali di ingrandimento fotografico unite ad altre sofisticate tecnologie di intelligenza artificiale, senza il consenso dell'interessato, integra un'ipotesi di trattamento illecito di dati.
Su questo punto il GDPR risulta chiarissimo: per trattare lecitamente i dati personali, occorre che si rientri in una delle specifiche "basi giuridiche" individuate dall'art. 6 del Regolamento: consenso, obbligo legale, interessi vitali dell'interessato o di un terzo, interesse pubblico o interessi che, nel giudizio di bilanciamento con la tutela del dato personale, risultino prevalenti.
E in aggiunta, come è stato chiarito nel paragrafo precedente, la ricostruzione di un'impronta digitale, essendo quest'ultima "dato sensibilissimo", deve rispettare ulteriormente le condizioni di trattamento "rafforzate" richieste dal combinato disposto dell'art. 9 GDPR e dell'art. 2-septies Codice Privacy illustrate sopra.
Altri profili di responsabilità penale
L'attività dell'hacker che, da una foto scattata con il segno di vittoria, ricostruisca l'impronta digitale del soggetto ritratto rientra a pieno titolo nella fattispecie penale sanzionata dall'art. 167 "Trattamento illecito di dati" del Codice Privacy.
Infatti, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, viola le disposizioni sul trattamento dei dati sensibili, tra cui rientrano i dati biometrici e, dunque, anche le impronte digitali, è punito con la reclusione da uno a tre anni.
Ciò sempre che il fatto non costituisca più grave reato.
Infatti, qualora l'impronta digitale ricostruita dalla fotografia venga utilizzata per scopi illeciti ulteriori, si potrebbero configurare altre tipologie di reato, autonome o in concorso: "Furto d'identità" ex art. 494 c.p., "Truffa" ex art. 640 c.p., come nel caso di utilizzo dell'impronta per avviare pagamenti digitali, "Furto" ex art. 624 c.p. con aggravante del mezzo fraudolento, come nel caso di sottrazione di uno smartphone con sistema di sbloccaggio mediante impronta e, in generale, tutti quei reati che possono essere realizzati o agevolati tramite l'utilizzo dell'impronta digitale illecitamente ricostruita.
Conclusioni
La prossima volta che scattate una foto con il segno di vittoria, in cui i polpastrelli di indice e medio siano bene in vista, e la pubblicate sui profili Social, pensateci bene: infatti, è sufficiente un ingrandimento fotografico e l'utilizzo, da parte di esperti del settore, di sofisticate attrezzature di intelligenza artificiale per ricostruire uno dei dati sensibili tra i più indicativi dell'identità di una persona: l'impronta digitale!