IL CASO

Riconoscimento facciale, bufera sullo “Spid” francese: viola il Gdpr?

L’esecutivo accelera i tempi per il lancio di Alicem, la app mobile che permette ai cittadini di creare l’identità digitale per accedere ai servizi online. Ma c’è l’obbligo di fornire i dati biometrici: sul piede di guerra il Cnil e le associazioni dei consumatori

03 Ott 2019

Patrizia Licata

giornalista

La Francia potrebbe diventare il primo stato europeo a impiegare la tecnologia di riconoscimento facciale su vasta scala con il programma Alicem (Authentification en ligne certifiée sur mobile), una app mobile che lega alla biometria la creazione dell’identità digitale con cui i cittadini svolgono le transazioni online. Nelle intenzioni del presidente Emmanuel Macron e del ministro dell’Interno Christophe Castaner la app diventerà operativa da novembre; il sistema è definito efficiente e sicuro e capace di eliminare l’anonimato online, che apre le porte a profili fake e hate speech. Ma le contestazioni sull’impiego di una tecnologia controversa perché suscettibile di errori e violazioni della privacy si sono moltiplicate: per il Clin, l’autorità garante dei dati personali, Alicem viola le disposizioni del Gdpr sul consenso informato prima della raccolta di qualunque dato personale. L’associazione La Quadrature du Net ha addirittura depositato una causa presso il Consiglio di stato per chiedere all’annullamento del decreto che autorizza la creazione dell’applicazione mobile Alicem.

Come funziona la app Alicem

“Andiamo verso un uso massiccio del riconoscimento facciale”, dichiarano i legali de La Quadrature du Net, che promuove i diritti e le libertà digitali dei cittadini. “Poco interessano il consenso e la libertà di scelta”.  L’associazione spiega che Alicem mira a consentire ai titolari di passaporto o permesso di soggiorno elettronico di creare un’identità digitale per facilitare l’accesso a determinati servizi Internet, amministrativi o commerciali, come il pagamento delle tasse e delle utenze o l’accesso ai servizi sanitari. Come spiegato nel decreto che autorizza la sua creazione, “questo trattamento automatizzato di dati personali ha lo scopo di consentire l’identificazione e l’autenticazione elettronica per l’accesso ai servizi online in conformità con i requisiti relativi al livello di garanzia richiesta dal servizio online pertinente ai sensi del regolamento europeo eIdas”, ovvero electronic IDentification Authentication and Signature (Regolamento Ue n° 910/2014 sull’identità digitale) che fornisce una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri.

L’utente deve scaricare l’applicazione sul suo smartphone (per ora solo Android) per creare un account. Il chip dello smartphone dialoga col chip del passaporto o permesso di soggiorno elettronico. L’applicazione ha quindi accesso ai dati memorizzati al suo interno, escluse le impronte digitali; infine, per attivare l’account, occorre farsi, tramite la app Alicem, una foto e un video con precisi gesti da eseguire davanti alla telecamera. La combinazione del selfie e della foto del passaporto rappresentano i dati per il riconoscimento biometrico e permette di  generare l’identità digitale. A quel punto la persona può utilizzare Alicem per identificarsi con i fornitori dei servizi online.

Aggirato l’obbligo di consenso

Un progetto di identità digitale fondato su un dispositivo di riconoscimento facciale obbligatorio che viola il Gdpr e ha come obiettivo quello di identificare ogni persona su Internet per non lasciare più alcun posto all’anonimato non può che essere combattuto ed è questo l’oggetto del nostro ricorso”, afferma La Quadrature du Net.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Il Cnil (Commission nationale de l’informatique et des libertés) sostiene che tale sistema viola la General data protection regulation europea perché non rispetta i principi della libera scelta e del consenso obbligatorio. L’authority ha riferito di aver espresso al governo le sue preoccupazioni “in modo molto chiaro”.

Parigi assicura: Alicem non servirà a controllare le persone e i dati biometrici non saranno integrati nei database contenenti gli altri dati identificativi dei cittadini. Anzi, il ministero dell’Interno, che ha sviluppato la app, ha detto che i dati raccolti per il riconoscimento facciale saranno cancellati una volta che tutti i cittadini avranno aderito al programma.

Non è a prova di hacker

“Questa corsa al riconoscimento facciale è un enorme rischio” per le incognite sull’utilizzo finale, ribatte Didier Baichere, parlamentare del partito di Macron (La Republique en marche) eletto nel 2017 e membro dell’Opecst (Office Parlementaire d’Evaluation des Choix Scientifiques et Technologiques). Per Baichere il problema è permettere l’impiego di massa prima che siano creati opportuni controlli per rendere la tecnologia sicura da possibili attacchi hacker, rispettosa della privacy e al riparo da abusi.

Altra preoccupazione è legata alla sicurezza di Alicem che, secondo Parigi, è “di massimo livello”. Ma ad aprile Robert Baptiste, un hacker che si fa chiamare Elliot Alderson su Twitter, è riuscito ad accedere a una delle app del governo definite “ultra-sicure” nel giro di 75 minuti, lasciando parecchi dubbi sugli standard di sicurezza digitale pubblicizzati dallo stato francese.

@RIPRODUZIONE RISERVATA

Articolo 1 di 3