Registration is wrong! Please check form fields.
Publication detail:

La voce umana: uno strumento sicuro e un bene da proteggere

1_a.jpgNo entrambi due temi tecnologici “caldi”: le tecnologie biometriche di riconoscimento vocale e il Gdpr, ovvero il nuovo regolamento europeo sul trattamento dei dati, obbligatorio per le aziende dell'Ue a partire da maggio di quest'anno. Che cosa hanno in comune due argomenti apparentemente così lontani, a parte il fatto di essere di tendenza? Il tratto d'unione sono semplicemente i dati. La materia prima di tutte le tecnologie di intelligenza artificiale, incluse quelle inclusive di interfacce vocali, ma anche un oggetto fragile, che bisogna proteggere.

L'uso della biometria ha implicazioni legali forse poco note ma importanti. Basti pensare a come la voce inizi a essere usata nei processi di verifica dell’identità, creando delle “impronte vocali”degli individui. Ce ne parla Alexey Popov, Ceo di Spitch, una società multinazionale (con sede principale in svizzera) specializzata in soluzioni di riconoscimento e biometria, interfacce vocali e analisi della voce in linguaggio naturale.

Nel maggio 2018 entrerà in vigore il Regolamento Generale per la Data Protection (Gdpr), il cui dispositivo riguarderà anche i dati di biometria vocale (ad esempio, le impronte vocali dei cittadini europei) e i processi di verifica dell’identità. Questo comporterà una omogeneizzazione del trattamento legale internazionale per i Paesi dell’Unione Europea, considerato che attualmente la legge prescrive standard specifici e linee guida per le diverse giurisdizioni, che possono variare da nazione a nazione. Per molti dei nostri clienti, gli aspetti legali dell’utilizzo delle tecnologie vocali sono strettamente connessi non solo a questioni di protezione dei dati personali ma anche alla data security in generale, specialmente nei casi di autenticazione multi-fattore. Molte aziende hanno la necessità di bilanciare un livello di sicurezza ragionevolmente elevato con la volontà di offrire una customer experience qualificata e piacevole: in altre parole, un accesso facile e senza ostacoli a dati e servizi, che allo stesso tempo venga percepito come sufficientemente sicuro dai clienti stessi.

L’utilizzo della biometria e di altre tecnologie vocali viene spesso indicato come la procedura di autenticazione probabilistica più sicura ed economicamente appetibile. Una procedura che è facilmente combinabile con altri metodi di autenticazione deterministici, permettendo anche la verifica in modalità remota, senza necessità di strumenti o applicazioni aggiuntive. È importante sottolineare che le soluzioni di biometria vocale forniscono un maggior livello di sicurezza rispetto alle procedure di verifica tradizionali, basate su domande di sicurezza. La voce umana è anche molto più complessa da imitare alla perfezione (traendo in inganno il sistema), rispetto, ad esempio, a un’impronta digitale. Nelle conversazioni reali con gli operatori di call center, la verifica è un compito arduo per i software attualmente esistenti. Inoltre, la biometria vocale è facile da combinare con qualsiasi altro fattore di autenticazione in soluzioni multi-fattore, quali password basate sulla conoscenza, codici numerici e frasi generate in maniera random , utili per evitare attacchi o spoofing pre-registrati.

Tecnicamente, la creazione di un'impronta vocale implica l’utilizzo delle caratteristiche della voce di una persona per costruirne un modello matematico, il quale può essere utilizzato solo da una soluzione di identificazione e verifica biometrica concreta. Questa è in grado di confrontare un campione di pochi secondi della voce dal vivo di un soggetto (campione convertito istantaneamente in un modello matematico) con il modello memorizzato nel database di impronte vocali del sistema. Non avrebbe senso, quindi, attaccare un sistema al fine di ottenere delle impronte vocali per tentare un accesso fraudolento, poiché il sistema, per la riuscita della verifica, richiede la voce dal vivo e libera da interazioni predefinite.

A partire da maggio 2018. i dati biometrici (comprese le impronte vocali) che fanno riferimento all’identità di cittadini Ue saranno trattati come dati personali sensibili ai sensi del Gdpr.Qualsiasi azienda che memorizzi o elabori dati biometrici vocali dei cittadini dell’Unione, pertanto, dovrà rispettare il Gdpr anche se non ha una presenza commerciale all'interno dell'Ue. Inoltre i dati personali, comprese le impronte vocali, devono essere cancellati immediatamente se un individuo ne fa richiesta. Noi riteniamo che i processi di conformità ai sensi del Gdpr e delle normative nazionali abbiano la necessità di essere automatizzati e all’occorrenza facilmente rivedibili, nel momento in cui il quadro regolatorio dovesse cambiare.

Le soluzioni di Spitch non solo consentono alle aziende di garantire la piena conformità in un contesto normativo potenzialmente mutevole, ma permettono di farlo anche nel modo più conveniente dal punto di vista economico. Il punto cruciale è che le aziende che utilizzano la biometria vocale e la gestiscono correttamente si troveranno ad affrontare minori problemi di non conformità, e oneri meno significativi in termini di costo.

Nell’ambito del Gdpr, le organizzazioni potranno anche godere di incentivi molto forti per l’utilizzo delle tecniche di pseudonimizzazione dei dati (ad esempio hashing, crittografia, ecc), allo scopo di facilitare l’adempimento degli obblighi di conformità e gestire i rischi. I dati pseudonimizzati sono comunque considerati una tipologia di dati personali, e sono pertanto soggetti ai requisiti del Gdpr; le aziende che pseudonimizzano i propri dati beneficeranno comunque dell’allentamento di alcune disposizioni del Gdpr, in particolare per quanto riguarda i requisiti di notifica di violazione dei dati.

È inoltre importante essere consapevoli del fatto che in alcuni casi di utilizzo nel settore bancario, per esempio nelle app di telefonia mobile basate su Siri, è difficile o impossibile garantire che i dati personali dei clienti (compresi i dati personali sensibili) non vengano trasferiti oltre confine, portando a una potenziale violazione del Gdpr o di altre norme sulla riservatezza dei dati, a prescindere dal Paese di destinazione. Il "Titolare del trattamento dei dati" (“l’azienda”) si assume la piena responsabilità per l'elaborazione dei dati, anche se alcune parti del trattamento sono esternalizzate a una terza parte (il "responsabile del trattamento dei dati"), per esempio alcune aziende statunitensi. L’ausilio delle tecnologie vocali garantisce uno stretto controllo dell’azienda sui dati dei propri clienti e permette un’elaborazione interna o con terze parti di assoluta fiducia, che soddisfa i requisiti normativi almeno all'interno del Paese originario.