Alexey Popov, CEO di Spitch, società di consulenza svizzera specializzata in tecnologie vocali e analisi linguaggio del parlato, ha redatto un approfondimento sugli aspetti legali dell’utilizzo delle tecnologie vocali con riferimento all’applicazione del GDPR, norma che entrerà in vigore il mese prossimo e che riguarderà anche i dati di biometria vocale (ad esempio, le impronte vocali dei cittadini europei) e i processi di verifica dell’identità.
Questo comporterà una omogeneizzazione del trattamento legale internazionale per i Paesi dell’Unione Europea, considerato che attualmente la legge prescrive standard specifici e linee guida per le diverse giurisdizioni, che possono variare da nazione a nazione.
“Per molti dei nostri clienti gli aspetti legali dell’utilizzo delle tecnologie vocali sono strettamente connessi non solo a questioni legate alla protezione dei dati personali, ma anche alla data security in generale, specialmente nei casi di autenticazione multi-fattore. Molte aziende hanno la necessità di bilanciare un livello di sicurezza ragionevolmente elevato con la volontà di offrire una customer experience qualificata e piacevole, ovvero un accesso facile e senza ostacoli a dati e servizi, che allo stesso tempo venga percepito come sufficientemente sicuro dai clienti stessi”.
L’utilizzo della biometria e di altre tecnologie vocali viene spesso indicato come la procedura di autenticazione probabilistica più sicura ed economicamente appetibile, facilmente combinabile con altri metodi di autenticazione deterministici, permettendo anche la verifica in modalità remota senza necessità di strumenti o applicazioni aggiuntive.
È importante sottolineare che le soluzioni di biometria vocale forniscono un maggior livello di sicurezza rispetto alle procedure di verifica tradizionali, basate su domande di sicurezza.La voce umana è anche molto più complessa da imitare alla perfezione (traendo in inganno il sistema), rispetto, ad esempio, a un’impronta digitale. Nelle conversazioni reali con gli operatori di call center, la verifica è un compito arduo per i software attualmente esistenti. Inoltre, la biometria vocale è facile da combinare con qualsiasi altro fattore di autenticazione in soluzioni multi-fattore, come password basate sulla conoscenza, codici numerici e frasi generate in maniera random etc., per evitare attacchi o spoofing pre-registrati.
Tecnicamente, la creazione di un’impronta vocale implica l’utilizzo delle caratteristiche vocali di una persona per costruire un modello matematico della voce, che può essere utilizzato solo da una soluzione di identificazione e verifica biometrica concreta. Questa è in grado di confrontare un campione di pochi secondi della voce dal vivo di un soggetto (convertito istantaneamente in un modello matematico) con il modello memorizzato nel database di impronte vocali del sistema. Non avrebbe senso, quindi, attaccare un sistema al fine di ottenere delle impronte vocali per tentare un accesso fraudolento, poiché il sistema, per la riuscita della verifica, richiede la voce dal vivo e libera da interazioni predefinite.
A partire da maggio 2018 i dati biometrici (comprese le impronte vocali) che fanno riferimento all’identità di cittadini UE saranno trattati come dati personali sensibili ai sensi del GDPR. Qualsiasi azienda che memorizzi o elabori dati biometrici vocali dei cittadini dell’Unione, pertanto, dovrà rispettare il GDPR, anche se non ha una presenza commerciale all’interno dell’UE. Inoltre, i dati personali, comprese le impronte vocali, devono essere cancellati immediatamente se un individuo ne fa richiesta.
“Nell’ambito del GDPR le organizzazioni potranno anche godere di incentivi molto forti per l’utilizzo delle tecniche di pseudonimizzazione dei dati (ad esempio hashing, crittografia, ecc), allo scopo di facilitare l’adempimento degli obblighi di conformità e gestire i rischi. I dati pseudonimizzati sono comunque considerati una tipologia di dati personali e sono pertanto soggetti ai requisiti del GDPR. Le aziende che pseudonimizzano i propri dati beneficeranno comunque dell’allentamento di alcune disposizioni del GDPR, in particolare per quanto riguarda i requisiti di notifica di violazione dei dati.
È inoltre importante essere consapevoli del fatto che in alcuni casi di utilizzo nel settore bancario (ad esempio nelle app di telefonia mobile basate su Siri), è difficile o impossibile garantire che i dati personali dei clienti non vengano trasferiti oltre confine, portando a una potenziale violazione del GDPR o di altre norme sulla riservatezza dei dati, a prescindere dal Paese di destinazione.
Il titolare del trattamento dei dati (l’azienda) si assume infatti la piena responsabilità per l’elaborazione dei dati, anche se alcune parti del trattamento sono esternalizzate a una terza parte (il Responsabile del trattamento dei dati) come nel caso di alcune aziende statunitensi. L’ausilio delle tecnologie vocali garantisce uno stretto controllo dell’azienda sui dati dei propri clienti e permette un’elaborazione interna o con terze parti di assoluta fiducia, che soddisfa i requisiti normativi almeno all’interno del Paese originario.
