Il modello di comportamento oltre a richiedere adattamenti in tema di conclusione del contratto, consegna della documentazione, attività ammesse, firma digitale, pone note questioni di compatibilità con la normativa a tutela della privacy, tanto più se gli strumenti utilizzati permettono di evolvere la mappatura del profilo del cliente, monitorandolo.
Come nel caso della possibilità di acquisire informazioni biometrico-comportamentali dei clienti, quali la pressione sul touch screen o i movimenti del mouse, in occasione della loro “navigazione” nell’area privata del proprio sito web. In tal caso la finalità puo’ essere duplice: di marketing e di sicurezza.
Ed infatti al Garante viene sottoposto un sistema in grado di generare profili univoci dei propri clienti basati sull’analisi del loro comportamento durante le operazioni svolte nell’area riservata del sito di internet banking. Il sistema, in una prima fase, raccoglie informazioni su azioni spontanee dell’utente, come i movimenti del mouse (incluse reazioni inconsce a “interferenze” prodotte appositamente dal sistema), la pressione del dito su schermi tattili, oppure la velocità di digitazione sulla tastiera. Tali dati biometrici sono combinati con altre informazioni relative alla tecnologia usata per collegarsi (pc, tablet, smartphone), come i parametri del sistema operativo e del browser di navigazione.
Ogni volta che il cliente si ricollega ai servizi bancari on line, il sistema provvede a comparare le caratteristiche della sua navigazione sul sito con quelle associate al profilo in memoria, così da individuare eventuali tentativi di accesso illecito ai conti on-line, informandone i clienti ed eventualmente inibendo determinate operazioni.
Dal parere espresso dal Garante emerge come una tale sistema sia ammesso e sia compatibile con i principi che regolano la materia della privacy nel settore bancario- finanziario, “poichè, non vi è dubbio che le finalità perseguite dalla banca –innalzare gli standard di sicurezza relativi alla navigazione sul proprio sito web nell’interesse, tra l’altro, degli stessi clienti– siano da ritenersi lecite.
Al riguardo, occorre anzitutto premettere, in termini generali, che in base all’orientamento giurisprudenziale prevalente la diligenza esigibile dall’operatore bancario nei rapporti con la clientela “deve essere qualificata dal maggior grado di prudenza e attenzione che la connotazione professionale dell’agente consente e richiede” ; in tale prospettiva, la carenza di un adeguato livello di protezione dei dati e dei sistemi informatici da parte degli operatori bancari, oltre ad assurgere a possibile fonte di responsabilità per questi ultimi (può talora acquisire rilevanza anche ai sensi degli artt. 15 e 31 del Codice anzitutto in termini di omessa adozione, a fronte di minacce informatiche sempre più pervasive e sofisticate, di idonee contromisure parimenti evolute in rapporto al progresso tecnico “
Ciò sempre a patto che si ricorra all’adozione di una serie di misure che invero sono già in uso. Come il necessario consenso seguito ad apposita e completa informativa, o il rispetto del noto requisito della “pertinenza” intesa quale selezione dei dati effettivamente utili alle finalità del rapporto con l’intermediario e la rinuncia a dati non pertinenti. Si ricordi inoltre l’importanza di gestire adeguatamente (e formalmente) i rapporti con il partner tecnologico che fornisce il sistema al quale dovrà essere espressamente inibito l’accesso alle informazioni dei clienti e dunque alla loro identità.