Chiamare la propria banca, autenticandosi e autorizzando telefonicamente le nostre operazioni finanziarie, senza dover seguire complicate routine oppure rispondere a una serie di noiose domande di sicurezza. Per consumatori e aziende è un vantaggio sicuramente sempre più apprezzato. Quando viene stabilito il giusto compromesso fra gli alti livelli di sicurezza – necessari per proteggere a dovere dati e informazioni sensibili – e una customer experience fluida e piacevole per l’utente.
Tuttavia, sussiste ancora uno sfumato scetticismo verso l’autenticazione vocale. Per la preoccupazione che non si possa garantire sufficiente sicurezza, oppure che i dati personali biometrici possano finire nelle mani sbagliate. Spitch, azienda internazionale specializzata nello sviluppo e nell’implementazione di soluzioni basate sulle tecnologie vocali, ha cercato di fare chiarezza su alcuni discussi aspetti della biometria vocale. Illustrando le tutele garantite dalla legge (e soprattutto dalla migliore tecnologia).
Verità e fantasie sulla biometria vocale
“La biometria vocale non è abbastanza sicura”
Al contrario, le soluzioni biometriche vocali offrono un livello di sicurezza maggiore rispetto alle tradizionali procedure di verifica basate su sistemi di password e domande di sicurezza. La voce umana è i un insieme di caratteristiche biometriche praticamente impossibili da replicare. Infatti, neppure un imitatore professionista “umano” riuscirebbe mai a copiare ogni singola caratteristica individuale della voce. Posto che i sistemi biometrici più avanzati sono in grado di valutare oltre 100 parametri, rilevando le minime differenze e distinguendo persino le voci dei gemelli.
È vero che alcuni sistemi “artificiali” cercano di riprodurre la voce umana. Ma la sicurezza viene garantita da soluzioni biometriche sempre più accurate, e ovviamente anche dall’utilizzo di sistemi di autenticazione a doppio fattore. Infatti la biometria vocale deve essere utilizzata – seguendo fra le altre le prescrizioni della PSD2, entrata in vigore il 14 settembre 2019 – in combinazione con altri fattori di autenticazione. Specialmente nei casi sensibili e di operazioni di pagamenti. Le normative prevedono infatti anche precise misure tecnologiche e organizzative per tutelare l’acquisizione dei dati, e la fissazione di limiti quantitativi per determinate transazioni telefoniche. Vi è inoltre l’obbligo di segnalare al cliente entro 72 ore la violazione della sicurezza dovuta ad attacchi di spoofing.
“La privacy non è sufficientemente protetta”
Con la crescita della consapevolezza sul tema, sempre più consumatori si chiedono: cosa faranno le aziende dei miei dati personali? Sebbene le impronti vocali, di per sé, siano dei modelli matematici e non contengano dati personali che rientrano nella definizione del GDPR, normalmente esse vengono collegate ad altre informazioni sensibili dei clienti. E, quindi, devono essere trattate in conformità con il Regolamento Europeo sulla Protezione dei Dati.
Dunque, la normativa protegge i dati biometrici. I potenziali rischi per la privacy potrebbero derivare piuttosto da soluzioni poco accurate, o da intenzioni etiche discutibili delle aziende a cui l’utente si affida. Che potrebbero non essere necessariamente in linea con le aspettative del cliente e della legge. Lo stesso vale, purtroppo, anche per il trattamento di qualsiasi altra tipologia di dati sensibili.
“Una volta condivisi i dati, si perde il controllo su di loro”
Quando un’azienda decide di utilizzare la biometria vocale e di creare le impronte vocali dei propri clienti, essa deve prima informarli con trasparenza e ricevere da loro un consenso libero, preventivo e informato. Tale consenso può̀ essere dato dal cliente in qualsiasi forma giuridicamente appropriata. Ad esempio firmando la dichiarazione di consenso nella sezione “Termini e Condizioni del cliente”, cliccando il pulsante “Accetto” nello stesso modulo del sito web. O confermandolo a voce durante una conversazione telefonica registrata con l’operatore del call center.
Ai clienti deve essere anche fornita un’opzione di recesso, nel caso decidano di non avvalersi della biometria. E contestualmente la possibilità di utilizzo dell’intera gamma dei servizi anche su base non-vocale. Insomma, i consumatori hanno sempre il diritto di “opt-out” sulla condivisione dei propri dati biometrici. La cancellazione è prescritta dal GDPR, ad esempio, se la raccolta e il trattamento dei dati personali siano stati condotti illecitamente. Ma gli utenti possono anche rivendicare il diritto, in determinate circostanze, di far rettificare, bloccare o cancellare i propri dati personali.
Il consenso del cliente deve essere sempre richiesto quando si tratta di dati personali dei cittadini dell’Unione Europea. Con un’esplicita menzione e rinnovata protezione per i dati vocali trasferiti a terze parti non basate all’interno dell’UE.
