Newsletter 19 - 25 aprile 1999

• Ricorsi inammissibili se non si rispettano regole.
• L´albo degli assistenti sociali.
• Le multe per la prostituzione.
• Rafforzata la posizione del Garante tedesco.
• Uno sguardo profondo e tutte le porte si aprono.

Ricorsi inammissibili se non si rispettano regole

Il 16 febbraio scorso è entrato in vigore il regolamento di organizzazione e funzionamento dell´Ufficio del Garante (DPR n.501 del 1998). Questo provvedimento specifica, tra l´altro, il procedimento per la presentazione dei "ricorsi" all´Autorità: modalità, contenuto, ipotesi di inammissibilità e manifesta infondatezza.

In questo modo si è data piena attuazione alla legge n. 675 che ha previsto tale particolare procedimento di tutela. E´ bene ricordare che il ricorso non va presentato per ogni caso di sospetta violazione della legge sulla privacy, ma solo per far valere precisi diritti riconosciuti ai cittadini dall´art. 13: accesso ai dati personali, possibilità di integrarli, correggerli, cancellarli e, se del caso, opporsi alla loro utilizzazione. Diverso il caso di semplici segnalazioni e reclami con i quali si può rappresentare ugualmente le osservazioni di legge, ma senza particolari formalità sia nel momento in cui sono presentati sia quando sono esaminati.

Dalle prime decisioni assunte dal collegio del Garante riguardo a questo tipo di procedimenti emerge che, tra i circa 30 finora presentati secondo le nuove regole, diversi ricorsi sono stati dichiarati inammissibili.

In particolare, si nota che in varie occasioni gli interessati si sono rivolti "in prima battuta" al Garante, proponendo ricorso senza aver prima seguito la procedura prevista dalla legge. Perché si possa presentare ricorso, infatti, l´interessato deve prima di tutto formulare un´istanza al gestore della banca dati nella quale sia evidenziata con chiarezza la richiesta dei diritti che si intende esercitare. Solo in caso di mancata, incompleta o reticente risposta del titolare del trattamento ci si potrà legittimamente rivolgere al

Garante, presentando ricorso nel rispetto delle formalità previste (dati completi del ricorrente, copia della richiesta precedentemente avanzata, autenticazione della firma nei casi necessari ecc.).

La presentazione immediata del ricorso al Garante, infatti, è possibile esclusivamente nel caso in cui vi sia particolare e comprovata urgenza ed il decorso del tempo necessario per interpellare il gestore della banca dati esporrebbe, di conseguenza, taluno "a pregiudizio imminente e irreparabile".

Si ricorda che per la presentazione dei ricorsi sono stati fissati in lire 50.000 i diritti di segreteria da corrispondere direttamente agli uffici dell´Autorità, siti in Largo del Teatro Valle, n. 6 – 00186 Roma, o mediante conto corrente postale n.96677000 intestato al Garante per la protezione dei dati personali.

Saranno esentati dal pagamento dei diritti di segreteria tutti coloro i quali dichiareranno, mediante autocertificazione, di versare nelle disagiate condizioni economiche che giustifichino l´ammissione al patrocinio a spese dello Stato.

L´albo degli assistenti sociali

Un Ordine regionale degli assistenti sociali ha chiesto al Garante indicazioni sulla pubblicità del proprio albo professionale anche ai fini della realizzazione di una ricerca da affidare ad istituti privati specializzati. Il Garante ha osservato innanzitutto che la legge n.675 del 1996 non ha modificato la disciplina riguardante la tenuta e la conoscibilità degli albi professionali. La legge stabilisce, infatti, che i soggetti pubblici possono trattare dati personali soltanto ai fini dello svolgimento di funzioni istituzionali e nel rispetto dei limiti stabiliti dalle leggi e dai regolamenti, senza acquisire il consenso degli interessati. La comunicazione di dati ad altre amministrazioni pubbliche deve essere prevista di regola da una norma primaria o secondaria ma può essere effettuata comunque, in via residuale, anche in mancanza di una precisa previsione, qualora sia necessaria per lo svolgimento di funzioni istituzionali da indicare in un´apposita comunicazione da inviare al Garante. Diverso il caso, invece, della comunicazione e diffusione di dati personali nei confronti di privati o di enti pubblici economici, che sono invece consentite solo se previste da una norma di legge o di regolamento.

Applicando questi principi alla tenuta di altri albi professionali, l´Autorità ha ricordato che gli albi dei liberi professionisti sono ispirati per loro stessa natura e funzione ad un regime di pubblicità, anche in funzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti all´albo. Ciascuna legge di riferimento, infatti, prevede in una qualche misura forme di pubblicità dell´albo che sebbene sono a volte regolate in modo incompleto confermano, però, le caratteristiche di pubblicità prima evidenziate.

Questo tuttavia non è il caso degli assistenti sociali, la cui disciplina di settore non prevede alcun genere di pubblicità, né vi sono altre fonti normative che disciplinano espressamente la pubblicità e la consultazione dell´albo o la sua conoscibilità da parte di altri soggetti pubblici o privati (ad esempio, attraverso trasmissione di copie ad altre istituzioni).

Attualmente, dunque, in mancanza di una puntuale disposizione di legge o di regolamento che lo consenta, non è possibile comunicare i dati contenuti nell´albo a soggetti privati. L´Ordine potrebbe, però, come suggerito dal Garante, promuovere una opportuna integrazione della legge sulla professione di assistente sociale o del relativo regolamento, in modo da attribuire all´albo lo stesso regime che è riconosciuto espressamente per altri albi professionali.

Tuttavia, l´obiettivo di pubblicare una ricerca sulla professione eventualmente commissionata ad istituti di carattere privato, senza necessità di acquisire il consenso o altra "autorizzazione" degli interessati o del Garante, resta praticabile.

Qualora, infatti, la ricerca che si intende effettuare sia giustificata dalle funzioni istituzionali perseguite, l´Ordine potrebbe infatti procedere direttamente alla ricerca stessa avvalendosi della collaborazione dell´istituto in qualità di responsabile del trattamento dei dati. Quest´ultimo, in tal modo, potrebbe essere autorizzato ad accedere alle informazioni contenute nel suddetto albo professionale e necessarie per l´assolvimento dei compiti affidati. Naturalmente, i dati dovranno essere utilizzati per le sole finalità relative alla ricerca.

Le multe per la prostituzione

Il 26 ottobre scorso il Garante, aveva preso in esame un´ordinanza del Sindaco di Marcianise, il quale, per scoraggiare il fenomeno della prostituzione, aveva vietato ai conducenti di autoveicoli di fermarsi e contrattare prestazioni sessuali, sul presupposto che tali comportamenti avrebbero creato intralcio e pericolo al traffico e rischi per la guida, con conseguente pericolo per la sicurezza delle persone.

Il Garante aveva subito segnalato l´illegittimità di alcune prescrizioni contenute nell´ordinanza riguardanti l´obbligo, stabilito a fini di "tutela della salute pubblica", di comunicare la violazione al domicilio del contravventore, anche nel caso in cui la contravvenzione fosse stata contestata immediatamente o fosse stata addirittura pagata. L´Autorità, astenendosi da considerazioni di ordine etico sul fenomeno, aveva ritenuto eccedente i limiti di competenza dell´amministrazione comunale il fatto che l´ordinanza prevedesse comunque la comunicazione a domicilio della constatazione della violazione, in relazione agli eventuali contatti con prostitute che avrebbero messo a rischio anche la salute dei familiari della persona alla quale veniva elevata la contravvenzione.

Questo determinava anche una divulgazione non legittima di dati attinenti alla sfera sessuale in contrasto con la legge 675. Era poi del tutto privo di fondamento giuridico l´ordine di comunicare la violazione al domicilio dell´automobilista quando questa fosse già stata contestata immediatamente e avvenuto il pagamento.

Il Garante aveva, perciò, invitato l´amministrazione comunale ad adottare le opportune misure per rendere conformi alla legge sulla privacy quelle prescrizioni. Rispondendo, il Sindaco aveva assicurato che pur non avendo intenzione di dare esecuzione a quelle parti dell´ordinanza, proprio in relazione ai profili di tutela della privacy, non avrebbe modificato l´ordinanza nella convinzione che mantenerla in vigore nell´attuale formulazione avrebbe comportato "un´azione di prevenzione più incisiva" nello scoraggiare il fenomeno della prostituzione. Nella sua nota, il Sindaco non chiariva, inoltre, se l´assicurazione fornita avrebbe riguardato anche l´invio a domicilio della multa in caso di avvenuta oblazione direttamente sul posto.

Il Garante ha quindi osservato che, permanendo l´illegittimità dei punti segnalati, l´ordinanza non può essere mantenuta in vigore nella formulazione attuale, e vanno sanate le illegittimità in essa contenute.

Quale che sia l´orientamento dell´amministrazione comunale, non può ritenersi infatti lecito che il vizio palese di un atto, ampiamente conoscibile dal pubblico, sia mantenuto in vita. Né può accadere che un´ordinanza dalla quale discendono sanzioni penali ed obblighi di riferire alla magistratura venga sostanzialmente disapplicata mediante decisioni informali e discrezionali del Sindaco.

Per questi motivi, il Garante ha confermato la precedente decisione e ha ribadito la necessità che il Comune adegui l´ordinanza alle norme sulla privacy, invitando il Sindaco ad inviare copia della nuova ordinanza.

Rafforzata la posizione del Garante tedesco
(traduzione di un articolo pubblicato sulla Frankfurter Allgemeine Zeitung del 9 aprile)

L´Incaricato federale per la protezione dei dati [Bundesbeauftragter für den Datenschutz] ha il diritto di fare pubbliche dichiarazioni relative ad ogni problematica importante in materia di protezione dati, anche in forme molto esplicite. Ciò vale anche qualora si tratti di situazioni in rapporto alle quali, secondo le vigenti disposizioni, l´Incaricato federale non ha in via diretta una propria competenza. I poteri del responsabile federale per la protezione dei dati si fondano infatti sulla sua particolare posizione, riconosciutagli dalla Legge federale sulla protezione dei dati; tali poteri si fondano dunque sul diritto di rivolgersi in qualsiasi momento al Parlamento federale e al Governo federale. E´ questo quanto chiarito espressamente in una sentenza, da poco pubblicata, del Tribunale amministrativo di Colonia (sentenza dell´11 marzo 1999). Il Tribunale ha pertanto censurato solo in parte le dichiarazioni del responsabile federale per la protezione dei dati, Joachim Jacob, in merito alla creazione di un registro elettronico generale dell´edilizia da parte della casa editrice Tele-Info Verlag SpA, mentre ha espressamente autorizzato altre affermazioni a contrasto di quanto dichiarato dalla ditta. Il Tribunale non si è pronunciato sull´ammissibilità della banca dati in questione, dato che la materia non costituiva oggetto del contendere.

Il progetto elaborato dalla casa editrice, che ha sede a Garbsen, prevedeva la registrazione con videocamere elettroniche e la memorizzazione in formato digitale di immagini degli edifici e dei fondi situati su strade e piazze pubbliche in tutte le principali città tedesche, ma fin dall´inizio aveva incontrato una forte opposizione da parte dell´opinione pubblica. Anche l´Incaricato federale per la protezione dei dati aveva preso posizione con una dichiarazione a mezzo stampa del 23 ottobre 1998. In essa l´Incaricato faceva varie affermazioni, che a giudizio della ditta costituivano una violazione del diritto fondamentale all´esercizio di un´attività professionale e alla proprietà. Fra le altre cose, Jacob affermava che il progetto rappresentava "una nuova dimensione del potere informazionale in mani private". Si trattava di "un grave vulnus della sfera privata dei singoli". Il progetto "è in netto conflitto con l´interesse alla (auto)tutela dei cittadini e delle cittadine". Tuttavia, Jacob dichiarava anche che esisteva il pericolo di "spalancare le porte ad attività criminali" attraverso il progetto in questione, e che "l´iniziativa non è ammissibile neppure in base alla normativa vigente".

Nell´istanza presentata dalla casa editrice per ottenere un´ordinanza provvisoria, si affermava che l´Incaricato federale per la protezione dei dati non aveva alcuna autorità per fare dichiarazioni del genere. Nella sentenza dell´11 marzo 1999, contro cui non è stato presentato ricorso al Tribunale amministrativo superiore, il Tribunale ammette l´istanza solo in parte e riconosce espressamente all´Incaricato federale per la protezione dei dati la possibilità di fare determinate affermazioni. Nelle motivazioni dettagliate della sentenza, i giudici mettono a confronto le ragioni della ditta con gli interessi dell´Incaricato federale per la protezione dei dati. Riconoscono a quest´ultimo in modo espresso il diritto di ammonire e prendere posizione anche relativamente ad imprese private. Tuttavia, nel caso di un ammonimento sostanziale rivolto contro una determinata iniziativa, occorre attenersi con particolare rigore al principio di proporzionalità, poiché si vanno a colpire attività professionali ed economiche. L´Incaricato federale è andato oltre tale limite affermando di giudicare illegittima l´iniziativa della casa editrice; una constatazione negativa di questo tipo può infatti essere compiuta solo all´esito di un´attenta valutazione delle circostanze di fatto e di diritto. I giudici non ritengono che il caso in oggetto configuri un´eccezione, quale può verificarsi in presenza di una palese illegittimità e di un rischio attuale per la collettività. Anche la valutazione conclusiva compiuta da Jacob, secondo cui l´iniziativa offrirebbe nuove possibilità di reato, non è stata giudicata ammissibile dal Tribunale, in quanto attribuisce al prodotto ancora in via di elaborazione un´"aura di criminosità" che è lesiva dell´attività imprenditoriale. I giudici hanno invece espressamente ritenuto ammissibili tutte le altre critiche rivolte da Jacob alla banca dati in oggetto, poiché rientrano nell´ampio diritto di espressione riconosciuto all´Incaricato federale per la protezione dei dati.

Uno sguardo profondo e tutte le porte si aprono
(traduzione di un articolo di Dieter Winkler sui sistemi di sicurezza biometrici pubblicato sulla Frankfurter Allgemeine Zeitung del 6 aprile)

Carte di credito e controlli elettronici per l´accesso sono andati sempre più diffondendosi negli ultimi anni. Dalla semplice tessera dotata di banda magnetica si è passati alla smart card [carta intelligente] con microprocessore incluso e sistemi crittografici. Grazie all´impiego di tecniche di cifratura a chiave asimmetrica, secondo le rigide normative dello schema ITSEC (un sistema per la valutazione delle tecniche di sicurezza), lo scambio di dati fra carte e computer è protetto in modo talmente efficace che gli hacker non hanno in pratica alcun appiglio. Tuttavia, il vero punto debole è rappresentato dal numero di identificazione personale (PIN), generalmente non superiore alle quattro cifre, che dovrebbe costituire un ostacolo all´accesso non solo per le smart cards, ma anche per le attività bancarie online e per l´utilizzo delle agende personali elettroniche. I PIN, ma anche le password di uso comune in ambito informatico, offrono una protezione dubbia non solo in termini tecnici, ma anche perché spesso si tende ad annotarli in prossimità delle diverse postazioni di utilizzo e se ne facilita in tal modo un uso improprio.

I nuovi sistemi biometrici dovrebbero costituire una soluzione a questo problema. Attraverso particolari sensori, vengono rilevate alcune caratteristiche fisiche quali le impronte digitali o la voce, confrontandole con un campione di riferimento precedentemente memorizzato. "Tutte le applicazioni biometriche prevedono la raccolta dei dati, la loro elaborazione primaria, l´estrazione dei tratti caratterizzanti, la classificazione e la definizione degli elementi di riferimento", spiega Hans-Joachim Pelka, presidente del Gruppo di lavoro sulle tecniche biometriche di identificazione di Teletrust Deutschland. I calcoli che tali operazioni comportano spiegano per quale motivo i sistemi biometrici complessi siano stati utilizzati in passato esclusivamente in ambiti di massima sicurezza. Ma le cose oggi sono cambiate: da un lato, sono disponibili attualmente processori e sensori dalle prestazioni elevate ed a costi ridotti; dall´altro lato i moderni personal computer con processori pentium sono ormai perfettamente in grado di eseguire le cinque operazioni necessarie all´identificazione di una persona nello spazio di 1-2 secondi.

Esistono circa una dozzina di tecniche biometriche. I sistemi statici si basano sul riconoscimento di impronte digitali, volto, occhi (iride oppure retina), mano, reticolo venoso del polso, letto ungueale, conformazione delle orecchie o odore. Nei sistemi di analisi dinamica si prendono invece in considerazione la voce, i movimenti labiali, la grafia (la firma) o la pressione esercitata sui tasti. Questi dati biometrici non possono essere persi né dimenticati, né una persona può esserne derubata nel senso tradizionale del termine. Tuttavia, questi sistemi creano nuove difficoltà. L´utente deve inizialmente depositare un campione della caratteristica biometrica presa in considerazione, ma non ha alcun controllo sul destino di tale campione. Non può che fidarsi delle assicurazioni fornite del produttore, secondo cui le informazioni (ad esempio, relative alle impronte digitali) vengono trasformate con la massima attenzione in uno schema delle creste digitali (minuzie), attraverso complessi algoritmi, e successivamente criptate. Se però un estraneo riuscisse ad accedere alle minuzie e quindi a riprodurre l´impronta digitale originale, si aprirebbero le porte ad infiniti usi impropri. Tutto ciò evidenzia un punto debole dei sistemi biometrici: un PIN, una password o una chiave, se sottratti, possono essere facilmente sostituiti - se necessario sostituendo l´intero sistema di sicurezza. Nel campo della biometria tutto ciò però non vale: se l´impronta digitale finisce in mani non autorizzate, non si può creare un nuovo dito per il singolo utente.

Un altro problema è rappresentato dalla scarsa precisione dei sistemi di questo tipo. Ad esempio, nel caso del riconoscimento del volto l´utente viene fotografato o filmato; per il riconoscimento vocale deve invece registrare alcune frasi. Sulla base di queste informazioni viene creato un modello di riferimento. Al successivo contatto con il sistema verrà rilevato un modello attuale che sarà confrontato con il campione di riferimento. I due modelli però non saranno mai identici: l´aspetto, ma anche la voce, sono soggetti a continui mutamenti. Si aggiunga la tolleranza legata alla imperfetta pulizia dei sensori e alle variazioni di luminosità o della temperatura ambiente. Tali limiti di tolleranza sono dunque necessari. Se la persona si siede al posto di lavoro con un forte raffreddore e gli occhi gonfi, rischia di non essere riconosciuta. Un caso del genere rientra in quello che, nel linguaggio specialistico, viene chiamato False Rejection Rate (FRR). Quanto più alto è tale fattore, tanto maggiore è il rischio che l´accesso sia rifiutato anche a soggetti legittimati. Sarebbe auspicabile un valore pari a zero, che però appare difficilmente raggiungibile. Praticamente nessun apparecchio per la scansione delle impronte digitali è in grado di riconoscere al primo contatto un pollice sporco di olio. Le apparecchiature più user-friendly concedono di compiere più tentativi, nei casi dubbi, e invitano l´utente a premere le dita con più forza sulla superficie del sensore.

Dunque, anche gli aspetti di ordine igienico hanno un peso non indifferente nel funzionamento dei sensori, e non solo qualora siano più persone ad utilizzare congiuntamente uno stesso sistema di riconoscimento. Particolarmente problematica risulta la presenza di ferite alle dita. L´apparecchio è in grado di identificare correttamente i singoli soggetti solo una volta rimosso il cerotto o la benda; in casi del genere non si può escludere un rischio per la salute dei singoli utenti. Da questo punto di vista i sistemi che non si basano sul contatto fisico offrono maggiori vantaggi. Ad esempio, ben presto si potrà utilizzare l´iride per i controlli di sicurezza. L´iride possiede infatti 260 punti caratteristici inconfondibili, che negli adulti presentano variazioni molto contenute. In un sistema testato in vari paesi europei e prodotto dalla NCR, l´identificazione avviene guardando brevemente in una telecamera inserita all´interno di distributori automatici di contanti. Un raggio infrarosso a bassa frequenza esegue la scansione dell´iride; il risultato viene confrontato con un modello di riferimento e, in caso di corrispondenza, entro due secondi arriva il via libera. E´ un buon sistema per mantenere su livelli ridotti il False Acceptance Rate (FAR). A differenza del FRR, che esprime la percentuale di utenti abilitati ai quali è stato rifiutato l´accesso, il FAR indica quanti soggetti non autorizzati sono riusciti a infilarsi nel sistema. I due fattori sono reciprocamente correlati: se si aumenta la soglia di accettabilità, aumenta al contempo anche il numero dei soggetti ai quali viene erroneamente rifiutato l´accesso. La sfida sta proprio nel mantenere entrambi i fattori su livelli contenuti. Per escludere rischi in termini di sicurezza, il FAR deve in pratica avvicinarsi allo zero; un FRR dello 0.5% è ancora accettabile secondo lo stato attuale dell´arte: significa che su 200 soggetti autorizzati, l´accesso al primo passaggio sarà rifiutato ad uno solo. Per non irritare questo sfortunato cliente, il rifiuto deve essere addolcito, ad esempio mettendo la persona automaticamente in contatto con un collaboratore o con il personale della sicurezza.

Il FAR rilevato in condizioni sperimentali non tiene certo conto di tutti gli elaborati trucchi con i quali pirati informatici e criminali cercano di ingannare i vari sistemi. Alcuni dispositivi per la scansione delle impronte digitali possono essere violati con mezzi semplicissimi: con del nastro adesivo si rileva l´impronta digitale di una persona e quindi si preme il nastro sul sensore dell´apparecchiatura per il riconoscimento delle impronte digitali. I dispositivi più semplici si prestano ad essere ingannati con notevole facilità. Gli scanner più moderni, come il Delsy della P&P Sicherheitssysteme, dovrebbero offrire maggiori garanzie, in quanto controllano se sia effettivamente un dito che presenta la corretta temperatura corporea e le normali pulsazioni del flusso sanguigno a premere sul sensore in quel determinato momento. Si tratta in sostanza di utilizzare la rilevazione di più parametri biometrici per aumentare l´affidabilità di questi sistemi.

Un approccio analogo viene adottato dal Bio-ID della PC-Software, che oltre al riconoscimento del volto effettua anche la rilevazione della voce e dei movimenti labiali. I sistemi basati sull´identificazione del viso (o dell´iride) hanno il vantaggio di funzionare senza bisogno di alcun contatto fisico; inoltre, sono attivabili in modo discreto. Un esperimento su larga scala tentato agli incroci stradali della città di Londra, in cui si è riusciti ad individuare criminali a piede libero attraverso dispositivi per il riconoscimento automatico del volto, lascia senz´altro immaginare che in questo campo sia ancora necessario tenere conto di tutta una serie di problemi connessi alla protezione dei dati. Anche da un punto di vista tecnico i sistemi di questo tipo non sono certo di semplice configurazione. Non basta infatti confrontare l´immagine del momento con il modello memorizzato, poiché posizione, dimensioni e orientamento del viso nelle singole immagini presentano una variabilità eccessiva. Pertanto il software utilizzato in questi sistemi sovrappone al volto una griglia, analizza l´area circostante ad ogni punto di tale griglia e ne ricava un´immagine che viene successivamente confrontata con il campione di riferimento.

Attualmente sono disponibili vari sistemi. Già da diversi anni i sistemi basati sul riconoscimento del volto sono utilizzati per controllare l´accesso in ambiti di massima sicurezza - come la zecca federale. Presso gli aeroporti americani trovano impiego crescente apparecchi per la scansione della geometria della mano che permettono ai frequent flyers di superare più rapidamente i vari controlli. Alcune case automobilistiche stanno valutando la possibilità di dotare in futuro le autovetture di sistemi di sicurezza basati sul riconoscimento delle impronte digitali e sul riconoscimento vocale. Inoltre le smart cards saranno arricchite di un´ulteriore funzione che consentirà la memorizzazione e l´analisi di dati biometrici. La sfida consiste nel riuscire ad utilizzare lo scarso spazio di memoria disponibile su questi supporti, e nel velocizzare il flusso di dati, nonostante le rigide prescrizioni ITSEC, tanto da consentire l´autenticazione dei singoli clienti non solo con maggiore affidabilità rispetto al passato, ma anche con maggiore rapidità. A quel punto non sarà più necessario custodire gelosamente un PIN o una password.

Mentre alcuni programmatori stanno già pensando ad una Bio-API - ossia, ad un´intefaccia-PC standardizzata -, restano senza risposta infiniti quesiti di ordine giuridico. Inoltre, i sistemi biometrici devono ancora dimostrare la propria affidabilità concreta; in ultima analisi, quest´ultima verrà misurata in base alla rapidità ed alla sicurezza con le quali essi saranno in grado di identificare le singole persone e di resistere agli attacchi di pirati informatici e criminali. Una cosa è comunque certa sin d´ora: la biometria non è in grado di garantire una sicurezza totale.