;Resize,width=767;)
Il Garante della privacy ha bloccato il sistema FaceBoarding dell'aeroporto di Milano Linate, dichiarando illecito il trattamento delle informazioni personali gestito dalla società SEA. L'istruttoria d'ufficio ha trasformato la sospensione provvisoria del settembre 2025 in un divieto permanente, motivato da criticità strutturali nel modo in cui venivano gestiti i volti degli utenti dell'aeroporto. A differenza dei sistemi in cui il dato sensibile rimane custodito sul dispositivo del singolo utente, l'infrastruttura accumulava le scansioni in un unico archivio digitale, impedendo ai soggetti interessati il controllo esclusivo sulle proprie informazioni. A questo si sono aggiunte anche aggravanti tecniche, come l'assenza di cifratura per proteggere i modelli matematici derivati dai tratti somatici, e tempistiche di conservazione ingiustificate, che arrivavano a 12 mesi. L'elemento più critico sollevato dall'Autorità riguarda l'acquisizione involontaria dei dati: le telecamere ai varchi ibridi catturavano le immagini di coloro che avevano scelto di non aderire al servizio, configurando una raccolta priva di consenso per chi transitava nei cosiddetti “varchi ibridi”.
Come funziona il FaceBoarding di Milano-Linate
Per comprendere le motivazioni del blocco, analizziamo il funzionamento del sistema FaceBoarding di Milano-Linate. Il servizio era concepito per sostituire l'esibizione fisica di carta di identità, passaporto e carta d'imbarco ai controlli aeroportuali. I passeggeri maggiorenni potevano registrarsi su base volontaria tramite un'applicazione mobile o attraverso postazioni fisiche, i chioschi, nell'area partenze. La procedura richiedeva la scansione del documento di viaggio. Usando lo smartphone, si inquadrava il codice MRZ (Machine Readable Zone), la stringa di lettere e numeri posta in basso sui documenti d'identità, progettata appositamente per la lettura ottica.
Successivamente, la telecamera acquisiva un'immagine del volto. In questo passaggio entra in gioco il concetto di dato biometrico e di template. Un sistema avanzato di riconoscimento non memorizza una banale fotografia bidimensionale, ma analizza le geometrie del viso, misurando distanze invariabili come lo spazio tra gli occhi, per generare un modello matematico univoco: il template biometrico. Ai tornelli dedicati, le telecamere effettuavano una lettura istantanea, confrontando il volto con il template registrato per autorizzare l'accesso.
Perché il Garante ha bloccato il FaceBoarding di Milano-Linate
Il Garante ha stabilito che questa prassi viola il GDPR, ovvero il Regolamento Generale sulla Protezione dei Dati, ponendosi in aperto contrasto con le direttive del Comitato Europeo per la Protezione dei Dati Personali, l'EDPB (European Data Protection Board), stilate appositamente per gli aeroporti.
Una delle criticità principali tra quelle riscontrate dal Garante è relativa alla conservazione di migliaia di template biometrici in un server aziendale unico. Pratica, questa, che crea un rischio informatico potenzialmente irreversibile. Se un malintenzionato dovesse riuscisse a penetrare l'archivio, comprometterebbe i tratti identitari dei passeggeri, poiché un volto umano non può essere resettato o cambiato come una password. Questo fattore di rischio veniva amplificato dalla totale mancanza di cifratura dei dati, ovvero l'assenza di quegli algoritmi che mascherano le informazioni sensibili rendendole illeggibili senza l'ausilio di una specifica chiave crittografica.
Un'ulteriore anomalia riguardava i tempi di conservazione dei dati sui database. I passeggeri potevano scegliere se iscriversi al sistema per un singolo volo o mantenere il profilo attivo a lungo termine, ma l'indagine ha scoperto che l'infrastruttura incamerava le informazioni sensibili fino a un anno solare intero, dilatando enormemente la vulnerabilità ai furti digitali. A peggiorare il quadro generale, l'ispezione ha evidenziato un problema di spazi: essendo i varchi di natura ibrida, gli obiettivi delle telecamere acquisivano costantemente le fattezze biometriche anche di chi transitava semplicemente usando le corsie standard senza aver mai prestato il proprio consenso informato, il tutto aggravato da un'informativa della privacy fornita al pubblico giudicata inesatta.
Tutte queste motivazioni sono ben riassunte nella nota ufficiale diramata dallo stesso Garante disponibile sul proprio sito, in parte riproposta di seguito:
L’Autorità, nel corso dell’istruttoria avviata d’ufficio, ha accertato che il “FaceBoarding” vìola il GDPR ed è in contrasto, in particolare, con il parere dell’EDPB sull’uso del riconoscimento facciale in aeroporto. Il sistema, infatti, prevede che i dati biometrici acquisiti siano interamente conservati in maniera centralizzata nei server di SEA impedendo ai passeggeri di esercitare un controllo esclusivo sui propri dati. Il Garante ha riscontrato, inoltre, che SEA non ha adottato misure di cifratura dei modelli biometrici; ha conservato i template per un periodo eccessivo (fino a 12 mesi), comportando così un aumento significativo dei rischi di violazioni dei dati personali, ed ha rilasciato un’informativa con indicazioni inesatte. Per di più la società acquisiva, senza il loro consenso, le immagini del volto dei passeggeri che, pur non avendo aderito al “FaceBoarding”, utilizzavano i varchi ibridi.
;Resize,width=578;)
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
