Tech
Enforcement
Legal

Criminalità urbana e identificazione colpevoli con telecamere: le leggi e le tecnologie

Silvestro Mar...
15 June 2023
Criminalità urbana e identificazione colpevoli con telecamere: le leggi e le tecnologie

impronte e dintorni

AI
Italia
News&Trend
Privacy
UE

L’importanza dell’identificazione personale biometrica attraverso le caratteristiche anatomiche per contrastare la criminalità urbana

 

L’identificazione personale biometrica è tra le soluzioni maggiormente performanti per contenere la criminalità urbana. Sicuramente l’utilizzo delle telecamere può rappresentare un interessante deterrente. Le stesse, abbinate ai sistemi di riconoscimento (asincrono o sincrono), assommano la duplice funzione, preventiva (deterrenza) e giudiziaria (repressiva), arrivando anche a identità dell’autore e raccolta delle prove.

 

Premessa

L’utilizzo di informazioni di carattere biometrico oramai pare sempre più sdoganato. Un tempo poteva essere appannaggio solo di forze di polizia o comunque di ambienti dove il loro impiego era alzava gli standard di security.

Oggi non più. I dati biometrici rendono user-friendly l’accesso ai devices, come lo smartphone o alcune app, servizi bancari o identità digitale.

In linea di massima le informazioni biometriche sono un moltiplicatore di forza, alternativo o in abbinamento alla password, e continuano ad avere importanza per la sicurezza pubblica. In modo particolare impronte e viso, per l’ottenimento di una identificazione personale biometrica e la risoluzione di episodi di criminalità.

Il tema interessa molto proprio per “la facilità” con cui taluni elementi, come le foto, possono essere reperite (si pensi ai social) e quindi trattate. A questo si aggiungono i rischi associate a quelle tecnologie – tipicamente AI – e ai bias culturali, in fase addestrativa.

 

Il regolamento europeo

Il Regolamento EU per la protezione dei dati personali viene in aiuto circa una prima definizione di dato biometrico, proponendolo all’art. 4, n.14, come: “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. Poco prima, al n.13, era possibile leggere anche la definizione di dato genetico.

Data la complessità dell’argomento, appare assai improbabile potersi limitare solo a quanto appena letto, ma bisogna considerare ciò in combinato con il successivo art. 5, circa il trattamento lecito e finalizzato dei dati, e art. 9, dove si riferisce al “trattamento di categorie particolari di dati personali”.

Al paragrafo 2, lett. “g” si evince, infatti, che l’utilizzo dei dati biometrici può essere considerato lecito, tra gli altri, laddove “il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita […]”. D’interesse sono anche la lettura dei “considerando” di apertura allo stesso Regolamento, in particolare il 51, dove in un certo qual senso veniva anticipato quanto finora scritto, l’utilizzo di alcune informazioni influenzano l’eventuale natura biometrica, infatti: “Meritano una specifica protezione i dati personali che, per loro natura, sono particolarmente sensibili sotto il profilo dei diritti e delle libertà fondamentali […]. Tra tali dati personali dovrebbero essere compresi anche i dati personali che rivelano l’origine razziale o etnica […] Il trattamento di fotografie non dovrebbe costituire sistematicamente un trattamento di categorie particolari di dati personali, poiché esse rientrano nella definizione di dati biometrici soltanto quando siano trattate attraverso un dispositivo tecnico specifico che consente l’identificazione univoca o l’autenticazione di una persona fisica […].

Fin qui, per linee generali.

Direttiva di polizia

Se contestualizzato, in ambito sicurezza urbana, si dovrà considerare anche il D.lgs 51/2008, l’attuazione nazionale della c.d. “Direttiva di polizia” (Dir. UE 2016/680), relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti, ai fini di prevenzione, indagine, accertamento e perseguimento dei reati.

Norme italiane: Tulps, Tui e Codice

Le basi giuridiche, per un trattamento finalizzato all’identificazione personale biometrica, con finalità di polizia, si possono ritrovare nell’art. 349 c.p.p., nell’art. 4 del TULPS (Testo unico leggi di pubblica sicurezza) e nell’art. 5 e 6 TUI (Testo unico immigrazione). Più eventuali integrazioni che potranno pervenire nel tempo.

L’art. 349 c.p.p. (Codice di procedura penale) prevede l’identificazione dell’indagato, del testimone, indicando, qualora occorresse, la possibilità di procedere al rilievo dattiloscopico, fotografico e antropometrico.

La norma è stata poi rimaneggiata con la “riforma Cartabia”, andando a creare un cross over con il TUI e con l’applicazione del Reg. UE2019/816 “ECRIS-TCN, il casellario giudiziale europeo. Nella fattispecie: per l’apolide, il cittadino non europeo, ma anche per il cittadino europeo sprovvisto di codice fiscale.

Infine, il cittadino europeo che ebbe la cittadinanza di uno stato non europeo, per esempio un romeno nato prima del 2007). Per questi ultimi, l’identificazione personale biometrica, i rilievi dattiloscopici, è obbligatoria (comma 2 bis).

Prima si faceva riferimento a un connubio interpretativo. L’art. 5 del TUI prevede, ai fini del rilascio del permesso di soggiorno, che il migrante si sottoponga ai rilievi foto-dattiloscopici; all’art. 6 al co.4 vengono invece previsti i rilievi segnaletici per verificare la sussistenza della lecita permanenza sul territorio nazionale.

Giungendo alla conclusione di questa panoramica, si richiama il Testo Unico Leggi di Pubblica Sicurezza. Infatti, all’art. 4, sono indicate, quali possibili destinatari, le “persone pericolose o sospette e coloro che non sono in grado o si rifiutano di provare la loro identità”, cui si aggiunge l’art. 11 l. 191/1978, il “fermo di pubblica sicurezza”.

L’alimentazione del sistema AFIS (la banca dati delle impronte digitali/palmari) viene effettuata da tutte le FF.PP., siano esse a carattere nazionale che locale. Al rilievo delle impronte e della fotografia è possibile aggiungersi, in taluni casi (ex DPR 87/2016), anche il profilo genetico.

 

identificazione-personale-impronte

 

Interoperabilità tra sistemi 

Le impronte sono lanciate in ricerca nel sistema AFIS. Dapprima è verificata la presenza di eventuali alias (ulteriori identità anagrafiche) riconducibili al soggetto con cui si è interposta la forza di polizia.

A seguire, quelle impronte, all’esito negativo, proseguono la ricerca, ma tra i frammenti papillari non ancora attribuiti su scene del reato. Da un semplice rilievo segnaletico, eseguito per mera “identificazione”, è possibile arrivare a disvelare la potenziale identità di chi ebbe a lasciare una sua impronta su una scena del reato, favorendone nuovi accertamenti (ricordando che l’impronta lega il soggetto alla scena ma non necessariamente all’evento).

identificazione-impronte-frammento

A questo punto è necessario un approfondimento circa il concetto di “interoperabilità”, applicata all’identificazione personale biometrica.

La fotografia scattata al momento del fotosegnalamento è la base di ricerca del SARI, il sistema automatico riconoscimento immagini:  la face recognition nazionale. Sul punto si sono registrati vari interventi da parte del garante privacy, anche sulle potenzialità del particolare sistema (che, comunque rientra nell’alveo dell’ecosistema AFIS). Il sistema SARI è presente con due versioni una enterprise e una real time.

La differenza è contenuta nel “Capitolato tecnico” predisposto dall’Ufficio tecnico e analisi di mercato del Dipartimento di PS:

  • “Scenario Enterprise, in cui un operatore ha la necessità di ricercare l’identità di un volto presente in un’immagine […] per mezzo di uno o più algoritmi di riconoscimento facciale, all’interno di una banca dati di grandi dimensioni […] di soggetti foto segnalati o di altre banche dati. Il risultato della ricerca dovrà essere una lista di volti simili a quello ricercato ordinata in base ad un “punteggio” che ne indichi il grado di similarità.”
  • Scenario Real-Time, in cui in un’area geografica ristretta e ben delineata, si vuole analizzare in tempo reale i volti dei soggetti ripresi dalle telecamere ivi installate confrontandoli con una banca dati ristretta e predefinita (denominata “watch-list”) la cui grandezza è dell’ordine delle centinaia di migliaia di soggetti. Allorquando venga riscontrata una corrispondenza, deve essere generato un alert in grado di richiamare l’attenzione degli operatori. La soluzione, dovrà essere in grado di registrare i flussi video delle telecamere fungendo, in tal senso, quale attività di video sorveglianza. La generazione degli alert sarà realizzata applicando un algoritmo di riconoscimento facciale ai flussi video ottenuti dalle telecamere installate in molteplici punti di osservazione a supporto di operazioni di controllo del territorio in occasione di eventi e/o manifestazioni.”

Il garante privacy è intervenuto sul punto in vari momenti, inizialmente circa la valutazione della versione enterprise, sostanzialmente approvandola (reg. prov. n. 440 del 26 luglio 2018), osservando che: “Il trattamento dei dati biometrici ricavabili anche dall’immagine facciale, effettuato dalle forze di polizia […] è previsto e disciplinato da una pluralità di fonti normative […], considerando che lo stesso […] costituisce, infatti, un mero ausilio all’agire umano, avente lo scopo di velocizzare l’identificazione, da parte dell’operatore di polizia, di un soggetto ricercato della cui immagine facciale si disponga, ferma restando l’esigenza dell’intervento dell’operatore per verificare l’attendibilità dei risultati prodotti dal sistema automatizzato […].

In seguito (reg. prov. n.127 del 25 marzo 2021), l’attenzione si è rivolta alla modalità real time. Si osserva che “L’utilizzo di tecnologie di riconoscimento facciale per finalità di prevenzione e repressione di reati è oggetto di grande attenzione, come indicano, da ultimo, le linee guida del Consiglio d’Europa, che segnalano l’intrusività che esso comporta […] Il trattamento di immagini volte ad identificare le persone nel contesto pubblico è quindi di estrema delicatezza ed è perciò necessaria una valutazione d’insieme, […] infine […] allo stato non sussiste una base giuridica idonea […] a consentire il trattamento dei dati biometrici in argomento, come pure recentemente rilevato dal Garante in un caso per qualche profilo assimilabile […]. Concludendo, “il trattamento dei dati biometrici tramite il sistema Sari Real Time, appare non conforme[…] in mancanza di adeguate e specifiche disposizioni normative legittimanti”.

Il garante richiamava anche un provvedimento precedente, interessando il Comune di Como (reg. prov. n.54 del 26 febbraio 2020). Anche in quel caso si faceva riferimento a un sistema di videosorveglianza attiva, nei pressi di aree giudicate sensibili ai fini di reati predatori.

Nell’occasione, “pur applicandosi al caso di specie la disciplina di cui al d.lgs. n. 51/2018 in ragione dei fini perseguiti dal Comune, relativamente alle attribuzioni di polizia giudiziaria della polizia locale o comunque a esigenze di tutela della sicurezza urbana nella componente di prevenzione dei reati (art. 4 d.l. n. 14/2017) le disposizioni richiamate dall’Ente non prevedono specificamente una raccolta di dati biometrici e loro conservazione”.

I Comuni “possono utilizzare impianti di videosorveglianza, solo a condizione che venga stipulato il cosiddetto “patto per la sicurezza urbana tra Sindaco e Prefettura“.

 

Impronte & visi, analogie e differenze

L’identificazione dattiloscopica ha una corposa base normativa, anche alimentata su input sovranazionale (EURODAC – asilo politico europeo –  oppure accordi in ambito INTERPOL o rogatoriali).

Il sistema alimenta una banca dati con automazione dei processi di ricerca e comparazione. L’esito “positivo” (match raggiunto con il template già in base dati) o “negativo” (primo inserimento in db.) sarà compiuto da un operatore specializzato , rispondendo a quanto richiesto dall’art. 5 D.Lgs 51/2018. L’attività del dattiloscopista può essere di complessità differente: dall’esaltazione dei contatti d’impronta, rilevati sul dato oggetto, all’identificazione personale (distinguo dattiloscopia giudiziaria e preventiva).

Si parte dalla classificazione dell’impronta. Seguendo standard internazionali, il pattern sarà ricompreso in una certa casistica (figure adelta, monodelta, composta) per poi lavorare sul c.d. “secondo livello”: la ricerca di minuzie, i punti caratteristici, che di fatto rendono unica l’impronta, rappresentando i punti di discontinuità delle linee papillari.

In sede di rilievo, accanto alle impronte saranno rilevate anche informazioni di carattere antroposomatico e quindi i dati anagrafici al momento declinati .

Il riconoscimento facciale invece “vive” una sorta di doppio binario.

Frame e foto possono essere utilizzati per  una ricerca asincrona. La ricerca  avrà una base informativa proveniente da sorgenti terze oppure da AFIS, e il confronto viene effettuato da un tecnico formato. La funzionalità del programma facilita una ricerca che, altrimenti, potrebbe essere svolta manualmente, attraverso connotati, contrassegni, probabili indicazioni anagrafiche o geografiche.

La versione real time, non ha una base giuridica per la sua applicazione.  La stessa è “una evoluzione della natura stessa dell’attività di sorveglianza, passando dalla sorveglianza mirata di alcuni individui alla possibilità di sorveglianza universale allo scopo di identificare alcuni individui.”

Inoltre, fino all’entrata in vigore di una specifica disposizione, e comunque fino al 31 dicembre 2023, in Italia non sono consentiti l’installazione e l’uso di sistemi di riconoscimento facciale (d.l. 139/2021), a meno che il trattamento non sia effettuato per indagini della magistratura o prevenzione e repressione dei reati (quindi asincrona).

La moratoria nasce da esigenze di “mero” carattere politico. Nel contempo che il Comitato europeo per la protezione dei dati personali ha messo a punto una serie di indicazioni per i legislatori UE, si rimane in attesa di indicazioni dall’UE circa il settore (si pensi alle modifiche necessarie – tra gli altri – agli artt. 4 Trattato sull’Unione Europea, e art. 67 del Trattato sul funzionamento dell’Unione Europea).

Si considerino le proposte in essere e la liquidità dell’argomento, ricordando i voti negativi all’Eurocamera del 12.05.2023, circa AI applicata a riconoscimento volti in real time e rivelatori di emozioni, sublimata il 14.06.2023 dal Parlamento Europeo. Si aggiungano le indicazioni provenienti dalla società civile. In particolare dalle associazioni di attivismo digitale, che temono la possibilità di errori di attribuzione nell’identificazione personale biometrica (dovuta alla posizione della CCTV, alle condizioni di luci, alla qualità intrinseca del dato acquisito).

Silvestro Marascio

chiudi
Indietro
Preferiti