Presenze biometriche e alternative FIDO2 privacy first

Presenze biometriche in azienda perché non sono la norma

Il rilevamento presenze tramite impronta digitale o riconoscimento facciale coinvolge dati biometrici che il Regolamento europeo per la protezione dei dati qualifica come categorie particolari. La regola generale è il divieto, salvo specifiche eccezioni e garanzie. Questo rende le presenze biometriche uno strumento utilizzabile solo quando strettamente necessario e proporzionato rispetto a rischi e finalità. In ogni altro caso conviene preferire soluzioni meno invasive e più semplici da governare.

Cosa dice il GDPR

Il GDPR include i dati biometrici tra le categorie particolari per cui il trattamento è vietato salvo eccezioni codificate. Le basi giuridiche tipiche nel rapporto di lavoro non bastano da sole e il consenso del dipendente non è ritenuto valido per squilibrio tra le parti. L’uso può essere legittimo solo se ricorre un fondamento normativo specifico o se è strettamente necessario per assolvere obblighi in materia di diritto del lavoro con adeguate garanzie e misure tecniche.

• Vietato in linea generale con eccezioni tassative art. 9 GDPR fonte EUR Lex
• Valutazione di impatto obbligatoria quando si trattano dati biometrici art. 35 GDPR fonte EUR Lex
• Principi di necessità proporzionalità minimizzazione e limitazione della conservazione art. 5 GDPR fonte EUR Lex

Il Garante italiano ha fornito indicazioni operative su biometria e firma grafometrica già prima del GDPR e tali principi restano rilevanti in tema di minimizzazione uso di modelli e non di immagini grezze e preferenza per verifica in locale sul dispositivo invece che in grandi basi dati centralizzate fonte Garante Privacy.

La cornice giuslavoristica italiana

Oltre ai vincoli privacy valgono le regole sui controlli a distanza dei lavoratori. I sistemi che possono implicare controllo dell’attività richiedono accordo sindacale o autorizzazione dell’Ispettorato secondo l’articolo 4 dello Statuto dei Lavoratori come modificato. L’Ispettorato ha chiarito che vanno valutati finalità strumenti e misure di garanzia caso per caso fonte INL Circolare 5 2018.

Quando si possono usare nel 2025 criteri chiari e verificabili

Casi d’uso ammissibili con esempi

• Accesso ad aree ad alto rischio dove l’usurpazione dell’identità può causare danni significativi sala controllo di infrastrutture critiche camere bianche laboratori con materiali pericolosi. Qui il requisito di elevata certezza dell’identità può rendere la biometria strettamente necessaria nel rispetto di misure rafforzate.
• Presidio di obblighi legali in materia di sicurezza con richiesta di identificazione certa del personale addetto in turni delicati purché non esistano alternative equivalenti meno invasive.
• Contesti pubblici o assimilati con base normativa specifica. In assenza di base normativa dedicata il ricorso resta eccezionale.

Esempi non ammissibili nella maggior parte dei casi uffici amministrativi standard negozi di medie dimensioni open space aziendali senza rischi specifici. In tali scenari la finalità di rilevare l’ingresso può essere soddisfatta con badge o soluzioni crittografiche senza trattare dati biometrici.

Requisiti minimi di conformità

• Valutazione di impatto specifica sulla protezione dei dati con analisi di necessità proporzionalità e alternative disponibili art. 35 GDPR fonte EUR Lex.
• Informativa trasparente che spieghi finalità base giuridica tempi di conservazione diritti e contatti del DPO.
• Modello e non immagine grezza ad esempio template dell’impronta con match in locale oppure su smart card posseduta dal dipendente per evitare banche dati centralizzate fonte Garante Privacy.
• Misure di sicurezza adeguate cifratura forte separazione logica dei dataset registri di accesso e auditing periodico.
• Canale di fallback non discriminatorio per chi non può o non vuole utilizzare la biometria con misure equivalenti di sicurezza.
• Verifica della necessità di accordo sindacale o autorizzazione INL per il dispositivo in quanto idoneo al controllo a distanza fonte INL.

Ricordare che il GDPR prevede sanzioni fino a 20 milioni di euro oppure fino al 4 percento del fatturato mondiale annuo per violazioni gravi art. 83 fonte EUR Lex. Oltre alla sanzione pesa il danno reputazionale e il costo di rimediare a sistemi invasivi.

Alternative privacy first con FIDO2 e passkey

Come funzionano e perché riducono il rischio

Le tecnologie FIDO2 e WebAuthn permettono di verificare la presenza dell’utente usando crittografia a chiave pubblica senza inviare segreti riutilizzabili al server. La chiave privata resta nel dispositivo autenticatore chiavetta di sicurezza smartphone o laptop con TPM. Il server conserva solo la chiave pubblica. Questo approccio è resistente al phishing e alla riutilizzazione delle credenziali.

• FIDO2 riduce gli attacchi di takeover degli account. Google ha riportato zero compromissioni per phishing dopo l’introduzione obbligatoria di security key per oltre ottantacinquemila dipendenti fonte Google Security Blog.
• Standard aperti e riconosciuti da FIDO Alliance e W3C fonti FIDO Alliance e W3C WebAuthn.

Per la rilevazione delle presenze ciò significa poter attestare che una persona abilitata ha effettuato un evento di timbratura con un fattore forte legato al possesso di un dispositivo e a una verifica locale esempio impronta conservata nel Secure Enclave del telefono ma mai inviata al datore di lavoro.

Tre modelli pratici senza dati biometrici

• Badge crittografico con secondo fattore FIDO2. Il dipendente utilizza una chiave di sicurezza NFC o USB per timbrare su un terminale o su un kiosk web. L’evento è firmato dal dispositivo e validato dal server. Nessun dato biometrico viene trattato.
• Passkey su smartphone con geofencing leggero. L’app di presenza attiva la richiesta WebAuthn solo se il dispositivo è connesso a una rete Wi Fi aziendale specifica oppure se è rilevato un beacon in area di ingresso. La verifica locale sul telefono può impiegare il sensore biometrico del dispositivo ma il datore di lavoro non riceve alcun dato biometrico.
• Portale presenze con login passwordless e QR dinamico. All’ingresso viene mostrato un QR time bound. L’utente si autentica al portale con passkey e inquadra il QR che lega luogo e orario. Anche in questo caso nessuna categoria particolare viene trattata.

Costi indicativi chiavi FIDO2 certificate tra 25 e 60 euro per unità a seconda del modello con o senza NFC. Le piattaforme che supportano passkey sono ormai integrate nei principali sistemi operativi e browser riducendo costi di adozione. Linee guida tecniche di autenticazione forte sono disponibili anche da NIST fonte NIST SP 800 63B.

Roadmap pragmatica in quattro settimane

Settimana uno assessment di necessità

• Mappare le sedi e gli accessi. Identificare dove davvero serve certezza forte dell’identità e dove basta attestare la presenza.
• Confrontare alternative e documentare perché la biometria sarebbe o non sarebbe necessaria. Base per la DPIA.
• Coinvolgere DPO HR IT e relazioni sindacali.

Settimana due pilota con FIDO2

• Abilitare passkey per il portale presenze o distribuire un primo lotto di chiavi di sicurezza a un gruppo pilota.
• Definire criteri di attivazione in sede Wi Fi beacon QR temporaneo.
• Impostare metriche di riuscita percentuale di timbrature riuscite tempo medio di accesso richieste di supporto.

Settimana tre DPIA e security hardening

• Se si prevede l’uso di biometria redigere o aggiornare la DPIA. Se no documentare perché l’alternativa è sufficiente e più proporzionata.
• Stabilire retention minima e policy di logging pseudonimizzate.
• Valutare la necessità di accordo sindacale o autorizzazione INL per i dispositivi che possono comportare controllo a distanza.

Settimana quattro estensione e formazione

• Estendere al resto dell’azienda. Configurare procedure di enrollment e revoca dei dispositivi.
• Formare utenti e help desk. Redigere un playbook di recupero in caso di smarrimento del dispositivo e una via di fallback non discriminatoria.

Quanto costa e come misurare il successo

Una transizione verso FIDO2 per una sede con cento persone con cinquanta chiavi fisiche e cinquanta passkey su smartphone può richiedere tra 2500 e 5000 euro tra hardware e ore di integrazione base. Il costo di una DPIA completa per scenari biometrici può variare in modo ampio ma spesso supera il costo di adozione di FIDO2 in contesti a basso rischio. Misurate

• Riduzione dei ticket di supporto legati a password e badge smagnetizzati
• Tasso di timbrature valide alla prima
• Tempo medio di accesso alla sede
• Nessun incidente di sicurezza correlato a furto di credenziali o falsificazione badge

Checklist di autodifesa per HR e IT in 10 minuti

• Ho una base giuridica chiara e documentata per la biometria o posso raggiungere lo stesso risultato con FIDO2 e passkey
• Ho redatto una DPIA e coinvolto il DPO art. 35 GDPR fonte EUR Lex
• Il sistema evita basi dati biometriche centralizzate e usa template o meglio non tratta dati biometrici
• Esiste un canale di fallback equo e una policy di retention minima
• Ho verificato accordo sindacale o autorizzazione INL se necessaria fonte INL
• Ho una roadmap per abilitare FIDO2 WebAuthn fonti FIDO Alliance e W3C

Se a due o più domande la risposta è no cominciate dalle alternative privacy first. Sono più semplici da spiegare ai dipendenti più facili da mantenere e spesso più sicure.

Pubblicato da PortaleLavoro.Org | 26-12-2025 | Consigli per la tua carriera

Tags: FIDO2, GDPR, HR, presenze biometriche, privacy