Con il Provvedimento n. 164 del 12 marzo 2026, il Garante per la protezione dei dati personali ha dichiarato illecito il sistema FaceBoarding attivato da SEA – Società per Azioni Esercizi Aeroportuali all'aeroporto di Milano Linate. Il sistema, operativo dal 7 maggio 2024 al 16 settembre 2025, consentiva ai passeggeri delle tratte ITA Airways e Scandinavian Airlines di accedere ai varchi dell'area sterile e ai gate di imbarco tramite riconoscimento facciale. Hanno aderito 24.550 passeggeri su oltre 3,3 milioni di transiti complessivi nello stesso periodo.
✈️ Come funzionava FaceBoarding
Il sistema prevedeva una fase di enrollment che il passeggero poteva completare tramite appositi chioschi in aeroporto oppure tramite un'applicazione mobile dedicata. Durante la registrazione venivano acquisiti il documento di identità elettronico (carta o passaporto), la carta di imbarco e l'immagine del volto, da cui il sistema generava un template biometrico. Il passeggero poteva scegliere tra una registrazione per singolo volo, con cancellazione dei dati 24 ore dopo il decollo, oppure aderire al Programma a lungo termine, che prevedeva la conservazione dei dati fino al 31 dicembre dell'anno di adesione.
Al momento dell'attraversamento del varco, il sistema acquisiva l'immagine del volto, la trasformava in template e la confrontava con quello registrato per autorizzare l'accesso. In caso di mancata corrispondenza, il template appena acquisito veniva eliminato.
📐 Il riferimento normativo: l'Opinion EDPB 11/2024
Il punto di partenza dell'istruttoria è l'Opinion 11/2024 adottata dal Comitato europeo per la protezione dei dati (EDPB) il 24 maggio 2024, che valuta la compatibilità dei sistemi di riconoscimento facciale negli aeroporti con gli articoli 5, paragrafo 1, lettere e) ed f), 25 e 32 del GDPR. L'Opinion individua quattro scenari possibili:
- conservazione del modello biometrico solo nelle mani della persona, ai fini dell'autenticazione
- conservazione centralizzata in forma cifrata all'interno dell'aeroporto, con chiave segreta nota esclusivamente al passeggero
- conservazione centralizzata sotto il controllo del gestore aeroportuale
- conservazione centralizzata in cloud sotto il controllo della compagnia aerea
Solo i primi due scenari sono ritenuti compatibili con il GDPR. Gli altri due, e in particolare lo Scenario 3.1, sono dichiarati non conformi perché impediscono all'interessato di esercitare un controllo effettivo sui propri dati biometrici ed espongono il sistema a rischi elevati in caso di data breach.
⚖️ Le violazioni accertate
Dall'attività ispettiva del 7 e 8 luglio 2025 è emerso che il sistema FaceBoarding rientrava pienamente nello Scenario 3.1, con plurime violazioni del Regolamento:
- i template biometrici erano conservati in maniera centralizzata nei server di SEA, in chiaro, in assenza di cifratura all'origine, in violazione degli artt. 5, par. 1, lett. f) e 32 GDPR
- le Digital Travel Credentials salvate sull'app del passeggero contenevano solo i dati del documento e il selfie, mentre il template restava nella disponibilità esclusiva del gestore aeroportuale, in violazione dell'art. 25 GDPR sul principio di privacy by design
- la conservazione fino a 12 mesi per gli aderenti al Programma a lungo termine è stata ritenuta sproporzionata rispetto alle finalità, in contrasto con l'art. 5, par. 1, lett. e) GDPR
- l'informativa rilasciata ai sensi dell'art. 13 GDPR riportava erroneamente che il modello biometrico restava sullo smartphone del passeggero, mentre risiedeva sui server SEA
- ai varchi ibridi venivano acquisiti l'immagine e il template anche dei passeggeri non iscritti al servizio, sebbene cancellati entro 1,5 secondi, in assenza di base giuridica ai sensi degli artt. 6 e 9 GDPR
🧭 Il principio dell'autonomia dell'interessato
Il provvedimento richiama un passaggio centrale dell'Opinion 11/2024: «all'interessato dovrebbe essere garantito il massimo grado possibile di autonomia nel determinare l'utilizzo cui sono sottoposti i suoi dati personali». Nello Scenario 3.1 il passeggero dipende interamente dalle scelte del titolare, senza alcun controllo diretto sul proprio modello biometrico. È proprio questo squilibrio che il Garante ha ritenuto incompatibile con l'art. 25 GDPR.
L'Autorità ha inoltre chiarito che la segregazione fisica dei dati in database distinti e la cifratura selettiva delle sole informazioni anagrafiche non sono misure sufficienti rispetto a dati biometrici, per loro natura non modificabili e particolarmente attrattivi per attacchi mirati. La quantità e la qualità delle informazioni custodite rendono ogni database centralizzato un bersaglio di alto valore: un eventuale data breach esporrebbe un gran numero di interessati al rischio di furto d'identità su larga scala.
🛠️ La reazione di SEA
Dopo l'ispezione del luglio 2025 e l'adozione, l'11 settembre 2025, del provvedimento di limitazione provvisoria del trattamento (n. 489), SEA ha applicato la cifratura AES-256 anche al database dei template biometrici, sospeso il servizio dal 16 settembre 2025 e cancellato in via completa e irreversibile tutti i dati biometrici e anagrafici entro l'8 ottobre 2025. Ha inoltre aggiornato l'informativa privacy.
SEA aveva inizialmente sostenuto che FaceBoarding non fosse riconducibile allo Scenario 3.1, in ragione delle misure tecniche adottate per mitigare i rischi. L'Autorità ha ritenuto tali argomentazioni non sufficienti, sottolineando che il template restava in ogni caso fuori dal controllo del passeggero.
🔭 Cosa cambia per i sistemi biometrici aeroportuali
Il provvedimento traccia un perimetro netto per la biometria negli aeroporti italiani: l'efficienza operativa e le finalità di sicurezza non giustificano architetture che spostano il controllo dei dati dal passeggero al gestore. Gli operatori che intendano introdurre sistemi simili dovranno orientarsi verso modelli in cui il template resta sul dispositivo dell'utente o viene cifrato con chiavi nelle mani dell'interessato, in linea con gli Scenari 1 e 2 dell'Opinion EDPB 11/2024.
#riconoscimentofacciale #biometria #faceboarding #garanteprivacy #edpb #gdpr
