ICAO 9303 vs. ISO/IEC 19794-5: ciò di cui i team svizzeri delle risorse umane e della conformità hanno davvero bisogno per le foto dei dipendenti

Una breve premessa: lo standard ICAO 9303 riguarda i documenti di viaggio leggibili da dispositivi automatici. Lo standard ISO/IEC 19794-5 riguarda invece la qualità delle immagini biometriche, su cui si basa lo standard ICAO 9303. Per le aziende svizzere che acquisiscono foto dei dipendenti o foto per documenti d’identità su larga scala, entrambi gli standard sono rilevanti, ma per motivi diversi. Chi non comprende la differenza rischia di acquistare standard in eccesso o sicurezza insufficiente.

Perché questo confronto è così importante

Nei bandi di gara relativi a piattaforme HR, sistemi di accesso o tesserini di servizio, questi due termini compaiono spesso nella stessa frase e vengono quasi sempre utilizzati in modo intercambiabile. Ciò è oggettivamente errato e, nella pratica, porta a due problemi tipici:

In primo luogo, vengono create raccolte fotografiche che, pur essendo definite «conformi alle norme ICAO», non soddisfano in modo sistematico i criteri di qualità biometrici. In secondo luogo, vengono acquistate soluzioni progettate per garantire la massima conformità ai documenti di viaggio, sebbene per il caso d’uso effettivo – ad esempio una foto standard dei dipendenti sulla rete intranet – sarebbe sufficiente un quadro normativo ISO decisamente più pragmatico.

Entrambe le soluzioni comportano dei costi. Nel primo caso, a causa di nuovi caricamenti, reclami e lavoro manuale aggiuntivo. Nel secondo caso, a causa di un processo troppo complesso che scoraggia i dipendenti e ne ostacola l'adozione.

ICAO 9303 in una frase

ICAO 9303 è la specifica dell'Organizzazione internazionale dell'aviazione civile (ICAO) relativa ai documenti di viaggio leggibili da dispositivi automatici, ovvero passaporti, carte d'identità in formato ID-1 e visti. Essa definisce non solo l'immagine, ma l'intera struttura del documento: campi dati, elementi di sicurezza, struttura del chip e zona leggibile da dispositivi automatici. La foto ne è un elemento.‍

Per quanto riguarda la fotografia, la norma ICAO 9303 fa ampio riferimento alla norma ISO/IEC 19794-5. Pertanto, quando si parla di «fotografia conforme alla norma ICAO», nella pratica si intende solitamente una fotografia che soddisfa i requisiti biometrici della norma ISO 19794-5, inserita nel quadro normativo della norma ICAO 9303.

Per saperne di più

La norma ISO/IEC 19794-5 in una frase

La norma ISO/IEC 19794-5 è lo standard internazionale relativo ai dati delle immagini facciali nei sistemi biometrici. Descrive in dettaglio le caratteristiche che un'immagine biometrica deve avere per poter essere elaborata automaticamente: risoluzione, condizioni di illuminazione frontale, posizione della testa, posizione degli occhi, sfondo, espressione neutra, riflessi degli occhiali, ombre, saturazione.

È il vero parametro tecnico di riferimento – ed è l'aspetto che le aziende possono verificare nella pratica, poiché è misurabile.

Per saperne di più

Cosa significa questo nella pratica in Svizzera

In Svizzera esistono tre tipologie di clienti che rientrano in questi standard – e tutte e tre hanno esigenze diverse.

Le autorità e i settori regolamentati (uffici della circolazione stradale, consolati, uffici federali, banche nel contesto KYC) necessitano dello standard ICAO 9303 come quadro di riferimento vincolante. In questo caso lo standard non è negoziabile, poiché i documenti devono essere riconosciuti a livello internazionale. Un ufficio della circolazione stradale che acquisisce le foto per la patente di guida non può deviare dal percorso previsto dallo standard ICAO.

I team delle risorse umane e della comunicazione interna delle grandi aziende spesso non hanno bisogno dell’intero quadro normativo ICAO. Ciò di cui hanno realmente bisogno è la norma ISO 19794-5: una qualità delle immagini uniforme per migliaia di dipendenti, in modo che i profili Intranet, le voci di Active Directory, i contatti di Outlook e gli avatar di Teams non sembrino una raccolta casuale di immagini di WhatsApp. È sufficiente un rigoroso setting ISO, senza l’onere della certificazione ICAO.

I responsabili della conformità e della sicurezza informatica hanno una terza prospettiva: vogliono sapere se la piattaforma soddisfa in modo dimostrabile gli standard previsti e se i dati non escono mai dal territorio giuridico di competenza. In questo caso, la conformità tecnica diventa una questione di protezione dei dati – e quindi una questione legata alla sede di hosting.

L'errore di ragionamento tipico nei bandi di gara

Molti capitolati richiedono in modo genericouna «raccolta fotografica conforme alle norme ICAO», anche quando si tratta semplicemente di ritratti interni dei dipendenti. Sembra una richiesta seria, ma complica inutilmente il processo. Le due conseguenze più frequenti sono:

I dipendenti devono soddisfare i requisiti previsti per la richiesta del passaporto: sfondo neutro con luminosità definita, nessun occhiale che crei riflessi, posizione della testa precisa. Il tasso di ricaricamento delle foto sale alle stelle, l'adozione del sistema cala e il reparto Risorse Umane deve intervenire manualmente per ovviare al problema.

Oppure, al contrario: si scrive "ICAO", ma tecnicamente viene eseguito solo un controllo ISO sommario. Il risultato è un archivio fotografico che non è né riconosciuto a livello internazionale né coerente al suo interno – e che, in caso di un'applicazione ICAO vera e propria, dovrà essere successivamente sottoposto a un laborioso lavoro di rielaborazione.

La strada giusta: prima di indire il bando, chiarire se il caso d'uso ICAO 9303 sia davvero necessario come quadro di riferimento, oppure se la norma ISO/IEC 19794-5, in quanto standard tecnico, rappresenti il requisito più adeguato.

Quando entra in gioco la protezione dei dati

Non appena entrano in gioco le immagini del volto, queste diventano dati biometrici ai sensi della legge svizzera sulla protezione dei dati (revDSG) e del GDPR. Ciò comporta due conseguenze pratiche:

In primo luogo, il trattamento deve essere documentato, limitato alle finalità specificate e – in caso di raccolta sistematica – supportato da una valutazione d’impatto sulla protezione dei dati. In secondo luogo, il luogo di trattamento e archiviazione riveste un ruolo importante. Una piattaforma ospitata negli Stati Uniti è soggetta al CLOUD Act statunitense, il che solleva giustamente interrogativi in merito ai dati biometrici dei dipendenti nei settori regolamentati. Con Photo Collect , tra l’altro, tutte le foto Photo Collect elaborate al 100% in Svizzera.

Per i responsabili della conformità ciò significa che lo standard riportato nell'immagine (ICAO/ISO) e la residenza dei dati della piattaforma sono due criteri di verifica distinti, che devono essere entrambi soddisfatti.

Cosa occorre tenere presente nella scelta della piattaforma

Che si tratti di requisiti ICAO o ISO, la piattaforma deve garantire quattro aspetti fondamentali:

1. Una verifica automatizzata rispetto allo standard di riferimento, non solo un controllo visivo. La nitidezza, l'illuminazione, la posizione della testa, lo sfondo e i riflessi degli occhiali dovrebbero essere controllati tramite algoritmi prima che la foto passi al controllo qualità.
2. Una soglia di accesso bassa per i dipendenti. Un link personalizzato sul proprio smartphone (BYOD) senza bisogno di installare app è ormai lo standard di riferimento. Qualsiasi altra soluzione rallenta l'adozione.
3. Una chiara definizione della residenza dei dati. Dove avviene il trattamento, dove vengono archiviati, chi può accedervi – comprese le giurisdizioni dei fornitori di servizi cloud. Per i casi d’uso relativi alla conformità in Svizzera, l’hosting in Svizzera presso un centro dati certificato ISO 27001 rappresenta il requisito minimo.
4. Un'esportazione corretta nei sistemi di destinazione: stampanti di tessere, software di controllo accessi, piattaforma HR, Active Directory. Se alla fine si deve ricorrere all'esportazione manuale, tutto il guadagno in termini di efficienza va perso.

Conclusione

PhotoCollect è la piattaforma SaaS svizzera per l'acquisizione automatizzata di foto di persone, conforme alle norme ICAO e ISO, con hosting in Svizzera, istanze dedicate per ogni cliente e oltre quattro milioni di foto elaborate. Utilizzata, tra gli altri, dal Gruppo BMW, da Migros, dall'Ufficio della circolazione stradale del Cantone di Berna e dall'Ospedale universitario di Basilea. Provalo subito.