Il motore di ricerca delle riviste Pacini Giuridica.
Visita il Portale
Close
wave
Attualità

Il “face boarding” negli aeroporti e i limiti imposti dal Garante: tra innovazione tecnologica e tutela dei dati biometrici

Michela Pandolfino 21 novembre 2025

Il provvedimento dell’Autorità Garante per la protezione dei dati personali del 11 Settembre
2025 n.10169116 ha disposto la sospensione in Italia del servizio di imbarco biometrico basato
esclusivamente sul riconoscimento facciale. Il Face Boarding è un servizio di imbarco biometrico
basato sul riconoscimento facciale, introdotto in via sperimentale negli aeroporti italiani a partire
dal 2019 e reso operativo in modo più esteso dal 2023-2024.
In pratica, il passeggero che aderisce al servizio (su base volontaria) registra preventivamente i
propri dati anagrafici e biometrici (il volto in particolare), che vengono collegati al titolo di viaggio.
Una volta iscritto, può effettuare le diverse fasi del viaggio (check-in, controlli di sicurezza,
accesso all’area imbarchi e boarding gate) senza dover più mostrare documenti cartacei o digitali,
poiché la propria identità viene verificata automaticamente attraverso sistemi di riconoscimento
facciale.
Tuttavia, proprio perché tale meccanismo si fonda sulla raccolta e sull’elaborazione di dati
biometrici, il servizio è soggetto a stringenti regole di protezione dei dati personali ai sensi del
Regolamento (UE) 2016/679 (GDPR) e del Codice della Privacy italiano.
Difatti, dopo il citato provvedimento, la misura, di carattere provvisorio e in attesa della
conclusione del procedimento, riguarda in particolare l’aeroporto di Milano Linate, ove il sistema
era stato introdotto con la denominazione di Faceboarding. Analoga funzionalità, denominata You
Board, era già stata sospesa presso l’aeroporto di Roma Fiumicino in via cautelativa, in attesa di
una posizione ufficiale sulle modalità di attuazione della nuova tecnologia.
Il servizio di identificazione biometrica, dopo una fase sperimentale avviata nel biennio 2019–2020,
era stato reso operativo per i voli nazionali e per alcune rotte internazionali, consentendo ai
passeggeri aderenti di compiere tutte le operazioni di check-in e imbarco senza l’esibizione di un
documento di identità, previa registrazione volontaria dei propri dati, con validità annuale.
L’iniziativa, presentata come strumento di modernizzazione dei servizi aeroportuali e di
accelerazione delle procedure di sicurezza, si colloca nel quadro regolatorio europeo in materia di
aviazione civile, disciplinato in particolare dal Regolamento (UE) n. 965/2012, recante norme
tecniche e procedure amministrative comuni per le operazioni aeree, nonché dalle disposizioni di
tutela dei dati personali previste dal Regolamento (UE) 2016/679 (GDPR), che qualifica i dati
biometrici come “categorie particolari di dati” soggette a garanzie rafforzate secondo quanto
predisposto dall’art. 9 del medesimo regolamento.
A livello nazionale, la disciplina trova fondamento nel Codice in materia di protezione dei dati
personali (d.lgs. n. 196/2003, come modificato dal d.lgs. n. 101/2018), che integra e specifica le
regole europee, demandando al Garante il compito di verificare la proporzionalità e la liceità del
trattamento dei dati biometrici in simili contesti.
Tuttavia, già alla fine del 2023 erano emersi rilevanti dubbi interpretativi in materia di protezione
dei dati personali, in particolare alla luce delle criticità successivamente formalizzate dal Comitato europeo per la protezione dei dati nella Opinion 11/2024, espressamente dedicata all’impiego delle tecnologie di riconoscimento facciale nel settore dei trasporti e, in specie, in ambito aeroportuale. In
tale documento l’EDPB (European Data Protection Board) aveva individuato quattro scenari di
trattamento dei dati biometrici suscettibili di particolare problematicità sotto il profilo della liceità e
della proporzionalità: l’identificazione remota e massiva degli individui in spazi pubblici o aperti al
pubblico, con l’evidente rischio di dar luogo a forme di sorveglianza generalizzata; l’utilizzo dei
sistemi di riconoscimento facciale per finalità di sicurezza e di controllo degli accessi in contesti nei
quali non sia dimostrata l’indispensabilità della misura rispetto ad alternative meno intrusive; la
conservazione centralizzata o comunque prolungata nel tempo dei dati biometrici raccolti, che
accresce esponenzialmente i rischi di violazioni o accessi indebiti; nonché l’assenza, per gli
interessati, di un effettivo potere di controllo sui propri dati biometrici, i quali rimangono
frequentemente nella disponibilità esclusiva del gestore del servizio o di soggetti terzi fornitori delle
tecnologie. In tale contesto, Aeroporti di Roma aveva optato per la sospensione prudenziale del servizio, mentre
SEA — società di gestione degli scali milanesi — aveva proseguito ritenendo conformi le proprie
procedure al quadro normativo vigente. Difatti, la SEA S.p.A. riteneva che la procedura fosse
conforme al Regolamento (UE) 2016/679 (GDPR) e al Codice in materia di protezione dei dati
personali, nonché al Regolamento (UE) n. 965/2012 in materia di sicurezza delle operazioni aeree,
sostenendo che il quadro normativo così delineato fosse idoneo a garantire la liceità e la
proporzionalità del trattamento dei dati biometrici in ambito aeroportuale.
Il provvedimento del Garante  ha tuttavia accertato che i passeggeri iscritti al
servizio, pari a 24.550 al 31 luglio scorso, non disponevano di un controllo effettivo sui propri dati
biometrici, i quali erano invece rimasti nella disponibilità esclusiva del gestore aeroportuale.
Secondo l’Autorità garante, ne è derivata dunque la necessità di disporre la limitazione provvisoria
del servizio di Faceboarding “per il tempo necessario a consentire all’autorità il completamento
dell’istruttoria avviata”.
La società di gestione ha dichiarato di accogliere la decisione dell’Autorità, ricordando di avere sin
dal 2019 avviato un dialogo costante con il Garante in merito all’evoluzione e all’implementazione
del servizio, nonché di ispirarsi ai principi dell’Opinion 11/2024 del Comitato europeo, pur priva di
valore vincolante.
SEA ha ribadito che l’obiettivo rimane quello di rafforzare la sicurezza aeroportuale attraverso un
sistema volontario, riservato ai soli maggiorenni, rispettoso della normativa privacy e volto a
garantire una migliore esperienza di viaggio in termini di rapidità e fluidità.
L’intervento del Garante si colloca dunque all’incrocio tra due esigenze di pari rilievo: da un lato
l’innovazione tecnologica e la modernizzazione dei servizi aeroportuali, dall’altro la necessità di
assicurare il pieno rispetto dei principi di proporzionalità, minimizzazione e controllo effettivo dei
dati personali, particolarmente stringenti quando si tratta di informazioni biometriche.
Resta ora da comprendere se e in che misura le società aeroportuali sapranno adeguare i propri
sistemi alle richieste dell’Autorità, garantendo ai passeggeri non solo un servizio efficiente e sicuro, ma anche il pieno esercizio dei diritti fondamentali in materia di protezione dei dati, che
costituiscono presidio irrinunciabile in uno Stato di diritto.