Coinbase è oggetto di una class action intentata da un gruppo di residenti dell'Illinois, i quali sostengono che l'exchange di criptovalute ha raccolto e condiviso illegalmente i loro dati biometrici come parte del suo processo di verifica dell'identità.
La causa, portata davanti alla corte federale il 13 maggio, sostiene che la società ha violato il Biometric Information Privacy Act (BIPA) dell'Illinois, acquisendo i dati facciali degli utenti senza un preavviso o un consenso adeguati.
Accuse di frode ai consumatori e violazione dei dati
Secondo la denuncia , agli utenti è stato chiesto di caricare un documento d'identità e un selfie durante la procedura di registrazione. Queste immagini sono state poi inviate a strumenti di riconoscimento facciale di terze parti che hanno analizzato caratteristiche facciali come la geometria e le impronte digitali. Tuttavia, la causa sostiene che ciò sia stato fatto senza il consenso degli utenti, violando il BIPA.
"In nessun momento del processo di verifica agli utenti di Coinbase viene chiesto di acconsentire alla raccolta delle loro informazioni biometriche, né viene loro comunicato che i loro dati biometrici saranno raccolti da una terza parte non correlata, né viene fornita alcuna informazione sul processo", si legge nella causa.
Il reclamo accusa inoltre Coinbase di aver trasmesso questi dati a diversi fornitori terzi, tra cui Jumio, Onfido, Au10tix e Solaris, senza ottenere l'autorizzazione delle parti. Inoltre, il documento rivela che oltre 10.000 persone hanno presentato richieste di arbitrato, ma il rifiuto di Coinbase di pagare le commissioni richieste ha portato all'archiviazione dei loro casi.
Di conseguenza, i querelanti hanno contestato alla borsa tre denunce per violazione delle leggi statali sulla privacy biometrica e una per frode ai danni dei consumatori ai sensi dell'Illinois Consumer Fraud and Deceptive Business Practices Act.
Chiedono un risarcimento danni di 5.000 dollari per ogni violazione sconsiderata o intenzionale e di 1.000 dollari per ogni violazione colposa. Il gruppo ha inoltre presentato un'ordinanza per porre fine alle presunte pratiche di trattamento dei dati e chiede a Coinbase di coprire le spese processuali.
Una bomba a orologeria per la privacy
Non è la prima volta che Coinbase è coinvolta in simili guai legali. Nel maggio 2023, l'azienda ha intrapreso un'azione simile per la gestione del riconoscimento facciale durante l'onboarding.
Nel frattempo, l'exchange sta anche affrontando le conseguenze di una recente violazione dei dati in cui gli operatori dell'assistenza clienti sarebbero stati corrotti per divulgare informazioni sensibili dei clienti. L'incidente ha causato almeno sei distinte azioni legali collettive tra il 15 e il 16 maggio, con Coinbase accusata di negligenza, scarse misure di sicurezza informatica e lentezza nella risposta.
Nanak Nihal Khalsa, co-fondatore di Holonym, un'azienda di identità digitale incentrata sulla privacy, ha affermato che il problema è più grande della piattaforma stessa.
La violazione di Coinbase dimostra ciò che sapevamo da sempre: il KYC senza la conoscenza zero è una bomba a orologeria per la privacy. Non si possono raccogliere e archiviare milioni di identità di utenti senza diventare alla fine un bersaglio e una fonte di rischio.
Khalsa ha aggiunto che gli utenti non dovrebbero dover rinunciare alla privacy solo per accedere ai servizi crittografici. Secondo l'esperto, il futuro dell'identità non sta nell'archiviazione dei dati, ma nell'utilizzo di strumenti a conoscenza zero che consentano di dimostrare la propria identità senza rivelare dati personali.
L'articolo Coinbase affronta una causa per la raccolta non autorizzata di dati biometrici è apparso per la prima volta su CryptoPotato .