Progettazione della videosorveglianza bancaria 2026: Identificazione zona per zona EN 62676-4 + GDPR DPIA + A ML + NDAA §889

Perché le telecamere di sorveglianza delle banche non coprono l'intera hall?

Una filiale bancaria appare come un piccolo spazio commerciale. Un ente regolatore la osserva e vi scorge cinque regimi legali sovrapposti: il rischio di dati sensibili previsto dall'articolo 9 GDPR per ogni transazione, la conservazione delle prove antiriciclaggio per ogni sportello, la ricostruzione dell'identificazione del cliente (KYC) per la verifica delle sanzioni per ogni apertura di conto, i controlli sugli appalti previsti dalla sezione 889 NDAA per ogni corpo macchina e la protezione contro i fulmini secondo la norma EN 62305 per ogni sportello automatico esterno. Ciascuno di questi regimi definisce un parametro diverso della stessa telecamera: l'obiettivo, il periodo di conservazione dei dati, la marca del modello, il dispositivo di protezione contro le sovratensioni. Un solo errore e il progetto non supera la fase di collaudo. Due errori e il progetto non supera la fase di appalto.

Alla base di tutti e quattro i regimi legali c'è EN 62676-4, lo standard tecnico che definisce cosa significhi concretamente, in termini numerici, l'espressione "la telecamera ha visto il volto". Spesso viene sottovalutata nei capitolati d'appalto, motivo per cui molti progetti soddisfano il requisito del numero di telecamere ma non quello della densità di pixel per metro. L'emendamento dell'ottobre 2025 introduce il framework OODPCVS (Overview, Outline, Discern, Perceive, Characterise, Validate, Scrutinise) come vocabolario più preciso, sovrapposto ai familiari livelli di Rilevamento/Osservazione/Riconoscimento/Identificazione ( DORI ). Le soglie non cambiano; OODPCVS fornisce semplicemente agli auditor un linguaggio più preciso per i casi intermedi. Per il resto di questo articolo utilizzeremo i valori DORI, con la mappatura OODPCVS nella tabella sottostante per riferimento incrociato.

DORI (eredità)	px/m	OODPCVS (2025)	Uso tipico della banca
Identification	250	Validate / Scrutinise	Teller face, ATM user, entry, vault axis, safe-deposit entry
Recognition	125	Characterise	Cash drawer, vault perimeter overlap, drive-through approach
Observation	62	Perceive / Discern	General lobby, car park sweep
Detection	25	Outline / Overview	Minimum to justify recording at all

Questo articolo analizza zona per zona, esplicitando i calcoli matematici. Dedichiamo un'attenzione insolitamente elevata al calcolo dei pixel per metro perché, in base alla nostra esperienza nella verifica dei progetti di filiali di banche europee di medie dimensioni, la principale causa di fallimento della messa in servizio è che il progetto rispettava i requisiti relativi al numero di telecamere, ma non la soglia di pixel/metro per lo sportello. La hall andava bene. Il caveau andava bene. Lo sportello – la zona critica per l' ML – era al 14% al di sotto della soglia di identificazione. Questa è la modalità di errore che comporta una riprogettazione e un ritardo di sei mesi.

Scheda di riferimento. Identificazione 250 px/m · Riconoscimento 125 px/m · Osservazione 62 px/m · Rilevamento 25 px/m. Cassiere di banca, utente bancomat, ingresso, asse del caveau e ingresso della cassetta di sicurezza si trovano tutti a livello di Identificazione. Tutto il resto è un livello inferiore giustificabile con una motivazione documentata.

Zona 1 — Ingresso filiale: ogni volto, sovrapposizione di due telecamere

L'ingresso della filiale è la zona più semplice da progettare correttamente e al contempo la più facile da sottovalutare. Ogni ente regolatore si aspetta un'acquisizione del volto a livello di identificazione per ogni adulto che varca la soglia, senza eccezioni. Il caso d'uso è l'indagine successiva: quando una frode, un furto, una rapina o l'identificazione assistita di un sospetto emergono in un successivo allarme ML, il filmato dell'ingresso fornisce il timestamp di riferimento e la prima immagine nitida del volto. Un'immagine sfocata dell'ingresso è una delle cause più comuni per cui un'indagine per frode si blocca.

Esempio pratico: fotocamera da 4 MP, obiettivo da 4 mm, 4 m fino alla porta d'ingresso.

PPM @ 4m = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

PPM @ 6m = (4 × 2560) / (5.376 × 6) = ~317 ppm → Identification ✓

Un margine di sicurezza di 1,9 volte rispetto alla soglia di 250 ppm a 4 m significa che il progetto tollera occlusioni parziali, mattine invernali poco illuminate e piccoli errori di altezza di montaggio senza incorrere in problemi di identificazione. La posizione a 6 m è in fondo al vestibolo, oltre la porta interna, dove il cliente passa dallo spazio pubblico a quello controllato dalla banca.

Perché due telecamere e non una? La configurazione a due telecamere all'ingresso è antimanomissione e anti-occlusione. Una singola telecamera all'ingresso rappresenta un singolo punto di vulnerabilità: vernice spray, cappello che ostruisce la visuale, riflesso del sole dall'angolazione sbagliata o, nel caso più cinico, manomissione fisica durante la rapina stessa. Due telecamere montate in posizione speculare agli angoli opposti del soffitto si osservano a vicenda e monitorano simultaneamente l'ingresso. La seconda telecamera cattura anche l'angolo di visuale che la prima perde a causa di ombrelli e cappelli alti. Il costo marginale dell'hardware è di un dispositivo e un paio di centinaia di metri di cavo Cat6, un costo irrisorio rispetto al costo di una singola identificazione contestata.

Privacy by design: la telecamera d'ingresso registra legalmente ogni cliente che entra perché la base giuridica è il legittimo interesse ai sensi dell'articolo 6, paragrafo 1, lettera f) GDPR — la prevenzione dei reati finanziari è uno dei casi riconosciuti dal considerando 49 — unitamente a una segnaletica esplicita all'ingresso. La tua DPIA deve documentare il test di necessità (sarebbe possibile raggiungere lo stesso risultato probatorio con meno dati?), il test di proporzionalità (la sovrapposizione di due telecamere è necessaria o eccessiva?) e il meccanismo di tutela dei diritti dell'interessato. La risposta standard per le telecamere d'ingresso è sì, sì e una procedura di contatto con il DPO affissa.

Per una spiegazione completa dell'aritmetica dei pixel per metro che sta alla base dei numeri sopra riportati, vedere il DORI calculation walkthrough, oppure vai direttamente al free DORI calculator per convalidare la tua specifica scelta di fotocamera e obiettivo.

Zona 2 — Sportello cassa: sportello frontale per ogni sportello + cassetto contanti a tracolla

Lo sportello del cassiere è la zona più trascurata nella progettazione tipica di una filiale e quella che ha maggiori probabilità di non superare un test di collaudo. La tentazione è quella di installare un'unica dome a cupola che inquadri l'intero bancone: efficiente, economica e facile da cablare. Il problema è che un singolo dispositivo a cupola non può soddisfare contemporaneamente due obiettivi DORI distinti: il volto del cliente per l'identificazione (250 ppm) e il cassetto contanti per il riconoscimento (125 ppm). Uno si trova all'incirca all'altezza degli occhi e guarda orizzontalmente; l'altro all'altezza della mano e guarda verticalmente. La geometria è fondamentalmente diversa.

Una nota sul perché le stesse specifiche della fotocamera superano il test Entry ma non quello Teller. Una telecamera da 4 MP / 4 mm / 1/2,8" posizionata a 4 m di distanza in linea d'aria offre circa 476 ppm su un volto, consentendo facilmente l'identificazione. Lo stesso corpo macchina, con lo stesso obiettivo, montato dome a 2,7 m di altezza e puntato verso un cliente allo sportello a 4 m di distanza, dall'altra parte del bancone, è orientato verso il cliente con un'angolazione obliqua. Il piano effettivo del volto risulta accorciato di circa cos(35°) ≈ 0,82 e la linea d'aria diagonale è più vicina a 4,8 m che a 4 m. Il valore effettivo di ppm sul volto è quindi più vicino a ~325, ancora superiore al livello di identificazione, ma senza margine per eventuali riflessi, illuminazione invernale o clienti di alta statura. Ecco perché la configurazione per le file agli sportelli utilizza una telecamera montata all'altezza del volto su una colonna o sul frontale del bancone, e non una dome a soffitto. Stesse specifiche, geometria diversa, risultato diverso.

Esempio pratico: fotocamera da 6 MP, sensore da 1/1,8" (7,20 mm orizzontale), obiettivo da 8 mm, montata su colonna all'altezza del viso del cliente.

PPM @ 3m = (8 × 3072) / (7.20 × 3) = ~1138 ppm → Identification (deep headroom) ✓

PPM @ 5m = (8 × 3072) / (7.20 × 5) = ~683 ppm → Identification ✓

La combinazione 6 MP / 8 mm / 1/1.8" è la telecamera di punta per le file di cassa. Il margine di sicurezza di oltre 250 ppm è intenzionale: compensa la pellicola antiriflesso sul bancone, la scarsa illuminazione ambientale invernale, le diverse altezze dei clienti e l'inevitabile piccolo spostamento di posizione del supporto durante una vita operativa di 10 anni. Il valore di 5 m si riferisce alla posizione di un cliente a un passo dal bancone, ancora in fase di identificazione.

La telecamera di supporto si monta in alto, dietro al cassiere, puntata verso il cassetto dei contanti. La scelta tipica è una telecamera da 4 MP con un obiettivo grandangolare da 2,8 mm a una distanza di 1,2 m dalla superficie del cassetto. Questa telecamera registra la gestione delle banconote (conteggio, confezionamento, smistamento) e costituisce la prova fondamentale in caso di contestazioni relative al denaro contante. Non è necessario che inquadri il volto del cliente (questo compito è svolto dalla telecamera a finestra). È invece fondamentale che inquadri chiaramente mani e banconote, il che significa che deve essere in grado di riconoscere le banconote in un'area del cassetto di circa 0,6 m di larghezza.

Confine della privacy: mascheramento del tastierino numerico. Nessuna delle due telecamere copre la tastiera del PIN-pad lato cliente. Le linee guida PCI stabiliscono esplicitamente che qualsiasi dispositivo che registri l'inserimento del PIN attiva i controlli di gestione del PIN: crittografia dei dati a riposo, custodia delle chiavi, audit. Non è opportuno che il sistema di videosorveglianza erediti l'ambito di applicazione PCI. La soluzione standard consiste nel montare le telecamere con angolazioni che impediscano fisicamente la visualizzazione della tastiera (angolazioni acute laterali) oppure nel mascherare l'area della tastiera tramite il firmware della telecamera (la maggior parte delle telecamere ONVIF professionali supporta il mascheramento della privacy per zona). In entrambi i casi, la documentazione di progetto deve indicare il metodo utilizzato e la relativa motivazione.

Il numero di dispositivi per sportello aumenta linearmente: una fila di sportelli con 6 postazioni riceve 6 telecamere per il riconoscimento facciale + 6 telecamere per il cassetto contanti = 12 dispositivi sul lato sportello. Può sembrare un numero elevato, finché non lo si confronta con l'alternativa di una transazione in contanti contestata, priva di prove e che finisce per essere gestita dal supervisore. Il costo marginale di due telecamere per postazione è di gran lunga inferiore al costo di una contestazione inconclusiva.

Zona 3 — Bancomat: riconoscimento facciale + controllo del comportamento + perimetro/targa

Ogni sportello automatico (ATM) dovrebbe essere dotato di tre telecamere. La telecamera per il riconoscimento facciale identifica l'utente. La telecamera per lo schermo registra i comportamenti, come la copertura della tastiera, lo sbirciare all'interno dello sportello, le tecniche di ingegneria sociale. La telecamera perimetrale copre le fasi di avvicinamento e di uscita e, negli sportelli drive-through, riprende la targa del veicolo. Ogni telecamera è pensata per contrastare una diversa categoria di frode o attacco: clonazione di carte (riconoscimento facciale + comportamento), blocco delle carte (comportamento), furto per distrazione (perimetro), rapina drive-through (perimetro + targa) e ricostruzione di accessi non autorizzati (riconoscimento facciale).

Esempio pratico: gruppo di tre telecamere per la videosorveglianza di un bancomat.

Fotocamera per il riconoscimento facciale: 4 MP, obiettivo da 1/2.8", 6 mm a 1,5 m dal volto dell'utente.

PPM @ 1.5m = (6 × 2560) / (5.376 × 1.5) = ~1905 ppm → Identification (deep headroom for motion blur and low light)

Telecamera per schermo/comportamento: 4 MP, 1/2.8", obiettivo grandangolare da 2,8 mm a 1 m dall'area della tastiera:

PPM @ 1m = (2.8 × 2560) / (5.376 × 1) = ~1333 ppm → Identification (lens choice records arm and hand motion)

Telecamera per targa drive-through: 8 MP, 1/1.8", obiettivo da 12 mm a 5-8 m dalla targa:

PPM @ 5m = (12 × 3840) / (7.20 × 5) = ~1280 ppm → plate-readable with fast-shutter margin for night

Angolo di passaggio e riduzione della velocità dell'otturatore. Le telecamere per targhe sono l'unico punto in una filiale in cui l'aritmetica della posizione statica sottostima l'obiettivo necessario. Un veicolo che si avvicina al bancomat a 5 km/h si muove a circa 1,4 m/s e la targa è raramente perpendicolare all'asse della telecamera: l'angolo di avvicinamento tipico è di 20°–35°. Il ppm effettivo sui caratteri della targa viene ridotto dal coseno dell'angolo: a 30° si perde circa il 13%, a 45° si perde circa il 30%. Oltre a ciò, la sfocatura da movimento sbava i caratteri a meno che l'otturatore non sia ≤ 1/500 s, il che impone un'apertura maggiore o un guadagno maggiore in condizioni notturne. Regola empirica: raddoppiare la lunghezza focale che si sceglierebbe per una cattura statica del volto alla stessa distanza. Per un drive-through a 5 m, 12 mm e non 6 mm. Vedi il Guida alla distanza dalla targa e alla lunghezza focale per il calcolo completo della leggibilità della piastra.

Bancomat esterno = zona di protezione contro i fulmini. La norma EN 62305 classifica qualsiasi dispositivo esterno installato su palo o tettoia come Zona di Protezione contro i Fulmini (LPZ) e la distinta BOM ) deve includere dispositivi di protezione contro le sovratensioni sia sulla linea di alimentazione che sulla linea dati. Una telecamera PoE standard senza SPD può essere resa inutilizzabile da un singolo temporale, e la sovratensione spesso danneggia anche la porta NVR. Il PDF di progetto deve elencare esplicitamente il modello di SPD per ogni telecamera esterna, la classificazione LPZ e il collegamento al sistema di protezione contro i fulmini dell'edificio, se presente. Il consumo PoE tipico per una telecamera ATM esterna con riscaldatore e SPD è di 25-30 W per goccia su una porta switch PoE+ (60 W). Le telecamere dome per interni consumano 5-7 W. Dimensionare di conseguenza lo switch e l'UPS nell'armadio.

Zona 4 — Camera blindata e sala del denaro: sovrapposizione di due telecamere, collegate al controllo accessi

La stanza blindata e quella adibita al conteggio del denaro rappresentano l'area più critica di qualsiasi filiale, nonché la più facile da sovradimensionare e sottodimensionare allo stesso tempo. Un sovradimensionamento si traduce, ad esempio, in quattro telecamere grandangolari 4K puntate sulla stessa parete. Un sottodimensionamento, invece, si traduce in una singola telecamera ad alta risoluzione senza un secondo angolo di ripresa. La soluzione ideale prevede due telecamere con campi visivi sovrapposti, montate agli angoli opposti, ciascuna con una densità di pixel di livello di identificazione lungo l'asse centrale della stanza.

Esempio pratico: coppia di sensori da 4 MP, obiettivo da 4 mm, angoli opposti a un'altezza di 2,7 m.

PPM @ 4m (central axis) = (4 × 2560) / (5.376 × 4) = ~476 ppm → Identification ✓

Ciascuna telecamera copre la stanza da un angolo. La sovrapposizione angolare del 30-40% lungo l'asse centrale fa sì che un tentativo di manomissione su un dispositivo lasci il secondo dispositivo come testimone indipendente, e il margine di identificazione (circa 1,9 volte superiore alla soglia) assorbe tolleranze di montaggio ragionevoli e variazioni di illuminazione.

Etichettatura video attivata da eventi. Le riprese della cassaforte devono essere associate al registro eventi del controllo accessi. Ogni evento di apertura di una porta nella cassaforte dovrebbe allegare automaticamente il segmento video corrispondente della coppia di telecamere alla registrazione dell'evento NVR. Questo è ciò che i revisori ML cercano quando chiedono di "vedere le registrazioni degli accessi alla cassaforte degli ultimi 90 giorni": non una lunga sequenza temporale di stanze vuote, ma un elenco di eventi di accesso con una clip di 2 minuti pre-allegata per ogni evento. La maggior parte delle piattaforme NVR professionali supporta l'associazione video tramite eventi: la progettazione deve solo specificare il collegamento, la regola di conservazione (in genere la più lunga tra la finestra di conservazione del registro accessi e quella ML ) e la compatibilità con il fornitore del sistema di controllo accessi.

La conservazione dei filmati archiviati è la più lunga tra i regimi che la riguardano. Nell'UE, una prassi tradotta da ML D prevede 6 mesi per l'accesso generale all'archivio e a tempo indeterminato per gli eventi segnalati. Negli Stati Uniti, le linee guida BSA/FFIEC impongono un minimo di 1 anno per l'archivio e 5 anni per qualsiasi filmato collegato a una segnalazione di attività sospetta (SAR). Una nota sulla conservazione prolungata: il principio di limitazione della conservazione GDPR (articolo 5(1)(e)) funziona in senso opposto: la conservazione a tempo indeterminato richiede un trigger verificabile (il flag SAR, l'ID dell'indagine) che colleghi ogni segmento conservato al suo scopo lecito. Una conservazione generalizzata di 5 anni senza giustificazione a livello di segmento è di per sé una violazione. Consultare un legale per progetti transfrontalieri. Il calcolatore di archiviazione di CCTVplanner esegue i calcoli a /calcolatrice/memoria con ritenzione per telecamera come variabile per zona.

Zona 5 — Corridoio delle cassette di sicurezza: identificare l'ingresso, non sequestrare mai il contenuto

Il deposito di sicurezza è l'area in cui il confine della privacy è più netto e maggiormente tutelato dalla giurisprudenza in ogni giurisdizione europea. Il cliente ha un'esplicita aspettativa di privacy riguardo al contenuto della propria cassetta di sicurezza. La videosorveglianza nel corridoio è accettabile – a volte obbligatoria – ma la ripresa dell'interno della cassetta o persino dell'interazione del cliente con la propria cassetta aperta è contestabile in diverse giurisdizioni ai sensi dell'articolo 8 della CEDU. Lo schema di progettazione standard prevede: coprire l'ingresso del corridoio, coprire la porta della stanza delle cassette dall'interno, non puntare mai una telecamera direttamente sulla struttura delle cassette.

Esempio pratico: 4 MP / 4 mm all'ingresso del corridoio, profondità di visuale 3-5 m

PPM @ 5m = (4 × 2560) / (5.376 × 5) = ~381 ppm → Identification ✓

Il cliente è identificabile all'ingresso del corridoio. Una seconda telecamera all'interno del locale box copre la porta, ma è angolata in modo che la rastrelliera dei box sia fuori dall'inquadratura. Il cliente viene ripreso sia all'entrata che all'uscita; la sua interazione con il proprio box non viene ripresa.

Questo è il modello di privacy by design più esplicito dell'intero settore ed è quello che i supervisori premiano più generosamente durante la valutazione d'impatto sulla protezione dei dati (DPIA). Documentando il vincolo angolare, il diagramma dei campi visivi delle telecamere con il rack di scatole all'esterno di ogni inquadratura e la formazione degli operatori sulla politica di non zoomare all'interno delle scatole, si trasforma un'area altrimenti a rischio in una chiara dimostrazione di conformità. Il PDF del progetto CCTVplanner include un'annotazione per telecamera relativa all'"ambito del contenuto acquisito" specifica per questo tipo di documentazione destinata agli enti regolatori.

Architettura di rete: VLAN, piano di gestione, NDAA -del-software

La sezione 889 NDAA non si limita al corpo della telecamera. Le linee guida di applicazione del 2023-2024 emanate dalle agenzie federali chiariscono che anche il software di gestione video, il firmware NVR e i sistemi di gestione cloud delle entità soggette alla normativa sono soggetti alle stesse restrizioni. Una telecamera Hanwha o Axis "conforme" collegata a un NVR Hikvision costituisce comunque una violazione della sezione 889. Il progetto deve attestare l'integrità dell'intera infrastruttura: corpo della telecamera, registratore, VMS e qualsiasi servizio di gestione cloud o mobile.

Nemmeno la segmentazione della rete è facoltativa. Una rete di videosorveglianza bancaria è un obiettivo di alto valore, sia perché le telecamere stesse offrono un punto di osservazione privilegiato sulla gestione del contante, sia perché gli switch PoE con credenziali predefinite rappresentano un percorso di movimento laterale documentato verso la rete aziendale. La progettazione minima:

VLAN dedicata per le telecamere, nessun routing verso la LAN aziendale, nessun accesso a Internet in uscita se non verso endpoint cloud di fornitori autorizzati.
Piano di gestione su una VLAN separata con autenticazione a più fattori sulla console VMS.
La procedura di aggiornamento del firmware è documentata: aggiornamento manuale in ambiente non connesso alla rete o aggiornamento automatico solo con firmware firmato, mai tramite semplice download HTTP.
Le credenziali predefinite sono state rimosse al momento della messa in servizio, come documentato nel documento di consegna.

Questo è lo strato che trasforma un sistema di videosorveglianza da un onere di conformità in una risorsa di conformità. Gli auditor richiedono sempre più spesso lo schema di rete insieme alla programmazione delle telecamere.

Standardizzazione multifiliale in oltre 10 sedi

Una banca al dettaglio con 50 filiali ha le stesse cinque zone in ogni filiale, ma le filiali differiscono per dimensioni, layout e geometria stradale. È così che inizia la deviazione dalla conformità, ovvero la progettazione di ogni singola filiale da zero: la filiale 23 riceve una lente da 6 mm all'ingresso, mentre tutte le altre usano lenti da 4 mm, perché il progettista quel giorno si è sbagliato. Tre mesi dopo, durante la fase di collaudo, si scopre che la filiale 23 attiva la funzione di riconoscimento anziché quella di identificazione all'ingresso, e l'intera filiale deve essere riprogettata.

Il modello standardizzato utilizza tre archetipi: in genere piccolo (2 sportelli, un solo bancomat, senza servizio drive-through), medio (4 sportelli, due bancomat, senza servizio drive-through) e grande (6 o più sportelli, servizio drive-through, più caveau). Ogni archetipo è un progetto EN 62676-4 completamente risolto, con il numero di telecamere, la scelta dell'obiettivo, le altezze di montaggio e i calcoli DORI integrati. Ogni ramo effettivo inizia come una biforcazione dell'archetipo più vicino, con modifiche specifiche del sito per le telecamere perimetrali e la geometria della planimetria. La conformità viene mantenuta; solo la geometria varia.

Il modello di progetto CCTVplanner è stato creato appositamente per questo scopo. L'azione "duplica progetto" clona un archetipo mantenendo intatte tutte le zone, tutti i calcoli DORI e tutti i metadati di conformità. Il progetto duplicato accetta quindi una nuova planimetria, una nuova mappa satellitare e le regolazioni delle telecamere per ogni filiale, senza perdere la baseline EN 62676-4. Ogni filiale produce il proprio PDF per l'auditor, ma le regole di progettazione sottostanti sono identiche e verificabili nuovamente.

BOM , conservazione dei dati e PDF del revisore

Un progetto bancario che non produce un file unico da consegnare al revisore non è un progetto finito. Il PDF contiene:

Planimetria con ogni telecamera contrassegnata
Matrice di zone con livello DORI per telecamera per zona
Programmazione della fotocamera con modello + obiettivo + montaggio + alimentazione
Lunghezza dei cavi e budget PoE per armadio (tipico: 25–30 W per telecamera ATM esterna, 5–7 W per dome interna)
Dimensionamento NVR + storage per le finestre di conservazione per zona
Elenco SPD per dispositivi LPZ per esterni
Flag NDAA §889 per ogni componente di telecamera, registratore e VMS
Diagramma dell'architettura di rete (VLAN, piano di gestione, policy del firmware)
Schema del foglio di lavoro per la valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'articolo 35 GDPR

Ognuna di queste sezioni risponde a una domanda dell'autorità di regolamentazione. La matrice delle zone risponde alla domanda "ogni volto rilevante è stato identificato?". Il programma delle telecamere risponde alla domanda "sono presenti marchi vietati in una filiale adiacente a livello federale?". La tabella di conservazione risponde alla domanda "conservate le riprese degli sportelli automatici per un periodo sufficientemente lungo da rispettare la regola dei 90 giorni del BSA e per un periodo sufficientemente breve da rispettare i limiti di conservazione GDPR ?". Il foglio di lavoro DPIA risponde alla domanda "avete applicato l'articolo 35 a questo trattamento?". Un singolo PDF che si collega in modo chiaro a queste domande riduce il colloquio con l'autorità di regolamentazione da mezza giornata a mezz'ora.

La BOM viene esportata separatamente in formato CSV per il flusso di lavoro di approvvigionamento. L'esportazione in formato DXF viene inviata all'installatore elettrico con i percorsi dei cavi, le posizioni di montaggio e il budget PoE per ogni punto di connessione. Entrambi i file fanno riferimento allo stesso PDF canonico, in modo che l'ufficio acquisti, l'installatore e il revisore consultino sempre la stessa fonte di riferimento. Questo è il modello multi-output che distingue uno strumento di progettazione di livello bancario da un generico pianificatore di telecamere.

Errori comuni da evitare

Una singola dome sovrastante copre sia il viso che il cassetto dei contanti allo sportello del cassiere.
Obiettivi DORI diversi, geometrie diverse, un singolo dispositivo non può soddisfare entrambi. Un audit ML segnala specificamente il cassiere: la maggior parte dei fallimenti di messa in servizio si verifica qui.
Integrare Hikvision o Dahua nella BOM di una filiale federale adiacente, inclusi NVR e VMS.
La sezione 889 NDAA riguarda l'intera infrastruttura. Una telecamera conforme collegata a un registratore non conforme costituisce comunque una violazione. Ne conseguono la revoca dei finanziamenti federali e la necessità di un nuovo appalto.
Saltare la DPIA (Valutazione d'impatto sulla protezione dei dati) ai sensi dell'articolo 35 GDPR in caso di "riprogettazione minore"
Qualsiasi modifica al numero di telecamere, al loro montaggio o alla loro permanenza in una filiale costituisce una modifica all'attività di elaborazione. Anche un progetto del tipo "abbiamo appena aggiunto due telecamere" richiede un aggiornamento della DPIA. Le autorità di controllo stanno monitorando sempre più attentamente questa situazione.
Nessun dispositivo di protezione contro le sovratensioni sulle telecamere degli sportelli automatici esterni
La norma EN 62305 richiede la classificazione LPZ + SPD per ogni telecamera esterna esposta. Un tifone, un guasto al trasformatore o un fulmine che colpisce direttamente la chioma possono danneggiare irreparabilmente la telecamera e, spesso, anche la porta NVR. L'SPD rappresenta un piccolo investimento iniziale.
Bancomat con una sola telecamera e senza sistema di backup.
Un tentativo di manomissione o un'ostruzione sull'unica telecamera del bancomat non lascia tracce. Il sistema a tre telecamere del bancomat (frontale + schermo + perimetro) è antimanomissione tanto quanto antifrode.
La durata della conservazione è dimensionata in base alla finestra temporale più breve applicabile.
Una filiale che opera tra UE e Stati Uniti deve soddisfare sia le normative antiriciclaggio ML ) che quelle del Bank Secrecy Act (BSA). Dimensionare lo spazio di archiviazione in base alla finestra temporale UE quando il BSA richiede periodi più lunghi è un errore di progettazione evitabile che emerge durante il colloquio con l'autorità di controllo sei mesi dopo. L'errore speculare, ovvero la conservazione indiscriminata e illimitata dello spazio di archiviazione senza una giustificazione specifica per ogni segmento, non rispetta i limiti di archiviazione GDPR.
VLAN della telecamera con interfaccia LAN aziendale
Gli switch PoE con credenziali predefinite e le telecamere IP hanno percorsi di movimento laterale documentati. La segmentazione non è un optional.

Domande frequenti

→Does a single 4MP dome at 4m height pass EN 62676-4 Identify on a teller window?

Almost never. A 4MP camera with 1/2.8" sensor on a 4mm lens delivers around 476 ppm on a face at 4m straight-line — but at the teller window the camera is dome-mounted at ~2.7m height looking obliquely down at a customer 4m away across the counter. Foreshortening (cos ≈ 0.82 at a 35° face angle) and the longer diagonal line-of-sight (~4.8m) drop the effective face-plane ppm to roughly 325 — above Identification but with no headroom for glare film, winter lighting or a tall customer. To hit 250 ppm reliably you either mount the camera at face height on a column or counter front, or step up to a longer lens (8mm or a 2.8–12mm varifocal locked at 8mm) on a 6MP / 1/1.8" body. The teller window is the one zone in a branch where the lazy 'one dome covers it' rule reliably breaks the AML evidentiary requirement.

→What is the AML video retention window for ATM footage in the EU vs the US?

EU AMLD does not prescribe a fixed retention window for CCTV footage, but national supervisors translate it into practice as roughly 30 to 90 days for general branch coverage and up to 180 days for ATM and teller transaction zones — with the explicit requirement that any footage tied to a flagged transaction be preserved indefinitely until the investigation closes. The US Bank Secrecy Act and FFIEC guidance push 90 days minimum and 1 year for ATM and vault, with the same flagged-event preservation rule. Your design needs storage sized for the longer of the two if you operate in both jurisdictions — but the indefinite retention has to be tied to a per-segment SAR flag or investigation ID, otherwise GDPR storage limitation cuts the other way.

→Is Hikvision banned in every bank branch, or only federal-affiliated ones?

Section 889 of the US NDAA prohibits federal agencies and federal-grant recipients from procuring or operating Hikvision, Dahua, Huawei, Hytera and ZTE equipment — and the 2023–2024 enforcement guidance extends that to recorders, VMS software and cloud-management back-ends, not just cameras. In banking that captures government depository banks, branches inside federal buildings, and any bank that takes federal-grant funding (rural development, community reinvestment, certain SBA programmes). Most large retail banks are not directly subject to §889 — but their commercial customers increasingly require Section 889 attestation up the supply chain, and federal regulators have begun citing presence of banned equipment as a procurement-controls weakness in CFPB and OCC exams. Practically, if you operate any federally adjacent branches you should design the whole estate as if §889 applies, because retrofitting later costs more than designing right the first time.

→How many cameras do I need at an ATM — one, two, or three?

Three is the durable answer for a customer-facing ATM. One for face capture at Identification (200–300 ppm on the user's face at the typical 1.2–1.7m standing distance). One for screen-and-keypad behaviour at wide angle (records gestures and obstruction attempts but masks PIN entry per PCI guidance). One for the surrounding area and drive-up plate if applicable. Skipping any of the three creates a defensible gap an investigator can point to: missing face after a fraud, missing behaviour during a skimmer install, or missing context for a wallet theft at the machine. The marginal hardware cost is small compared to the cost of one disputed transaction with no evidence.

→What's the cost difference between an 8MP NDAA-compliant camera and a 4MP Hikvision?

At list price the gap is typically 30 to 60 percent — an 8MP Hanwha or Axis NDAA-compliant bullet runs around $250–$450 at distributor pricing versus $150–$280 for a comparable 4MP Hikvision. The gap closes once you factor in matched specs at higher resolution, longer warranty terms, and the absence of compliance-pull risk. For a 30-camera branch the total uplift is roughly $3,000–$6,000 — typically less than 5 percent of the project's all-in cost including labour, switches, NVR, cable and installation. The compliance insurance is cheap.

→Do I need separate cameras for the teller's face and the teller's cash drawer?

Yes — they are different evidentiary objects with different DORI requirements. The customer face needs Identification at the teller window (250 ppm, typical mounting on a column or counter front). The cash drawer needs Recognition over the denomination handling (125 ppm minimum, typical mounting overhead behind the teller looking down). A single camera cannot meet both simultaneously without an unrealistic lens — the geometry is fundamentally different (one is roughly horizontal at face height, the other is roughly vertical at hand height). Combined-evidence cameras exist but get challenged in fraud disputes when the auditor asks why a single device covered two different DORI targets.

→How does GDPR Article 35 DPIA apply to a bank branch CCTV redesign?

Article 35 requires a Data Protection Impact Assessment when processing is likely to result in high risk to the rights and freedoms of natural persons. Bank branch CCTV almost always qualifies — large-scale systematic monitoring of a public area, special-category data risk where teller windows capture financial transaction context, and behavioural analytics if you add AI overlays. The DPIA needs to document the lawful basis (typically Article 6(1)(f) legitimate interest with the AML/financial-crime balance test), the proportionality of each zone, the retention windows tied to per-segment triggers, the access controls, and the subject-rights mechanism. The CCTVplanner project PDF includes a DPIA-ready section per zone — designed to drop into the assessment with minimal editing.

→Can I reuse one branch's CCTV design across 50 sites?

Yes — that is exactly the multi-branch project model. A baseline branch design (typical small, medium and large layouts) becomes a project template. You fork the template per actual site, swap the satellite map and floor plan, adjust the perimeter cameras to match the real geometry, and the zone-level DORI compliance and BOM logic carries through. What you cannot reuse blindly is the camera count, the cable run, and the lightning-protection zones — those are site-specific. Bank-network designers typically keep three to five 'archetype' templates and treat each branch as an instance of the closest archetype with site-specific overrides.

→Does NDAA §889 cover the NVR and VMS or just the cameras?

The full stack. 2023–2024 enforcement guidance from federal agencies makes clear that recorder firmware, video management software, and cloud-management back-ends from covered entities are restricted on the same terms as the cameras. A compliant camera body connected to a Hikvision recorder, or recorded into a Dahua-branded VMS, or back-ended by a covered cloud service, is still a violation. Your camera schedule needs an NDAA flag column that includes the recorder and VMS rows, not just the camera rows.

Progettazione della videosorveglianza bancaria 2026: ATM, caveau, sportello e ingresso filiale — Procedura dettagliata zona per zona secondo EN 62676-4

In breve: le 5 cose da fare bene

Indice