Il tempo sembra non bastare mai, e se da un lato l’evoluzione tecnologica ha velocizzato l’accesso ad alcuni servizi, dall’altro ha dovuto fare i conti con le problematiche e i pericoli di sicurezza. Per questo si è passati da semplici autenticazione con “nome utente” e “password”, fino a procedure lunghe e complesse con l’inserimento di “codici pin” associati all’utente tramite una “grid card”, l’utilizzo di token (OPT = one-time password) e altri strumenti volti a prevenire la frode informatica, i quali, inevitabilmente, hanno rallentato la procedura e la semplice disponibilità del servizio.
Ovviamente la fluidità dell’esperienza vissuta con questi metodi di riconoscimento (MFA = Multi Factor Authentication) e, la necessità di dover ricordare molte password, ostacola il propagarsi di questi strumenti elettronici. Ad esempio, in Italia, l’e-Commerce sta pian piano crescendo, ma rimane preferito l’acquisto in contanti, dove l’affidabilità della transazione che si sta per compiere viene percepita come sicura ed immediata.
Per queste ragioni le multinazionali leader del mercato online stanno cercando di semplificare il più possibile l’utilizzo di metodi di pagamento elettronici, in modo tale da incentivare il loro utilizzo e aumentare i profitti. Basti pensare come “Amazon” abbia introdotto la modalità di vendita con un solo “click” (avendo preventivamente associato le credenziali della carta di credito), o il nuovo “Dash Botton” che permette, per mezzo di un piccolo pulsante fisico, di inoltrare l’ordine del prodotto senza neanche accendere il computer. Nel prossimo futuro soprattutto le banche vedranno il loro business sempre più indirizzato verso i metodi di pagamento digitali, e per questo stanno implementando soluzioni di “Cybersecurity Fraud Prevention” garantendo l’affidabilità del sistema attraverso autenticazioni protette.
Per ovviare alle diverse problematiche, sia che si utilizzi per acquisti online, che per accesso fisico o logico ad un’infrastruttura, si sta cercando di passare a sistemi di riconoscimento biometrici, poiché per loro natura sono direttamente, univocamente e tendenzialmente stabili nel tempo, collegati all’individuo attraverso una profonda relazione tra corpo, comportamento e identità della persona. La biometria (dal greco “bios” = vita e “metros” = misura) è definita come la disciplina che studia le grandezze biofisiche allo scopo di identificare i meccanismi di funzionamento, di misurare il valore e di indurre un comportamento desiderato in specifici sistemi tecnologici. Convenzionalmente questi sistemi di autenticazione sono ricavati da “proprietà biologiche, aspetti comportamentali, caratteristiche fisiologiche, tratti biologici o azioni ripetibili laddove tali caratteristiche o azioni sono tanto proprie di un certo individuo quanto misurabili, anche se i metodi usati nella pratica per misurarli tecnicamente comportano un certo grado di probabilità”. (ISO/IEC 2382-37 “Information Technology – Vocabulary – Part 37: Biometrics”).
Per la loro particolare specificità è necessario garantire adeguate cautele in caso di trattamento; infatti, in ragione della tecnica prescelta, del contesto di utilizzazione, del numero e della tipologia di potenziali interessati, delle modalità e delle finalità del trattamento, può comportare rischi specifici per i diritti e le libertà fondamentali. Questi sistemi di riconoscimento rispecchiano in modo assoluto i requisiti di esclusività (capacità distintiva per ogni persona), permanenza (in quanto rimane inalterato nel tempo o si modifica lentamente) e universalità (presenza in ogni individuo), ma sfortunatamente sono ancora troppo deboli e vulnerabili.
Ad esempio, in caso di furto o perdita di tradizionali credenziali di login si può semplicemente impostarne di nuove, differentemente, il dato biometrico è impossibile da cambiare (tralasciando il naturale mutamento nel tempo), risultando unico nel suo genere. Quindi sarà determinante un’adeguata crittografia che tenga al sicuro queste informazioni. I rischi incombenti sui dati biometrici, impongono, in coerenza con le previsioni del Regolamento Europeo eIDAS in tema di identificazioni, autenticazione e firma digitale, l’obbligo di comunicare al Garante il verificarsi di violazioni di dati o incidenti informatici entro 24 ore dalla conoscenza del fatto (secondo lo schema delle Linee Guida Provvedimento generale prescrittivo in tema di biometria – 12 novembre 2014, Allegato B, tramite posta elettronica all’indirizzo databreach.biometria@pec.gpdp.it).
Tra le varie categorie di dati biometrici (Tabella 1), il sistema di riconoscimento basato sull’impronta digitale rappresenta quasi il 90% delle tecnologie applicate che stanno guadagnando lentamente spazio. Si veda ad esempio, l’impiego in device mobili dove vengono utilizzati oltre che per l’autorizzazione ad accedere a servizi d’informazione, anche per usufruire ad accessi fisici delle infrastrutture (come banche e biblioteche o aree aziendali riservate). Ad ogni modo, Il Garante, impone che questo tipo di riconoscimento sia utilizzato solo per “usi facilitativi”, sempre con il consenso dell’interessato ed inoltre con l’obbligo di garantire modalità alternative di accesso per chi non volesse usufruire di tali strumenti biometrici.
Dal punto di vista giuridico l’utilizzo di dati biometrici impone il rispetto di alcuni principi generali dell’ordinamento (liceità, necessità, finalità e proporzionalità) in virtù del fatto che si trattano dati personali c.d. semi-sensibili, capaci di rendere una persona identificata o identificabile. Antecedentemente alla fase di “enrollement” (acquisizione del campione biometrico, memorizzazione ed estrazione fino alla generazione del dato di riferimento archiviato), il titolare del trattamento dovrà obbligatoriamente fornire l’informativa riguardo le finalità perseguite (ad esempio, l’utilizzo dell’impronta digitale per accedere ad un’area riservata, non potrà essere usato per controllare l’orario di accesso dei dipendenti), la modalità di trattamento, le cautele adottate (misure di sicurezza applicate), e, infine, i tempi di conservazione dei dati stessi. Ai sensi dell’art. 17 del Codice della Privacy, è necessario richiedere al Garante una verifica preliminare, salvo l’esonero consentito se adottate determinate condizioni.
Sono attese importanti novità, a seguito delle direttive europee GDPR (General Data Protection Regulation) e PSD2 (Paymnents Service Directive 2) che diverranno definitivamente vincolanti a partire dal 2018. La regolamentazione comunitaria in materia di privacy, oltre a definire quali siano i dati importanti da proteggere (ad esempio il dato biometrico viene inserito nella categoria di dati sensibili), richiede anche un’analisi dei rischi per evitare usi discriminatori di questo strumento che potrebbe trasformarsi da risorsa in sicurezza in uno strumento di controllo generalizzato sulla salute, l’etnia o la razza. Infatti, ad esempio, si richiede di privilegiare l’uso di sistemi biometrici che richiedano la cooperazione consapevole dell’interessato, e, ove possibile, con minore quantità di informazioni, in modo da ridurre un’ipotetica ricostruzione del campione in fase di trattamento. Importantissima anche la direttiva sui pagamenti elettronici, la quale richiede delle autenticazioni “forti” per garantire la sicurezza delle transazioni. Del 23 Febbraio 2017 il Final Report (Draft Regulatory Technical Standards on Strong Customer Authentication and Common and Secure Communication under Article 98 of Directive 2015/2366) che specifica le norme tecniche in materia di autenticazione e comunicazione. Dalla normativa in esame si evince l’obbligo per gli Stati membri di provvedere a che un prestatore di servizi di pagamento applichi l’autenticazione forte del cliente quando: accede al suo conto di pagamento online, dispone di un’operazione di pagamento elettronico, oppure, quando effettua qualsiasi azione, tramite un canale a distanza, che può comportare un rischio di frode nei pagamenti o altri abusi. L’introduzione di nuovi servizi di pagamento (PISP e AISP) dovrà così essere accompagnata dall’applicazione di sistemi in grado di garantire la sicurezza senza possibilità di errore.
Sfortunatamente, un tema delicato che affligge i sistemi biometrici è rappresentato proprio dalla possibilità dell’errore. Infatti, la tecnologia in questione è colpita da una predisposizione all’errore durante la fase di riconoscimento, dove il sistema crea un punteggio denominato “score”, in base a quanto il template risulti simile a quello di riferimento acquisito nella fase di ernrollment. Lo “score” viene confrontato con un valore di soglia predefinito, denominato “matching score”, il quale potrà variare a seconda di come vengono tarate le apparecchiature. Su quest’argomento il Gruppo di Lavoro dei Garanti Europei, nel Parere n. 3/2012 sugli sviluppi delle tecnologie biometriche ha affermato che “con un corretto aggiustamento del sistema e un’esatta regolazione delle impostazioni è possibile ridurre al minimo gli errori”. Alla luce delle considerazioni, quindi, la soglia di errore dovrà tenere conto della finalità del trattamento, in modo tale che un elevato FRR (False Acceptance Rate) sarà messo in relazione alla sicurezza rispetto al caso di specie.
Per quanto riguarda la conservazione del dato, le normative non specificano particolari metodi di custodia. Ad esempio potrà trovarsi nella disponibilità del titolare del trattamento, conservato in una banca dati centralizzata (in forma di Hardware Security Module), nelle postazioni di lavoro informatiche, o altrimenti sugli stessi dispositivi di acquisizione biometrica sicuri (es. token, smart card) affidati alla diretta ed esclusiva disponibilità degli interessati, dotati di adeguate capacità crittografiche e certificati per le funzionalità richieste in conformità alla norma tecnica: ISO/IEC 15408 o FIPS 140-2. I dati biometrici grezzi (raw data) generati nel corso del procedimento di acquisizione biometrica (biometric capture) dovranno inoltre essere cancellati dall’area di memoria temporanee in modo da garantire la sicurezza e riservatezza assoluta.
Il riconoscimento dell’utente, quindi, può essere basato su verifica biometrica (processo in cui il soggetto dichiara la sua identità e il sistema effettua un confronto fra il modello biometrico rilevato e quello memorizzato e corrispondente all’identità dichiarata) anche detto “confronto uno-a-uno” oppure su identificazione biometrica (processo in cui il sistema confronta il modello rilevato con tutti i modelli disponibili per individuare l’identità del soggetto), “confronto uno-a-molti”, operazione certamente più complessa. In entrambi i casi, come descritto dalle Raccomandazioni ENISA, i dati andranno protetti con strumenti crittografici o in database che supportino la cifratura a livello di record o di colonna.
Nel prossimo futuro già si intravedono progetti all’avanguardia, come il programma PIDaas (Private Identity as a Service), che prevede il coinvolgimento di dipendenti del CSI i quali, per poter visualizzare la busta paga e altri documenti, potranno usare il servizio di riconoscimento biometrico. Anche l’annuncio di Augustin de Romanet, numero uno di Aéroports de Paris, che riferendosi all’autenticazione biometrica ha detto “in prospettiva è probabilmente una soluzione verso cui potremmo orientarci” e per questo si è recato all’aeroporto di Ben Gurion di Tel Aviv per studiare i metodi messi in campo dalla security locale.
Come abbiamo visto una disciplina appropriata non è ancora in atto, ma sicuramente le nuove regolamentazioni che entreranno in vigore il prossimo anno getteranno le basi per una chiara, trasparente e uniforme interpretazione della materia. È vero sì che la velocità di autenticazione sarà essenziale per spostare il mercato in questa direzione, ma la sicurezza dei dati, intesa come integrità, disponibilità e riservatezza, è un diritto fondamentale che deve essere protetto ad ogni costo.
“Non è vero che abbiamo poco tempo: la verità è che ne perdiamo molto” – De Brevitate Vitae, – Lucio Anneo Seneca
Tabella 1: Riepilogo determinato in base alle Linee-Guida in materia di Riconoscimento Biometrico e Firma Grafometrica del Garante Privacy, Allegato A, 2014.
| DATO BIOMETRICO | Modalità di rilevamento | Caratteristiche | Commento |
| Impronte digitali | Acquisizione tramite dispositivi di rilevamento ottico, che riproducono la disposizione delle creste di Galton e delle valli cutanee presenti sui polpastrelli delle dita | Necessaria una partecipazione attiva dell’interessato anche se può essere tracciata senza la sua volontà; le proprietà rimangono stabili nel tempo | Alto grado di unicità differendo addirittura tra gemelli omozigoti |
| Firma autografa | Acquisizione tramite tablet grafometrici in grado di rilevare oltre il tratto grafico, anche una serie di parametri dinamici associati all’atto della firma (velocità di tracciamento, pressione, inclinazione, salti in volo…) | Necessita di una partecipazione attiva dell’interessato, non risulta stabile nel tempo e per questo è difficile la sua tracciabilità | Tassi elevati di falsi negativi che rendono poco efficiente l’utilizzo fuori contesti particolari in cui sia possibile l’intervento umano. |
| Emissione vocale | Autenticazione dell’individuo effettuato tramite interlocuzione telefonica tradizionale, o via Internet, oppure su scala locale interagendo con un dispositivo connesso o integrato in un personal computer o altro dispositivo informatico. Il riconoscimento viene dedotto dal tratto vocale, alla sua lunghezza, alle risonanze, alla morfologia della bocca e delle cavità nasali | Necessita di una partecipazione attiva dell’interessato, ma risulta facile una sua tracciabilità senza la volontà dello stesso. La sua stabilità nel tempo è soggetta ad un mutevole cambiamento naturale | L’analisi dei segnali vocali può essere effettuata anche tramite procedure di “sfida” con le quali l’interessato viene invitato a ripetere delle frasi, nomi o numeri, in modo tale da aumentarne la sicurezza, |
| Struttura venosa delle dita della mano | Acquisizione tramite sensori che rilevano la forma e la disposizione delle vene delle dita, del dorso o del palmo della mano, utilizzando una sorgente luminosa a lunghezza d’onda prossima all’infrarosso | Necessita di una partecipazione attiva dell’interessato, risulta difficile una sua tracciabilità a scopo di replica, ma non è certa una sua stabilità permanente nel tempo | L’accuratezza elevata della corrispondenza con il modello di riferimento va a discapito dell’ingombro necessario per lo strumento. |
| Struttura vascolare della retina | Acquisizione tramite l’utilizzo di un fascio di luce a infrarosso a bassa intensità che illumini la parte posteriore dell’occhio | Necessita di una partecipazione attiva dell’interessato, difficile la sua tracciabilità senza la volontà del soggetto, ed inoltre è caratterizzata da una stabilità elevata nel tempo | Viene utilizzato per sistemi di sicurezza particolarmente elevati. Inoltre, non è possibile utilizzare tessuti di persone decadute, poiché il sensore rileva la circolazione sanguigna |
| Forma dell’iride | Tecnica di lettura dell’iride che consente il rilevamento della forma della pupilla e della parte anteriore dell’occhio mediante immagini ad alta risoluzione | I sensori più comuni prevedono una partecipazione nell’atto di rilevamento, ma non è obbligatoria. La sua tracciabilità non è facile e la stabilità nel tempo è garantita | Elevata accuratezza e velocità di comparazione. Il tasso falsi positivi è basso anche se ne segnalano elevati di falsi negativi |
| Topogra a della mano | Rilevazione delle proprietà geometriche dell’arto (bidimensionali o tridimensionali), acquisite mediante un apposito dispositivo di ripresa che coglie determinate caratteristiche quali la forma, la larghezza e lunghezza delle dita, la posizione e la forma delle nocche o del palmo della mano | Necessita di una partecipazione attiva dell’interessato, ma può essere tracciata senza la volontà dell’interessato. Precaria la sua stabilità nel tempo | Non sono descrittive al punto da risultare uniche e adatte all’identificazione biometrica, ma nel contempo sono sufficientemente adatte per essere impiegate efficacemente ai fini della verifica biometrica |
| Caratteristiche del volto | L’analisi delle sembianze facciali è un procedimento complesso (algoritmo) che utilizza immagini video in luce visibile o “termiche” a infrarosso | La partecipazione attiva non è richiesta, è possibile una tracciabilità e il dato rimane stabile nel tempo | Confronti biometrici complicati (capigliatura, occhiali, posizione assunta, illuminazione) |
