L’idea di un’autenticazione basata sull’aspetto fisico di una persona o il comportamento era molto diffusa nei racconti di fantascienza. I pagamenti approvati con l’impronta digitale sono apparsi in Ritorno al Futuro II nel 1989. L’ammiraglio Kirk ha avuto accesso ai file ad alta sicurezza tramite la scansione della retina in Star Trek II nel 1982.
Oggi, l’identificazione biometrica, dal riconoscimento facciale alla scansione dell’andatura, non è più fantascienza ed è entrata nella vita quotidiana, grazie ai rapidi miglioramenti della tecnologia e anche a causa della crescente frustrazione derivante dal sistema delle password.
“La biometria possession-based previene attacchi remoti”, spiega Andrew Shikiar, direttore esecutivo della FIDO Alliance, raggruppamento di imprese e organizzazioni governative con sede negli Stati Uniti istituito per ridurre la dipendenza dalle password. Shikiar si riferisce all’autenticazione in base a cosa qualcuno “ha”, come il viso o la voce, piuttosto che su qualcosa che uno conosce, come la password. L’idea è che l’hackeraggio delle password possa essere mitigato se le app e i servizi hanno anche un livello di accesso biometrico.
Se si aggiunge la penetrazione degli smartphone, che ha effettivamente messo uno scanner vocale connesso a Internet nelle mani della maggior parte della popolazione mondiale, è facile capire perché la biometria si sta diffondendo rapidamente.
I dati di Statista suggeriscono che il mercato biometrico globale crescerà da 36,6 miliardi di dollari nel 2020 a 68,6 miliardi di dollari entro il 2025. Mentre Goode Intelligence prevede che una carta di pagamento su cinque sarà equipaggiata con tecnologia biometrica entro il 2026.
Il settore finanziario è stato uno dei primi ad adottare la biometria, integrando il riconoscimento delle impronte digitali nelle soluzioni di pagamento e nelle app delle banche online. Il settore dei viaggi e dell’industria turistica sta adottando la biometria per consentire l’accesso alle camere d’albergo, mentre le scuole stanno esplorando l’uso del riconoscimento facciale per il pagamento dei pranzi.
Anche il COVID-19, e il conseguente aumento del lavoro da remoto, è stato un catalizzatore della crescita. Andrea Carmignani, amministratore delegato di Keyless, start-up di biometria con sede nel Regno Unito, afferma che sempre più i clienti aziendali si sono rivolti all’azienda per rafforzare la sicurezza sui dispositivi dei lavoratori da remoto: “Siamo vedendo un interesse sempre maggiore nell’implementazione delle nostre soluzioni nella forza lavoro”, spiega.
Di conseguenza, il numero di controlli di verifica dell’identità digitale effettuati a livello globale è destinato a triplicarsi: rispetto a 1,1 miliardi nel 2021 si arriverà a 3,8 miliardi nel 2026, secondo Goode Intelligence, per un totale di 17,2 miliardi di dollari di ricavi per fornitori e provider di servizi di verifica dell’identità.
I rischi si sono moltiplicati
Il problema con la diffusione veloce dei dati biometrici è però la capacità di imporre controlli di qualità per proteggere questi dati.
Una preoccupazione è la concentrazione del rischio negli smartphone, che presentano standard tecnologici diversi. “I livelli di sicurezza che ci sono dietro la telecamera, o nei sensori di impronte digitali, che abbiamo su alcuni telefoni, non sono affatto elevati, ma noi abbiamo inserito lì tutte le nostre carte di credito”, dice Peter Heuman, ceo di NEXT Biometrics, che produce sensori di impronte digitali autonomi.
I dati biometrici possono sbloccare l’accesso a transazioni o processi senza ulteriori controlli. Eppure, i dati biometrici più comuni non sono sicuri al cento per cento. Ad esempio, due gemelli possono avere voci corrispondenti, le impronte digitali possono essere clonate con il mastice e il riconoscimento dell’iride e della retina può essere falsificato utilizzando immagini ad alta risoluzione.
Ci sono poi anche altre sfide. Gli scanner delle impronte digitali possono consentire la diffusione di agenti patogeni come il virus Covid-19 e i sistemi di riconoscimento facciale non possono funzionare in modo ottimale laddove gli utenti indossano maschere.
Inoltre, una volta compromesse, le violazioni biometriche sono più difficili da recuperare. “Se rubo la tua password, puoi reimpostare la password, ma non puoi reimpostare la tua biometria”, nota Carmignani.
Ci sono anche preoccupazioni etiche. I dati di riconoscimento facciale, ad esempio, possono essere raccolti senza il consenso dell’utente, suscitando preoccupazioni sulla privacy.
Facebook ha recentemente annunciato che cancellerà i suoi dati raccolti con i servizi di riconoscimento facciale in risposta a questi problemi, ma altri ne stanno estendendo l’uso. Il governo indiano, ad esempio, ha accelerato il suo processo di diffusione di telecamere per il riconoscimento facciale nei principali centri in cui si muovono i pendolari.
E poi ci sono semplici problemi di usabilità. Il riconoscimento vocale non funziona bene in ambienti rumorosi, i sensori di impronte digitali si guastano sotto la pioggia o funzionano meno bene per coloro che svolgono lavori manuali.
Tutto ciò può sembrare poco più che frustrante se riguarda l’accesso a una sola app, ma in Paesi come l’India o l’Estonia, dove la verifica biometrica governa sempre più l’accesso ai servizi statali fondamentali, queste disfunzioni possono avere conseguenze disastrose se le cose vanno male. In India, ad esempio, si sono verificate delle morti dopo che alcuni cittadini hanno perso l’accesso al cibo sovvenzionato dallo Stato a causa del malfunzionamento dei lettori di impronte digitali nelle città più remote.
Le migliori pratiche istituzionali
In questo contesto, stanno cominciando a emergere però pratiche virtuose per garantire che gli standard di sicurezza siano validi. Una soluzione è l’accesso stratificato, per cui la semplice verifica biometrica non è l’unico modo per accedere a un servizio, ma fa invece parte dell’autenticazione a più fattori.
Si stanno sviluppando anche nuove tecnologie che, invece di basarsi su controlli delle impronte digitali o del volto “statici” una tantum, processano l’osservazione dinamica dell’essere umano per confermare l’identità di un utente su base continuativa. È anche possibile, ad esempio, osservare la digitazione su uno smartphone per contrassegnarne cambiamenti improvvisi che potrebbero indicare che un telefono è stato dirottato da remoto.
La società Keyless di Carmignani, inoltre, non memorizza i dati biometrici, ma li crittografa e distribuisce su diversi server, limitando così il rischio di compromissione dei dati in caso di hacking. Altre aziende stanno lavorando per espandere la biometria oltre la verifica onboarding, aggiungendo la possibilità di recupero dell’account in modo che gli utenti non vengano bloccati senza possibilità di accesso in caso di malfunzionamento.
La maggior parte di questo lavoro viene svolto all’interno delle aziende o a livello industriale da associazioni come la FIDO Alliance. E questo ha portato alle richieste, all’interno della comunità imprenditoriale, di linee guida statali per la regolamentazione della biometria.
Questa tecnologia offre un passo avanti rispetto alle password in termini di sicurezza. Ma un accordo su come utilizzare questi dati può trasformare questo potenziale in realtà effettiva, senza troppi rischi.
