Identità digitale? E' il selfie la nuova frontiera

BIOMETRIA

L'"autoscatto" via smartphone nuova modalità per il riconoscimento biometrico. Uber, MasterCard, l'agenzia delle entrate degli Stati della Georgia e Alabama già hanno app dedicate. Ma la tecnologia non è perfetta e agli hacker i dati biometrici fanno gola molto più delle password

di Patrizia Licata

I selfie sono uno dei massimi simboli della mania di condivisione (e del narcisismo) su Internet e mobile, ma forse potrebbero avere anche un'inattesa funzionalità, trasformandosi in strumento di identificazione digitale. Il Wall Street Journal sottolinea come sia aziende private che enti governativi (si va da Uber a MasterCard al Dipartimento delle Entrate di alcuni Stati Usa) hanno cominciato a proporre app che permettono agli utenti di provare la loro identità scattandosi una foto con lo smartphone.

Siccome la qualità delle foto fatte al cellulare è in generale molto buona e i software di riconoscimento facciale sono oggi meno costosi, il futuro dell'identificazione digitale potrebbe essere anche questo: selfie al posto delle password. Ovviamente, come sempre accade nel mondo digitale, ci sono da risolvere problemi di privacy e sicurezza, avvertono gli esperti di cybercrime.

Spiega Marc Goodman, consulente di global security e autore del libro “Future Crimes”: “Sostituire il selfie alla password per l'identificazione non annulla le questioni di sicurezza. Le persone tendono a pensare che se è tecnologico è automaticamente sicuro: non è così. Il riconoscimento facciale non è più sicuro della password, semplicemente non ha i problemi della gestione della password". Come a dire, può averne altri.

Il riconoscimento biometrico basato sul volto usa un processo di autenticazione che inizia con una app. La app chiede all'utente di farsi una foto, per esempio prima di pagare un acquisto su Internet o di presentare la dichiarazione dei redditi online; poi un programma software usa la foto per effettuare una serie di misurazioni sul volto e convertirle in un codice Id che viene confrontato con una foto di riferimento, precedentemente fornita dall'utente: se le due immagini combaciano, l'identità è provata.

Ma la tecnologia è lungi dall'essere perfetta. E' un software a fare le comparazioni e un'ombra, o una luce nell'immagine, o una ciocca di capelli che cade su parte del viso, lo possono ingannare: l'anno scorso Google si è dovuta scusare pubblicamente dopo che la sua app Photos ha identificato due persone di colore come "gorilla". "Stiamo sistemando l'algoritmo e risolvendo il problema", si è affrettata a chiarire Google.

C'è poi la questione hacker: i pirati informatici sono sempre più sofisticati e i dati biometrici valgono moltissimo, anche più delle password, visto che queste cambiano più o meno spesso, ma i dati biometrici fondamentalmente sono permanenti. Tra il 2014 e il 2015 degli hacker hanno rubato un totale di 5,6 milioni di impronte digitali di ex e attuali dipendenti federali americani dallo U.S. Office of Personnel Management. "Potranno farci ben poco", ha commentato l'ufficio, ma ha ammesso: "La capacità degli hacker di sfruttare a loro vantaggio dati biometrici rubati probabilmente sarà molto maggiore in futuro". 

Occorre proteggersi dunque, ma ciò non toglie che la tecnologia sia valida e numerose aziende già hanno programmi di autenticazione basati sui selfie: Uber li usa per verificare periodicamente l'identità dei suoi conducenti (grazie ai Cognitive Services basati su cloud di Microsoft), mentre MasterCard che ha da poco lanciato in Europa l'app Identity Check Mobile che invita i clienti a autenticarsi con dei selfie quando usano la carta di credito online. La banca britannica HSBC Holding ha avviato un programma simile: si può aprire un conto corrente da Internet usando il selfie, mentre le agenzie delle entrate di Alabama e Georgia stanno preparando un servizio, basato sulla app creata da MorphoTrust USA, per autenticare le richieste di rimborso sulle tasse mandate online. Ovviamente il selfie viene sempre comparato a un'immagine valida già in possesso delle aziende o delle autorità: nel caso degli uffici fiscali di Alabama e Georgia vengono usate le foto delle patenti (dal database del Department of Motor Vehicles).

Come assicurarsi che i dati biometrici siano protetti? MorphoTrust dice di tenere i dati sul volto nella app, non nei server, lo ritiene più sicuro. Al contrario, MasterCard conserva la foto originale del volto sui server e la cancella dopo averla trasformata in dati numerici e crittata; dall'anno prossimo saranno gli utenti a tenere tutto sul loro device mobile

Tom Grissen, numero uno dell'azienda Daon che è dietro i sistemi biometrici di Mastercard Identity Check Mobile, sostiene che sarebbe difficile per gli hacker usare i selfie per rubare dati personali perché con le tecnologie attuali non si può tradurre una rappresentazione matematica di un volto in una nuova immagine. Ma Jennifer Lynch, uno dei maggiori avvocati di Electronic Frontier Foundation, mette in guardia: gli hacker hanno già nel mirino i dati biometrici e troveranno il modo di farne uso. "Se li rubano, il rischio è enorme".

©RIPRODUZIONE RISERVATA 19 Ottobre 2016

TAG: selfie, Internet, mobile, identificazione, digitale, Uber, MasterCard, app, password, cybercrime, Marc Goodman, sicurezza, biometrico, Google, Photos, hacker, Office of Personnel Management, Cognitive Services, Microsoft, Identity Check Mobile, HSBC, MorphoTrust USA, Tom Grissen, Daon, Jennifer Lynch, Electronic Frontier Foundation

SCARICA L'APP PER IL TUO
SMARTPHONE O TABLET
App Store App Store