Cosa sono i valori biometrici?

• Glossario IAM
• Cosa sono i valori biometrici?

Con "dati biometrici" ci si riferisce al riconoscimento automatico di un individuo in base alle sue caratteristiche fisiche o comportamentali. Può trattarsi di impronte digitali, tratti del viso, modelli vocali, scansioni dell'iride o della retina o persino dell'andatura o dello stile di battitura di una persona.

I sistemi biometrici vengono utilizzati per l'identificazione e l'autenticazione, generalmente come parte di una configurazione con autenticazione multifattoriale (AMF). Funzionano confrontando i dati biometrici di una persona con un modello o un database memorizzato per determinare se la persona è quella che dichiara di essere.

Le tecnologie biometriche sono diventate sempre più diffuse negli ultimi anni grazie alla loro comodità e alle loro maggiori caratteristiche di sicurezza. Molte persone utilizzano il proprio volto, l'impronta digitale o alcuni gesti per sbloccare i propri dispositivi mobili. I dati biometrici vengono spesso utilizzati anche per garantire l'accesso a strutture o dispositivi sicuri. Tuttavia, gli esperti di sicurezza hanno espresso preoccupazione per la privacy e la sicurezza dei dati biometrici.

Definizione di dati biometrici

L'idea di utilizzare i dati biometrici per l'identificazione e l'autenticazione non è nuova. Infatti, può essere fatta risalire alle antiche civiltà, che utilizzavano tatuaggi e altri segni sul corpo per identificare le persone. Nel 1910 le impronte digitali furono state utilizzate per identificare un sospetto in un caso di omicidio nell'Illinois. Tuttavia, l'uso moderno dei dati biometrici come sistema tecnologico è iniziato negli anni '60, con lo sviluppo di sistemi automatizzati di riconoscimento delle impronte digitali.

La motivazione principale alla base della creazione dei dati biometrici è stata quella di migliorare la sicurezza dei sistemi e dei processi utilizzati per verificare l'identità di una persona. I metodi di identificazione tradizionali, come le password o le carte d'identità, possono essere rubati, smarriti o facilmente dimenticati, rendendoli vulnerabili alle frodi e al furto d'identità. I dati biometrici, invece, sono unici per ogni individuo e difficilmente replicabili, il che li rende un metodo più sicuro e affidabile per verificare l'identità di una persona.

Oltre alla sicurezza, i sistemi biometrici offrono anche comodità ed efficienza, eliminando la necessità di token fisici o password. L'autenticazione con dati biometrici è più rapida e snella ed è quindi ideale per le aree ad alto traffico, come gli aeroporti o le strutture di sicurezza, dove velocità e precisione sono fondamentali.

Oggi la tecnologia biometrica ha compiuto notevoli passi avanti e nuovi metodi biometrici vengono sviluppati e perfezionati in continuazione. Tuttavia, come per ogni nuova tecnologia, vi sono anche preoccupazioni relative alla privacy e alla sicurezza, in particolare per il crescente utilizzo dei dati biometrici nelle applicazioni commerciali e per la sorveglianza governativa.

La differenza tra password e dati biometrici

La differenza principale tra dati biometrici e password sta nel modo in cui vengono utilizzati per verificare l'identità di una persona.

Le password sono una combinazione segreta di caratteri o parole che un utente crea e ricorda e che poi fornisce come prova della propria identità. Spesso vengono utilizzate insieme a un nome utente o ad altri identificatori per ottenere l'accesso a un particolare sistema, dispositivo o account. Tuttavia, le password possono essere dimenticate, smarrite o rubate. In effetti, la stragrande maggioranza delle violazioni dei dati e degli attacchi ransomware è dovuta a password violate.

Tuttavia, i dati biometrici non sono impossibili da rubare, motivo per cui, in pratica, l'autenticazione con dati biometrici raramente è utilizzata come metodo di autenticazione unico. Viene invece utilizzata insieme ad altri metodi di autenticazione, in particolare password e PIN, nell'ambito di una configurazione AMF. Ad esempio, uno smartphone potrebbe richiedere all'utente di inserire una password o un PIN prima di consentire l'utilizzo dei propri dati biometrici (come l'impronta digitale) per sbloccare il dispositivo.

I dati biometrici possono essere violati?

Purtroppo la risposta è sì. Sebbene l'autenticazione con dati biometrici sia generalmente considerata più sicura di quella tradizionale basata su password, non è immune da violazioni. I sistemi biometrici sono vulnerabili a diversi tipi di attacchi, tra cui i seguenti:

Spoofing o attacchi di presentazione: ciò comporta la creazione da parte di un malintenzionato di un campione biometrico falso (come un'immagine del volto o un'impronta digitale) sufficientemente simile a un campione reale da indurre il sistema ad accettarlo come autentico. I cosiddetti "deepfake", sempre più accurati, rappresentano una minaccia molto seria per l'autenticazione con dati biometrici.

Attacchi di replica: ciò comporta che un malintenzionato catturi e riproduca un campione biometrico precedentemente acquisito, ad esempio intercettando la trasmissione di un'immagine biometrica o di un suono, rilevando l'impronta digitale di una persona o fotografandone il volto ad alta risoluzione.

Violazioni dei dati: i dati biometrici sono memorizzati in database e i database possono essere violati.

Attacchi fisici: un malintenzionato potrebbe costringere fisicamente un utente a fornire il proprio campione biometrico, ad esempio puntandogli una fotocamera sul viso oppure obbligandolo a toccare uno scanner di impronte digitali.

Per ridurre tali rischi, i sistemi biometrici devono essere progettati con molteplici misure di sicurezza, come ad esempio la crittografia e l'hashing dei dati biometrici e la cosiddetta "liveness detection" (tecnica di riconoscimento dell'autenticità delle caratteristiche biometriche) per garantire che il campione provenga da un essere umano vivo e non da una fotografia. Inoltre, i dati biometrici non devono essere utilizzati come metodo di autenticazione unico.