Come trattano le autorità i nostri dati biometrici? Non sempre in modo responsabile e ogni errore commesso può avere conseguenze sulla nostra vita futura. Secondo GData ogni negligenza nel trattamento di questi dati sensibili avrà conseguenze future anche gravi. In Italia, ormai da anni, le impronte digitali e la firma elettronica dei cittadini vengono integrate nei passaporti per motivi di sicurezza – tuttavia le agenzie governative trattano con negligenza le caratteristiche biometriche personali dei cittadini. Pur disponendo di informazioni sulle tecnologie più sicure per scansire un’impronta, per anni sono stati impiegati lettori non sicuri, con la conseguenza che oggi il commercio di dati biometrici è uno dei più fiorenti sul Darknet.
Il fatto che da sempre il trasferimento delle scansioni delle impronte digitali al PC utilizzato per la produzione dei passaporti non sia cifrato non suscita però preoccupazione alcuna. In effetti, ci sono argomenti a favore dell’attuale status quo: in primis, chiunque voglia trafugare i dati prodotti da uno scanner di impronte di proprietà delle autorità deve trovarsi nelle immediate vicinanze del dispositivo, che di norma giace sulla scrivania o in prossimità dello sportello del rispettivo funzionario.
Naturalmente, si possono ipotizzare scenari in cui, senza farsi notare, si posiziona nelle vicinanze un altro dispositivo che catturi dati utilizzabili. Uno scenario di questo tipo però non scala: se il criminale è interessato a mettere in commercio grandi quantità di dati, il singolo scanner non è un obiettivo sufficientemente interessante, quindi si reputa che non sia necessaria ulteriore protezione.
Il vero problema risiede altrove
La situazione risulta molto diversa se si considerano le banche dati in cui sono archiviati i dati biometrici. Queste necessiterebbero della massima tutela, anche qualora non fossero direttamente accessibili tramite Internet. Se un ipotetico aggressore penetrasse nella rete interna delle questure procurandosi accesso ai database corrispondenti, il danno sarebbe immenso. L’India, uno dei Paesi più popolosi al mondo, utilizza procedure biometriche per lo svolgimento di numerosi compiti amministrativi. I dati sono spesso insufficientemente protetti. Persone non autorizzate hanno avuto temporaneamente accesso a oltre un miliardo di file relativi a cittadini indiani.
A livello internazionale il tema “biometria e sicurezza” sta riscuotendo una certa attenzione grazie a diversi reportage, ma l’argomento è destinato, come tanti altri, ad essere travolto da notizie più recenti, nonostante i problemi permangano e siano di portata ben superiore di qualsivoglia “vulnerabilità della settimana” riscontrata in Flash, Java, Office o altri programmi popolari. Una negligenza nel processo di salvaguardia dei dati potrebbe però causare danni alle persone coinvolte con ripercussioni sulla loro vita per i successivi 20 o 30 anni.
La biometria è sicura?
Puntare tutto su una sola carta, in futuro forse quella biometrica, sarebbe tanto errato quanto utilizzare una sola password per qualsiasi tipo di servizio. Per un computer non c’è una differenza significativa tra un’impronta digitale e una password, ergo un’impronta digitale è tanto sicura (o insicura) quanto una password, ma molto più limitante: a differenza di una chiave crittografica, un’impronta digitale non può essere “revocata” o modificata a piacimento. Il numero di modifiche possibili è limitato al numero di dita esistenti.
Inoltre, a differenza di una password, è difficile tenere davvero segreta un’impronta digitale: tutti le lasciano su tutto ciò che toccano. In alcuni esperimenti è stato persino possibile fotografare delle impronte digitali da diversi metri di distanza con una lente speciale e riprodurle con successo. Lo stesso problema riguarda il riconoscimento vocale. Fatto salvo che ci si voti al silenzio da subito, sarebbe ben difficile tenere nascosta la propria voce. E l’iride? Alcune fotocamere di alta qualità consentono di realizzarne scatti compatibili con le rilevazioni biometriche: chi si sognerebbe mai di lasciare l’appartamento o attraversare la strada con gli occhi chiusi o di indossare perennemente gli occhiali da sole?
Solo la combinazione di diversi fattori assicura una vera sicurezza. Che si tratti di password + impronta digitale o password + impronta digitale + token hardware con password monouso (OTP) o di altre variazioni.
