venerdì 30 novembre 2018

Riconoscimento biometrico: cosa è e perchè è un utile strumento in funzione del GDPR


Attualmente, col termine "biometria" si indica una vasta tipologia di tecnologie pensate per verificare l'identità di un soggetto analizzando e misurando le caratteristiche fisiche/comportamentali dell'utente. Per fare qualche esempio, sono tecnologie di riconoscimento biometrico quelle che riconoscono un soggetto a partire dai tratti somatici del volto, oppure dalle impronte digitali (fingerprint) o dall'iride o della retina ecc...

In concreto, il riconoscimento biometrico si basa su due componenti:
  1.  la componente hardware, che acquisisce il dato biometrico (sensori e scanner...)
  2.  la componente software che consente, tramite l'impiego di algoritmi matematici, di analizzare i dati raccolti e confrontarli con quelli acquisiti in precedenza: si riconduce così il dato raccolto ad una specifica persona e la si riconosce proprio da tali informazioni. 
Per fare qualche esempio...
1. Riconoscimento facciale:
consente di identificare una persona sulla base delle specifiche caratteristiche del volto. In particolare vengono presi in considerazione elementi come naso, bocca, occhi, orecchie, mento, fronte, struttura ossea ma anche la relazione che intercorre tra loro (la distanza tra gli occhi ad esempio). I dati vengono rilevati con un sensore che cattura un certo numero di immagini sia 2D che 3d del volto del soggetto, che vengono quindi memorizzate in formato digitale: sarà un algoritmo poi a registrare le caratteristiche rilevanti al fine di impostare i parametri di confronto per la verifica dell'identità.

2. Riconoscimento tramite scansione dell'iride:
in questo caso si utilizzano sensori che illuminano l'iride del soggetto con un laser a bassa intensità, una luce infrarossa effettua quindi la scansione dell'occhio e ne rileva le particolarità della struttura. Queste vengono poi rappresentate matematicamente da un algoritmo. La verifica dell'identità avviene tramite paragone delle caratteristiche rilevate con le immagini di iridi conservate in template. 

3. Riconoscimento tramite scansione della retina:
la retina è la membrana che riveste l'interno del bulbo oculare. Sulla retina di ogni individuo vi sono "pattern" caratteristici formati dai vasi sanguigni che circondano il sottile nervo che, posizionato nel retro del bulbo oculare, "processa" la luce che filtra attraverso la pupilla. In questo metodo di riconoscimento biometrico vengono confrontati proprio i sistemi dei vasi sanguigni, il cui pattern è diverso da persona a persona. 

4. Riconoscimento vocale:
E' un tipo di riconoscimento particolare, essendo sia biometrico che comportamentale. Il sistema infatti registra tono, frequenza, intensità e articolazione nasale più una lunga altra serie di coefficienti e spettri. Sopratutto i dati elencati in ultimo sono molto importanti: lo scopo è infatti quello di poter riconoscere la voce umana da una voce artificialmente riprodotta. 

5. Riconoscimento tramite impronta digitale:
elencato per ultimo, ma, in realtà il sistema di riconoscimento biometrico più diffuso. L'utilizzo dell'impronta digitale infatti presenta due vantaggi: l'immutabilità e l'individualità. Col termine immutabilità ci si riferisce al fatto che le impronte digitali non cambiano nel tempo. Con individualità si indica invece il fatto che le caratteristiche dell'impronta digitale sono uniche, cioè nessun individuo può avere le impronte digitali identiche a quelle di un altro soggetto. I dati biometrici riguardanti le impronte digitali sono memorizzate mediante un apposito scanner e convertiti poi in forma digitale mediante algoritmi specifici. Il sistema di rilevazione biometrico quindi confronterà le caratteristiche rilevante con quelle memorizzate, individuando così l'impronta e l'identità del soggetto. 

Il riconoscimento biometrico soppianterà le password?
Sono molti gli esperti che indicano questa nuova tendenza: indubbiamente il riconoscimento biometrico presenta una maggiore sicurezza rispetto ad una password (che è intercettabile, indovinabile, sicuramente non unica...), ma comporta anche il grande vantaggio di non dover memorizzare né salvare una lunga serie di caratteri, simboli e numeri e magari più password in contemporanea (dato che ormai la gran parte di noi dispone di più account contemporaneamente). Non è un caso, ad esempio, che sempre più utenti preferiscano il sistema di sblocco con impronta digitale per i propri smartphone e iPhone all'uso di pin o tracciati. E forse questo trend è da legarsi anche all'emergenza violazione dati, con violazioni di informazioni personali, passsword, numeri di previdenza sociale ecc...

GDPR e riconoscimento biometrico...
in questo articolo non tratteremo i criteri e gli obblighi che il GDPR prevede per la raccolta, il trattamento e la gestione dei dati biometrici dei soggetti, rimandando il punto ad un testo specifico. Brevemente però accenniamo ai perché tali tecnologie implementano la sicurezza informatica dei dati e vengono così incontro ai nuovi obblighi legali conseguenti al Regolamento Europeo di protezione dei dati. 

Il GDPR pone severi criteri e norme a tutela della privacy, quindi anche alla sicurezza dei dati sensibili. Prevede rigidi protocolli da seguire in caso di data breach, ma anche severe multe per le aziende che non tutelano la privacy dei clienti/utenti. Immaginate quindi di smarrire una chiavetta con dati sensibili non criptati e con accesso libero: una perdita di dati che esporrebbe i soggetti riguardati ad una gravissima violazione della privacy e il Responsabile del Trattamento a severissime sanzioni. 

Pensate, al contrario, di smarrire, ad esempio, una chiavetta USB con Fingerprint, accessibile solo ad un numero limitato di impronte digitali: anche nel caso in cui finisse in mani pericolose, un eventuale malintenzionato non avrebbe possibilità di sbloccare la chiavetta e quindi di accedere ai dati. In questo caso l'uso di tecnologie di rilevamento biometrico garantisce un miglioramento della sicurezza informatica, venendo quindi incontro a ben due diversi articoli del Regolamento in questione:
  • l'art 22, che chiarisce che che il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato conformemente al Regolamento (principio di accountability).
  • l'art.32, del quale citiamo un passaggio:
    "Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
    a) la pseudonimizzazione e la cifratura dei dati personali;
    b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
    c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
    d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento."

Nessun commento:

Posta un commento