L’autenticazione biometrica si basa sull’utilizzo di caratteristiche uniche di ogni individuo come le impronte digitali, il volto, l’iride e la voce per verificare l’identità. Il sistema sta diventando sempre più diffuso ma solleva dubbi sulla sicurezza e sulla privacy, con il 97% degli utenti che dichiara di essere preoccupato.
Analisi
Il processo di autenticazione basato sulle caratteristiche biometriche è ritenuto estremamente più sicuro di codici Pin o di password, inoltre offre una migliore ‘user experience’. È sufficiente posizionare il viso davanti alla fotocamera o poggiare il dito sul lettore delle impronte e il sistema autentica l’utente in pochi istanti.
In letteratura, tuttavia, sono noti attacchi informatici sofisticati condotti con successo contro sistemi di autenticazione biometrica o di vulnerabilità presenti in componenti software e hardware che implementano i processi.
Per comprenderne limiti e potenzialità è necessario esplorare nei dettagli le diverse tipologie di attacco, le tecniche adottate dagli aggressori e le contromisure oggi disponibili. Innanzitutto, uno dei metodi più noti per bypassare il processo di autenticazione è lo ‘spoofing fisico’ ossia la presentazione di una forma contraffatta del corpo dell’utente. Utilizzando maschere in silicone, impronte digitali realizzate con idrogel o stampe stereoscopiche, alcuni gruppi di ricerca hanno dimostrato che come sia possibile ingannare i dispositivi di riconoscimento biometrico. L’industria ha risposto sviluppando sensori sempre più sofisticati e difficili da ingannare.
Negli ultimi anni, la diffusione dei deepfake ha introdotto una nuova frontiera degli attacchi a sistemi biometrici. I cybercriminali possono creare video o audio sintetici che riproducono fedelmente volti o voci delle potenziali vittime ed usarli per impersonarli. Questi contenuti possono essere inseriti direttamente in sistemi biometrici tramite streaming o ‘injection attack’, bypassando i controlli di ‘liveness’, ossia la verifica dell’identità.
Un ulteriore problema riguarda il furto o l’esfiltrazione dei cosiddetti template biometrici ovvero la rappresentazione digitale della caratteristica fisica ed unica dell’utente. Questi template, se violati, possono essere riutilizzati proprio per ingannare gli stessi sistemi di riconoscimento biometrico. Per gli utenti questo scenario è ben più grave della compromissione di una password in quanto una caratteristica biometrica non può essere cambiata come una password ed accompagna l’individuo per tutta la sua vita. Ne sono esempi calzanti le violazioni di database governativi o aziendali contenenti impronte digitali o immagini dell’iride degli utenti: una volta violati, questi dati restano vulnerabili per sempre. Non esiste infatti una tecnologia che permetta di “revocare” un’impronta digitale o un volto compromesso.
Oltre agli attacchi tecnici, esistono anche errori sistemici determinati da bias, errori demografici. Alcuni algoritmi biometrici mostrano infatti tassi di errore significativamente più elevati per minoranze etniche, donne o persone anziane. È stato dimostrato che la probabilità di falsi positivi (accettare un utente non autorizzato) o falsi negativi (rifiutare un utente legittimo) varia in modo rilevante in base a caratteristiche quali etnia, età, genere e condizioni ambientali. Questo comporta che in alcune situazioni il sistema fallisca nel riconoscere individui, creando frustrazione, sfiducia nella tecnologia, o consentendo accessi non autorizzati.
Nei sistemi biometrici più avanzati, l’implementazione di meccanismi di ‘liveness detection’ consente di verificare che la biometria presentata provenga da un essere umano vivo e reale, e non da una copia o da un tentativo di inganno.La liveness detection può essere attiva e passiva. Nel primo caso all’utente viene richiesto di compiere una determinata azione come ad esempio muovere la testa, sbattere le palpebre o sorridere. Questo approccio rende più difficile ingannare il sistema con una semplice immagine o un video preregistrato. La liveness detection passiva, invece, non richiede alcuna interazione da parte dell’utente. Il sistema analizza automaticamente l’immagine o il video, basandosi su caratteristiche come la texture della pelle, la profondità del volto, i riflessi negli occhi e i micro-movimenti naturali. Questo metodo implica l’utilizzo di tecnologie più avanzate e sofisticate.
Per rendere l’autenticazione biometrica resiliente agli attacchi di spoofing è possibile combinare più tecnologie (biometria multimodale) ad esempio impronte digitali più riconoscimento facciale o vocale, in modo concorrente. Ciò rende molto più difficile per un attaccante possedere tutte le caratteristiche necessarie per autenticarsi.L’evoluzione dei processi di autenticazione biometrica è rappresentata dall’autenticazione comportamentale continua, ovvero anche dopo l’iniziale autenticazione biometrica dell’utente il sistema monitora in tempo reale gli stili di digitazione, i movimenti del mouse, l’utilizzo delle app. Se il comportamento dell’utente diverge significativamente dal proprio profilo abituale, il sistema può richiedere un controllo aggiuntivo o bloccare l’attività.
Un ulteriore vettore di attacco ad un sistema biometrico potrebbe essere rappresentato dalla presenza di una ‘backdoor’ nei template utilizzati: un attaccante potrebbe deliberatamente alterare i dati durante la registrazione in modo da rendere il sistema vulnerabile a un attaccante. Anche tale strategia risulta fattibile con conoscenze adeguate del set di dati e dell’algoritmo. Per contrastarla servono controlli di qualità e validazione dei template e dei processi critici.
Possiamo dire che l’autenticazione biometrica è un passo avanti nel contrasto al furto di identità e ai tentativi di hacking meno sofisticati. Ma non può essere considerata una panacea. La sua efficacia dipende da quanto il sistema sia protetto a più livelli: tecnologie multimodali, rilevazione di vivacità attiva e passiva, autenticazione comportamentale continua, protezione hardware, governance normativa, formazione dell’utente e trasparenza. Solo adottando un approccio integrato e dinamico, la biometria può costituire una difesa efficace, senza compromettere la privacy.
Fonti
Pierluigi Paganini, Ceo di Cyberhorus, professore di Cybersecurity presso l’Università Luiss Guido Carli e coordinatore scientifico Sole 24 Ore formazione
National Cyber Security Center UK
Fonte: ANSA
Our platform covers everything from global events and politics to entertainment, technology, and lifestyle, ensuring you never miss a story.
Copyright © 2025 The Paramount Post. All Rights Reserved.
