Biometria e pagamenti digitali: pay…attention
di Paola Redaelli e Simone Napoli
La biometria, il riconoscimento biometrico e l’autenticazione biometrica sono concetti con cui ciascuno di noi ha iniziato già da tempo a prendere maggiore familiarità, visto l’impiego massivo di tale tecnologia in molteplici ambiti: dall’accesso al proprio smartphone, all’autorizzazione di un pagamento on line, per citare alcuni esempi. Come messo in luce da un recente studio pubblicato da Duo Security, l’azienda di Cisco che si occupa di servizi di autenticazione multi-factor e di accesso sicuro [1], sempre più spesso l’utilizzo delle classiche password ha ceduto il passo ai sistemi fondati sulla biometria, soprattutto nel contesto dei sistemi di autenticazione.
Complici della sopracitata tendenza sono stati sicuramente, da un lato, la crescente inadeguatezza delle password tradizionali che si sono dimostrate in molti casi vulnerabili e, dall’altro lato, la capacità dei sistemi biometrici di garantire una maggiore sicurezza degli ambienti informatici e una migliore user experience per gli utenti.
Il presente contributo si propone, muovendo i passi dalla definizione di dato biometrico, di analizzare il predetto fenomeno fornendo alcuni spunti in termini di opportunità e rischi che l’utilizzo della biometria porta con sé in una società sempre più passwordless.
Dati biometrici: definizione
L’analisi del fenomeno in parola deve necessariamente muovere i propri passi dal concetto di “dati biometrici” come definito nel Regolamento Europeo n. 679/2016 (nel seguito anche “GDPR”) a norma del quale si intendono i “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”[2].
Come sottolineato dall’European Data Protection Board[3] affinché il trattamento di dati biometrici sia considerato un trattamento di particolari categorie di dati (ex dati sensibili) – con la conseguente applicazione della speciale tutela prevista dall’art. 9 GDPR – è necessario che tali dati siano volti a identificare in modo univoco una persona fisica.
Ne consegue che, per esempio, la semplice raccolta delle immagini di un individuo tramite un sistema di videosorveglianza non determina ex se un trattamento di dati biometrici. Solo nella misura in cui dette immagini siano sottoposte a un trattamento tecnico specifico per contribuire all’identificazione di tale individuo si potrà parlare di trattamento di dato biometrico ai sensi dell’art. 9 GDPR[4].
Nell’alveo dei trattamenti relativi a dati biometrici vi rientrano i sensori fingerprint che riconoscono le impronte digitali di un individuo, il procedimento di lettura dell’iride oppure la speaker recognition.
Il riconoscimento biometrico
Come anticipato, è in crescente espansione l’utilizzo di strumenti di riconoscimento biometrico, ossia di sistemi finalizzati all’identificazione e riconoscimento di individui attraverso l’analisi di caratteristiche biologiche o comportamentali dell’individuo stesso.
A questo riguardo, occorre considerare che il riconoscimento biometrico può fondarsi sia su una verifica biometrica che su una identificazione biometrica[5].
Nel primo caso, si tratta di un processo che fondato sul confronto tra il modello biometrico rilevato del soggetto che dichiara la sua identità (fase assertiva) e quello memorizzato a sistema che corrisponde all’identità dichiarata (il confronto avviene quindi one-to-one).
Ne consegue che l’esito positivo del raffronto comporterà che l’identità del dichiarante si riterrà identificata comportando quindi la conseguente abilitazione alla successiva azione tecnica (e.g. abilitazione a un sistema informatico).
Nel secondo caso (i.e. identificazione biometrica), si tratta di un processo fondato sul confronto tra il modello rilevato con tutti i modelli disponibili per individuare l’identità del soggetto.
Pagamenti online: Direttiva PSD2
Un ambito di applicazione molto frequente del trattamento del dato biometrico, e non solo per finalità di autenticazione, è quello dei pagamenti online, con app di home banking e siti di e-commerce che propongono sempre più spesso l’uso del fingerprinting o del face ID anche per l’esecuzione delle transazioni economiche.
Il tema, come noto, è stato oggetto di un’ampia regolamentazione nel 2015, con la Direttiva 2015/2366, la c.d. PSD2 (Payment Service Directive 2), coeva al GDPR e per la quale ora è altrettanto tempo di bilanci, dopo il primo quinquennio di operatività: non solo sotto l’aspetto operativo ma anche rispetto agli impatti privacy che le sue norme abbiano (o meno) avuto.
Tra le principali novità introdotte dalla Direttiva PSD2, figura la c.d. “autenticazione forte”, ovvero l’autenticazione, in fase di accesso o atto dispositivo, basata su due o più elementi classificati nelle categorie della conoscenza (qualcosa che solo l’interessato conosce), del possesso (che solo esso ha) e dell’inerenza (qualcosa legato al modo stesso di essere dell’utente): in quest’ultima sfera, rientra il dato biometrico, costituendo un dato particolare della persona, che, se trattato da un dispositivo tecnico specifico, permette l’identificazione univoca dell’interessato o la sua autenticazione (“Considerando 51”).
La Strong Customer Authentication (SCA) è richiesta tanto a esercenti e merchant online, quanto per i prestatori di servizi di pagamento, eccetto per le operazioni che movimentano meno di 30€ (se più d’una, la soglia limite è di 100€ ogni 24 ore, o di 5 operazioni consecutive), per le operazioni “a basso rischio”, ovvero con un rischio di frode che sia inferiore a quello relativo alle frodi via carta di credito, per i pagamenti rolling ad importo fisso (es. pagamenti di bollette/abbonamenti per servizi di trasporto) e per i pagamenti in favore di venditori “affidabili” perché iscritti ad elenchi/albi pubblici o verificati (qui la SCA è adottato per il primo pagamento e non per i successivi).
La Strong Customer Authentication, come detto, piuttosto che a token o a PIN, è spesso ancorata al TouchID o al riconoscimento facciale, il che, se da una parte permette di snellire l’iter delle operazioni, permettendo di prescindere da codici trasmessi su supporti fisici, dall’altro aumenta i rischi per diritti e libertà fondamentali, considerata la delicatezza del dato, specie se le misure di sicurezza applicate si rivelano vulnerabili a bug tecnici o prestano il fianco ad attacchi esterni.
Rischi connessi all’utilizzo della tecnologia biometrica
Per comprendere appieno la natura dei rischi, può essere utile chiarire quale sia il funzionamento dei sistemi di faceID e fingerprinting, senza la pretesa di esaminare tecnicismi che esulano dalla nostra analisi.
Il nostro smartphone, all’atto di prepararsi ad operare come mezzo di riconoscimento, si avvale di una fotocamera che, nei sistemi iOS, è chiamata True Depth Cam, e che sfrutta l’azione combinata di una cam a infrarossi, di un illuminatore flood (una “torcia” a bassa intensità luminosa) e di un proiettore di punti (30.000 punti che descrivono la figura ripresa), tutti coinvolti nella realizzazione di una mappa facciale 3D.
Dopo che, per la prima volta, il device ha mappato il nostro viso, registrando l’output a sistema, se, in sede di autenticazione, la maggior parte delle caratteristiche del volto corrispondono alla mappa registrata, l’accesso viene consentito o l’operazione confermata.
Ma dove viene conservato il benchmark della nostra immagine? Dove è archiviata la mappa che fa da parametro, da modello, per il riconoscimento? *[6]
Nei dispositivi iOS, come chiarisce la stessa Apple, i dati sensibili siano archiviati sulla c.d Secure Enclave, ovvero “un sottosistema integrato sul SoC (il circuito che, all’interno di un chip, veicola un sistema), isolato dal processore principale per fornire un ulteriore livello di sicurezza e […] progettato per mantenere protetti i dati sensibili dell’utente, anche se il kernel del processore per le applicazioni (ovvero quartier generale del dispositivo) venisse compromesso”. Interessante come, “sebbene Secure Enclave non sia dotato di uno spazio di archiviazione, abbia comunque un meccanismo che gli consenta di archiviare informazioni in modo sicuro su uno spazio collegato, separato dalla memoria […] utilizzata dal processore per le applicazioni e dal sistema operativo”[7].
La presenza di un ambiente segregato, che funga (anche) da repository per i dati sensibili, impone l’adozione di misure di sicurezza estremamente prestanti: avere accesso a quell’ambiente significherebbe entrare nella “stanza dei bottoni”, non solo di dispositivo ed app, ma, per l’effetto, anche dei nostri conti correnti e “carrelli” ecommerce. Un breach di tale natura potrebbe apparire remoto, ma così non è: già dal 2017 (curiosamente l’anno di recepimento in Italia della PSD2) e nuovamente nel 2020, si sono accesi i riflettori su alcune vulnerabilità.
In particolare, il 24 luglio 2020, in occasione della MOSEC Mobile Security Conference di Shanghai, il ricercatore di sicurezza Xu Hao del Team Pangu (un noto gruppo hacker), ha dichiarato di avere scoperto una vulnerabilità sul Secure Enclave, potenzialmente in grado di mettere a rischio la riservatezza dei dati di migliaia di utenti[8]. La vulnerabilità riguarderebbe una parte hardware di taluni devices: se da un lato la natura “fisica” della criticità tranquillizza, potendosi isolare i dispositivi interessati e bonificare la situazione per quelli di nuova produzione, dall’altro allarma, esponendo i dispositivi ancora in circolazione a consistenti rischi, non sanabili con un semplice aggiornamento di sicurezza.
Le vulnerabilità degli ambienti di storaggio si ripercuotono evidentemente sulla sicurezza delle nostre transazioni bancarie e commerciali. E’ vero che il rischio che un dato di autenticazione cada in cattive mani riguarda già anche password e pin riportato su un token; ma una password potrà sempre essere cambiata e un pin scadrà dopo pochi secondi (permettendo eventualmente all’offender solo poche operazioni); diversamente, se ad essere breachato fosse un dato biometrico, ogni remediation sarebbe vana, e ogni operazione all’offensore sarebbe permessa.
Conclusioni
Considerati i rischi di sicurezza a cui anche le Big del tech sono esposte, quindi, benché il trattamento di dati biometrici rappresenti pacificamente una grande opportunità per agevolare ogni genere di operazione che svolgiamo nel corso della nostra vita digitale, sono decisivi gli standard di sicurezza che presidiano le soluzioni tecniche in uso per i trattamenti: non è un caso che i legislatori (nazionale ed europeo) e l’Autorità di controllo e supervisione ripetano come un mantra, in ogni capo e sezione degli atti normativi adottati ed in provvedimenti e linee guida, che il livello di protezione assicurato dalle misure di sicurezza debba essere oggetto di un assessment continuo (oltre a quello iniziale) e che le semplici rassicurazioni di vendor e operatori del mercato non possano bastare.
[1] https://duo.com/resources/ebooks/the-2021-duo-trusted-access-report
[2] Art. 4, par. 1, n. 14 Regolamento Europeo n. 679/2016
[3] Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, v. 2.0 adottate il 29 gennaio 2020, pag. 19
[4] Si veda, in particolare, considerando 51 GDPR.
[5] Si veda LINEE-GUIDA IN MATERIA DI RICONOSCIMENTO BIOMETRICO E FIRMA GRAFOMETRICA Allegato A al Provvedimento del Garante del 12 novembre 2014
[6] https://www.kaspersky.it/blog/apple-face-id-security/14241/
[7] https://support.apple.com/it-ch/guide/security/sec59b0b31ff/web
[8] https://www.hwupgrade.it/news/apple/vulnerabilita-hardware-per-secure-enclave-di-apple-ma-impossibile-sfruttarla-da-remoto_91199.html
Autori: