BIOMETRIA: REALTÀ E ILLUSIONI

Dopo l’11 settembre, le imprese che producono sistemi di identificazione biometrica non si stancano di ripetere che la biometria rappresenta la bacchetta magica contro il terrorismo: i sistemi basati sul riconoscimento del volto sarebbero in grado di individuare terroristi in mezzo ad una folla, le impronte digitali permetterebbero di evitare che soggetti operanti in clandestinità assumano identità diverse. In Germania la maggioranza di governo ha deciso, nel quadro delle misure di sicurezza straordinarie proposte dopo gli eventi di New York, di creare i presupposti di legge per l’inserimento di dati biometrici nella carta di identità; l’ultima parola in merito spetta però al Parlamento federale.

Il fatto è, tuttavia, che le tecniche biometriche non sono a prova di hacker. E’ vero che esse consentono di identificare una persona sulla base di specifiche caratteristiche fisiche, e che molte di tali caratteristiche non cambiano nel corso della vita. Inoltre, mentre è possibile falsificare la carta di identità o smarrire una password, il corpo e le sue caratteristiche sono qualcosa che è sempre con noi. Le tecniche biometriche funzionano sostanzialmente tutte secondo il principio per cui le informazioni (impronta digitale, caratteristiche del volto, iride) sono trasformate in un "modello" matematico che serve per il confronto con una stringa di dati precedentemente memorizzata. Dunque, non sarebbe possibile ricostruire il volto di una persona sulla base dei soli dati biometrici registrati.

Come sottolineato da Simson Garfinkel nel libro Database Nation, "purtroppo c’è un difetto fondamentale: queste metodiche non identificano persone, bensì corpi". Falsificare le informazioni biometriche è molto difficile, ma in linea di principio è possibile. Del resto è già avvenuto che, attraverso impronte digitali modellate in silicone, si sia tentato di ingannare un sistema di riconoscimento. Tuttavia, anziché falsificare la caratteristica biometrica in quanto tale — cosa molto difficile e costosa -, gli hacker potrebbero rubare i dati biometrici volta per volta comunicati. L’Ufficio federale per la sicurezza delle tecnologie informatiche ha condotto una ricerca, nella primavera del 2000, che intendeva verificare la violabilità di alcuni sistemi biometrici disponibili in commercio. I risultati dimostrano che molti di questi sistemi sono vulnerabili a vari attacchi; molto efficaci sono, in particolare, i cosiddetti attacchi-replay: l’hacker, introducendosi nel sistema informatico, ruba una copia dell’immagine digitalizzata e se ne serve per "proiettarla" in un’altra occasione — ad esempio, per accedere ad un’area riservata. Lo stesso dicasi per gli attacchi consistenti nella manipolazione del valore di soglia proprio di ciascun sistema. Il valore di soglia è quello che definisce il grado di scostamento tollerato fra i dati registrati e il modello matematico elaborato sulla base della rilevazione effettuata dall’apparecchio — che non è mai perfettamente identico, in quanto numerosissime variabili (temperatura, pressione) possono influire sulla rilevazione stessa. Un hacker può dunque tentare di manipolare questa soglia di tolleranza, aumentandola in modo da facilitare l’accettazione da parte del sistema dei dati biometrici registrati.

Anche un’altra ricerca, condotta da un gruppo di studiosi dell’IBM, ha evidenziato la debolezza di questi sistemi. I ricercatori hanno individuato otto possibili modalità per attaccare un sistema biometrico, fra i quali particolarmente sofisticata quella che prevede l’inserimento nel sistema informatico di un "cavallo di Troia" — ossia, una sorta di virus che provvede a fornire dati erronei al programma incaricato di estrarre i parametri biometrici dall’immagine scansionata. E’ anche possibile modificare il risultato finale della procedura biometrica; in sostanza, anche se l’inserimento e l’analisi dei dati sono effettuati in modo corretto, il risultato generato dal sistema è sbagliato. La conclusione cui sono giunti gli esperti USA è che "anche i sistemi biometrici sono vulnerabili se l’aggressione è condotta da hacker veramente determinati".

Uno dei motivi di tale vulnerabilità è rappresentato dal fatto che le implementazioni pratiche delle tecniche biometriche sono sinora scarse, né esistono a tutt’oggi criteri unificati a livello mondiale per la valutazione della sicurezza dei sistemi biometrici. Inoltre, uno dei requisiti fondamentali per garantire la sicurezza dei dati biometrici è la possibilità di criptarli. Ad esempio, una ditta di Amburgo ha prodotto per il sultanato del Brunei una carta intelligente multiscopo che servirà non solo come documento di identità, ma anche ai fini della previdenza sociale e per l’identificazione dell’utente in molti altri contesti. La carta reca memorizzate la foto della persona e due modelli di impronte digitali, protetti da un algoritmo di cifratura "forte". Basta che un bit sia modificato e tutti i dati divengono inutilizzabili. Va detto, inoltre, che in alcuni sistemi è previsto, quale ulteriore garanzia di sicurezza, che anche i dispositivi utilizzati per la rilevazione delle informazioni biometriche si identifichino rispetto al sistema informatico attraverso un codice numerico — per dimostrare che i dati provengono dal dispositivo "giusto". E’ anche possibile l’utilizzo di filigrane digitali per garantirsi contro la falsificazione di stringhe di dati.

Tuttavia, il punto di forza delle tecniche biometriche, ossia l’immutabilità delle caratteristiche biometriche nel corso della vita di una persona, si rivela al tempo stesso una grave debolezza in caso di attacchi messi in opera da un hacker. Se si perde la password o il certificato digitale, è possibile chiederne di nuovi. Ma che succede se, ad esempio, vengono rubati i dati biometrici corrispondenti al nostro pollice destro? A quel punto la possibilità di utilizzare questa caratteristica biometrica risulta compromessa per sempre. Uno dei problemi fondamentali rispetto ai sistemi biometrici consiste proprio nell’impossibilità di richiamare le informazioni per evitare che se ne faccia un’utilizzazione impropria.

E’ chiaro che passare ad un altro elemento biometrico non ancora compromesso rappresenta una soluzione transitoria: il numero delle dita è limitato. Per citare l’espressione utilizzata da un esperto di sicurezza negli USA, "I pollici sono solo due. Se qualcuno ruba i tuoi dati biometrici, questi saranno persi per sempre. Niente potrà ricostituirli". Se poi qualcuno rubasse le caratteristiche biometriche del nostro volto, sarebbe ancora peggio: non ne abbiamo un altro di rimpiazzo.

(Ndr: da un articolo di Thomas Vacek su Die Zeit del 13 novembre 2001)