EO_492

23 - ELETTRONICA OGGI 492 - MARZO 2021 TECH INSIGHT BIOMETRICS bile dei dati biometrici, sottolinea il Garante, ri- conosciuta sia all’interno del framework legale dell’Unione Europea, sia nel quadro della Con- venzione 108+ del Consiglio d’Europa, li rende soggetti a speciali misure di protezione. In par- ticolare, l’elaborazione di dati biometrici è vie- tata in linea di principio, ammettendo soltanto un limitato numero di condizioni sotto le quali il trattamento è legale (vedi GDPR, articolo 9). In generale, nell’implementazione di un sistema di elaborazione di dati biometrici occorre sempre applicare i principi di necessità e proporziona- lità: ossia chiedersi se, in relazione al raggiun- gimento di un dato scopo, l’uso di tali dati sia davvero necessario, oppure se lo stesso obiet- tivo possa essere ottenuto tramite metodi meno intrusivi. Il concetto di proporzionalità si ispira poi ai principi di protezione dei dati già discipli- nati dal GDPR. Nei casi consentiti, l’elaborazione dei dati biometrici deve aderire strettamente al prin- cipio di limitazione delle finalità: i dati personali van- no raccolti per scopi specifici, espliciti e legittimati, e non possono essere ulteriormente elaborati in modo incompatibile con tali finalità. Ancora, quando si sta valutando quali tecnologie biometriche utilizzare, è ne- cessario applicare il concetto di “data minimization”, limitando i dati biometrici elaborati a quelli necessari per compiere uno specifico compito. Proteggere gli utenti dal furto d’identità Per tutelare la privacy e la sicurezza dei dati biome- trici è fondamentale che chi progetta sistemi e appli- cazioni di tal genere implementi anche meccanismi di protezione adeguati. Lo storage di dati biometrici in un dispositivo personale, come uno smartphone, è in genere considerato più sicuro della memorizzazio- ne degli stessi dati nel cloud tramite l’uso di qualche servizio online: ma il punto chiave è la specificità dei dati biometrici rispetto, ad esempio, alle password: una password rubata può permettere a un hacker di ac- cedere ai dati dell’utente, ma quest’ultimo, una volta che si accorge del furto, può cambiarla, ristabilendo la sicurezza dell’account. Nel caso dei dati biometrici, invece, il danno causato dal furto d’identità è perma- nente, in quanto, una volta perdute, sottratte o compro- messe, le informazioni sui tratti caratteristici dell’indi- viduo non possono essere modificate e, dunque, non sono più riutilizzabili. Negli anni sono stati sviluppati standard internazionali come ISO/IEC 24745:2011, che forniscono una guida per la protezione delle informa- zioni biometriche, e sono stati compiuti progressi nei meccanismi e tecnologie di protezione dei templa- te biometrici o BTP (biometric template protection). Tuttavia, nonostante tali avanzamenti, il Garante, nel keynote dell’ottobre scorso, si è detto ancora “dubbio- so” sulla misura in cui progettisti e sviluppatori di si- stemi biometrici attualmente seguano tali indicazioni, ricordando che nel 2019 i ricercatori della sicurezza hanno scoperto un database (Biostar 2, un sistema sviluppato dalla società di security Suprema) con 28 milioni di record non protetti e perlopiù non cifrati. Tra tali dati erano inclusi impronte digitali, dati sul ricono- scimento facciale, foto dei volti degli utenti, username e password non cifrati. Numerose tecnologie di protezione Rendere più sicuro il trattamento dei dati biometrici è possibile applicando diverse tecniche. Oltre alle tecno- logie di cifratura dei dati biometrici (crittografia biome- trica), nelle varie applicazioni sono utilizzabili metodi di protezione come la steganografia digitale. Quest’ultima, a differenza della crittografia che, tramite tecniche di ci- fratura, rende il file illeggibile a chi non è autorizzato ad accedervi e non ha la chiave di lettura, consiste nel nascondere un’informazione all’interno di un’altra: ad esempio, tramite la steganografia è possibile occultare un template biometrico all’interno di un’immagine “ospi- te” (host image) ordinaria. Un altro possibile metodo di protezione dei dati biometrici è il digital watermarking, che aggiunge un ulteriore livello di sicurezza integran- do nel dato biometrico un watermark, ossia una sorta di filigrana digitale. Ancora, la protezione dei dati bio- metrici può avvalersi di tecniche di autenticazione bio- metrica multimodale: questi metodi, anziché utilizzare una sola informazione biometrica, adottano molteplici fonti di dati, come ad esempio riconoscimento del viso, impronte digitali, vene delle dita, del palmo o del dorso della mano. In tal modo, è possibile migliorare la preci- sione di autenticazione dell’utente e rendere molto più ardui i tentativi di spoofing indirizzati alla falsificazione dei dati biometrici e dell’identità. Le tecniche di autenticazione biometrica multimodale aiutano a preservare la sicurezza dei dati biometrici (Fonte: Pixabay)