Le tecniche biometriche sono capitali nella gestione dell’accesso a servizi e applicazioni digitali.

Un tema ampio, se si considera che i dati biometrici utili all’autenticazione e all’identificazione sono di pubblico dominio: le nostre voci e i nostri volti sono per lo più pubblicamente accessibili nella nostra vita quotidiana.

Sono a disposizione delle persone a noi prossime e sono potenzialmente reperibili da chi non ci conosce personalmente ma sa scandagliare i social network.

L’impalcatura che sorregge l’attendibilità dei dati biometrici non deve essere minata dall’ipotesi che questi siano sicuri a prescindere e, non di meno, pone questioni di sicurezza, di privacy ma anche di natura etica.

Il potere trasformativo dei dati biometrici

I dati biometrici fanno riferimento ai tratti fisici o comportamentali unici di un individuo, come impronte digitali, caratteristiche facciali, schemi dell’iride, voce e financo alle dinamiche di digitazione.

Il ricorso alla biometrica ha trasformato radicalmente il panorama della cybersecurity offrendo un’alternativa ai tradizionali metodi di autenticazione, si pensi in particolare alle password e ai Pin.

Mentre i sistemi tradizionali sono vulnerabili a violazioni dovute a credenziali rubate o indovinate, i dati biometrici sono intrinsecamente legati all’individuo e sono estremamente difficili da replicare o contraffare.

L’adozione di questa tecnologia sta guadagnando slancio in vari settori, dallo sblocco degli smartphone alla sicurezza aeroportuale, fino alle transazioni finanziarie e alle cartelle cliniche.

Tuttavia, l’uso di questi dati sensibili solleva questioni critiche riguardanti la privacy, la sicurezza e l’etica che devono essere affrontate con rigore tecnico.

Le conseguenze del furto di dati biometrici

Le conseguenze del furto di dati biometrici rappresentano la preoccupazione più rilevante nel settore, poiché la compromissione di tali informazioni è irrevocabile.

A differenza di una password o di un PIN, i tratti biometrici non possono essere cambiati se vengono rubati. Se un tratto biometrico come il volto o l’iride viene compromesso, per esempio attraverso una foto sui social media, tutte le applicazioni che utilizzano quel tratto per la sicurezza subiscono una riduzione del loro livello di protezione.

Questo fenomeno può portare ad attacchi di cross-matching, in cui un utente viene tracciato o identificato in database diversi senza il suo consenso.

Il termine “cross-matching” non è tra i più gettonati nella narrazione della cybersecurity. Tuttavia, è attuale e merita un breve approfondimento.

La definizione generale di “attacco cross-matching” parla di una tecnica mediante la quale chi ha accesso a template biometrici da diverse origini, è in condizione di cercare corrispondenze tra i template per ricondurre diversi profili biometrici alla stessa identità, oltre a essere potenzialmente in grado di estrarvi informazioni personali sensibili.

In parole spicce, quando i sistemi biometrici memorizzano i dati usando chiavi e modalità diverse (per esempio, dislocandoli in più database), un attaccante può collegare i template per capire se i dati fanno capo alla stessa persona, violando così tanto la sicurezza quanto la privacy (fino a vanificare l’anonimato).

Inoltre, la raccolta di dati biometrici può consentire la profilazione degli individui a vari livelli, inclusa la profilazione fisica, emotiva, comportamentale e persino cognitiva.

Tali dati possono rivelare stati emotivi, condizioni di salute o informazioni demografiche sensibili, aprendo la strada a potenziali usi impropri o discriminazioni.

Gli attacchi attivi ai sistemi biometrici, come i deepfake o la creazione di biometrie sintetiche, minacciano l’integrità dei processi di riconoscimento, richiedendo algoritmi di rilevamento della vitalità (liveness detection) sempre più sofisticati e presi in esame dal Department of Biometrics dell’Università del Texas.

Tutto ciò richiama con decisione un limite intrinseco: i template biometrici non cambiano, se vengono compromessi la biometria resta la medesima. Al contrario, una password può essere modificata in qualsiasi momento.

I casi reali

Un caso che ha fatto discutere risale al 2019, quando è risultata esposta pubblicamente la piattaforma BioStar 2, usata per sbloccare porte tramite impronte digitali e riconoscimento del volto.

Non si è trattato di un attacco ma di un episodio di pessima gestione dei dati, letteralmente esposti sul web senza protezione. 27 milioni di record, tra i quali oltre un milione di impronte digitali e di dati di riconoscimento facciale alla mercé di chiunque.

Benché non esistano prove di un abuso dei dati da parte di malintenzionati, questo episodio ha reso possibile la clonazione di impronte e il fiorire di deepfake.

Tutto ciò ha comunque rappresentato un rischio per le imprese e le infrastrutture che usavano il sistema BioStar 2 per proteggere i rispettivi edifici.

Nel 2024 ha fatto un certo scalpore il leak di dati biometrici in El Salvador. I dati sottratti sono stati pubblicati su diversi forum del dark web: i record di 5,1 milioni di cittadini salvadoregni (l’80% della popolazione totale, di poco superiore ai 6,5 milioni di individui) tra i quali le fotografie associate alle identità reali e ai numeri di documenti di identità.

È evidente che le fotografie (con alti standard di definizione) sono difficilmente revocabili e neppure possono essere modificate come si farebbe con una password.

Il caso più emblematico ci porta in India e risale al mese di aprile del 2025 e, pure non rappresentando una fuga di dati propriamente detta, mostra una intrinseca debolezza non tanto nei dati biometrici in quanto tali ma nel modo in cui vengono gestiti e conservati, una croce che debilita l’efficacia delle tecniche biometriche.

I fatti sono presto detti: dei cyber criminali hanno compromesso il sistema di identificazione biometrico indiano Aadhaar, manipolando le informazioni associate a oltre 1.500 persone.

I criminali hanno inserito dati biometrici falsi collegandoli a identità reali per ottenere autenticazioni utili ad accedere a servizi governativi e ai benefici finanziari di cui godevano i cittadini vittima.

Da qui sono conseguite diverse frodi a danno della Cosa pubblica e dei cittadini più vulnerabili che hanno perso i benefici sociali a loro destinati.

Le indagini hanno portato alla luce un raggiro ramificato sponsorizzato da ingerenze interne: le manipolazioni dei dati sono state rese possibili dalla complicità di funzionari statali ma questo non sposta il peso della necessità di politiche di cybersecurity dagli standard elevati.

Come proteggere i dati biometrici

Per la tutela efficace dei dati biometrici sono state sviluppate tecniche di Biometric Template Protection (BTP) che mirano a generare modelli protetti, i quali non rivelano informazioni sull’identità originale dell’utente.

Lo standard internazionale ISO/IEC 24745:2022 definisce i requisiti fondamentali per questi schemi, tra cui l’impossibilità di collegamento (unlinkability), la revocabilità e la non invertibilità.

La non invertibilità garantisce che sia computazionalmente difficile recuperare i dati biometrici originali dal modello protetto.

La revocabilità consente di annullare e rinnovare una versione del modello protetto se viene compromessa, in modo simile al cambio di una password.

L’unlinkability assicura che versioni diverse di modelli protetti ottenuti dalla stessa biometria non possano essere collegate tra loro, prevenendo il tracciamento incrociato tra diverse applicazioni o sistemi.

Le tecniche BTP si dividono principalmente in due categorie, ossia in sistemi crittografati biometrici e la biometria cancellabile.

I primi fanno leva su codici di correzione degli errori e su primitive crittografiche per la gestione della variabilità intra-utente tipica dei dati biometrici.

Tale variabilità può essere spiegata così: un sistema biometrico non riceve mai dati identici. Le persone non producono sempre lo stesso segno biometrico: le impronte cambiano leggermente, così come possono cambiare in modi più o meno marcati i visi e le voci, magari in seguito a nottate insonni o a causa di stati influenzali o raffreddori.

Questa variabilità naturale è, di fatto, parte del rumore dei dati biometrici grezzi che impediscono un confronto basato sulla piena corrispondenza tipico delle password, dove la parola d’accesso digitata dall’utente corrisponde o non corrisponde a quella registrata nel sistema.

Una frontiera avanzata è rappresentata dalla crittografia omomorfica, che permette di eseguire operazioni algebriche e processi decisionali direttamente sui dati crittografati senza mai decifrarli, preservando la privacy durante l’intero ciclo di autenticazione.

La biometria cancellabile, invece, applica trasformazioni intenzionali e ripetibili ai dati biometrici nel dominio del segnale o delle caratteristiche.

Queste trasformazioni sono guidate da parametri casuali che possono essere cambiati per generare nuovi modelli se necessario.

Le tecniche includono trasformazioni geometriche, permutazioni casuali e proiezioni casuali (Random Projections). Il BioHashing – ripreso in questo paper redatto da ricercatori messicani – è un metodo popolare che combina i dati biometrici con numeri casuali specifici dell’utente per creare codici binari compatti chiamati BioCode.

Nel medesimo paper vengono descritte modalità con cui, grazie al supporto del machine learning e del deep learning, sono stati sviluppati schemi di protezione capaci di gestire la variabilità naturale del corpo umano senza degradare il tasso di riconoscimento.

I prodotti commerciali esistenti

Esistono diversi casi reali e prodotti commerciali che implementano queste tecnologie per garantire la sicurezza degli utenti.

Hitachi Group ha sviluppato VeinID Five, una tecnologia di autenticazione basata sulle vene delle dita che utilizza filtri di correlazione casuali per rendere i modelli revocabili.

GenKey offre il software BioHASH, che genera codici stabili e sicuri per tratti come impronte digitali, iride e volto, in conformità con gli standard ISO.

Private Identity LLC ha brevettato soluzioni basate sulla crittografia omomorfica completa per l’autenticazione facciale e vocale.

Nel settore mobile, sebbene tecnologie come Touch ID e Face ID di Apple proteggano i dati utilizzando algoritmi AES, non sono ancora mature per garantire il processo decisionale negli ambiti di domini protetti, evidenziando come l’implementazione pratica di sistemi biometrici completamente cancellabili rimanga una sfida aperta per il mercato di massa.

Questi middleware sono destinati a migliorare nel tempo e ad abbracciare una porzione di mercato sempre più consistente.

Aspettando la loro futura diffusione, è possibile applicare la regola TCC per proteggere i dati biometrici, ovvero: Template – Crittografia – Centralizzazione.

I template matematici sono rappresentazioni numeriche che appositi algoritmi estraggono dalle immagini (per esempio, quelle dei volti, delle impronte digitali o le scansioni dell’iride).

Questi template non riconducono alla ricostruzione di un volto (di un’impronta o di un’iride) e servono soltanto a validare l’autenticazione effettuata mediante i dati biometrici che rappresentano.

Archiviando soltanto i template matematici (e non le immagini) i dati eventualmente esfiltrati durante una violazione sono per lo più inutili e non mettono a rischi né gli utenti né le organizzazioni che ne fanno uso.

Inoltre, si tratta di materiale che può essere revocato e rigenerato, al contrario delle immagini che – se esfiltrate – consegnano ai criminali la biometria reale delle persone.

Il capitolo della crittografia, invece, è molto meno peculiare e riguarda qualsiasi tipo di dato: cifrare i dati in transito e a riposo non è la cura di tutti i mali ma non farlo ne favorisce di diverso tipo.

La centralizzazione riguarda la necessità di archiviare i dati in più database, possibilmente residenti su server diversi. Ciò rende più complicata la vita ai cyber criminali.

Conclusioni

In conclusione, la protezione dei dati biometrici richiede un approccio multidimensionale che integri misure hardware, software e quadri legali come il GDPR.

Il futuro della sicurezza biometrica risiede nello sviluppo di sistemi adattivi che riducano la variabilità intra-utente e massimizzino la distinzione tra individui, garantendo al contempo che i dati sensibili rimangano privati e sotto il controllo dell’utente.

La trasparenza sull’uso dei dati, il consenso informato e la collaborazione tra industria e legislatori sono essenziali per promuovere la fiducia del pubblico in queste tecnologie.

Solo attraverso l’applicazione rigorosa di standard tecnici e l’innovazione continua nelle tecniche di protezione sarà possibile sfruttare appieno i vantaggi della biometria minimizzando i rischi per i diritti fondamentali degli individui.