Le tecniche biometriche sono capitali nella gestione dell’accesso a servizi e applicazioni digitali.
Un tema ampio, se si considera che i dati biometrici utili all’autenticazione e all’identificazione sono di pubblico dominio: le nostre voci e i nostri volti sono per lo più pubblicamente accessibili nella nostra vita quotidiana.
Sono a disposizione delle persone a noi prossime e sono potenzialmente reperibili da chi non ci conosce personalmente ma sa scandagliare i social network.
L’impalcatura che sorregge l’attendibilità dei dati biometrici non deve essere minata dall’ipotesi che questi siano sicuri a prescindere e, non di meno, pone questioni di sicurezza, di privacy ma anche di natura etica.
Indice degli argomenti
Il potere trasformativo dei dati biometrici
I dati biometrici fanno riferimento ai tratti fisici o comportamentali unici di un individuo, come impronte digitali, caratteristiche facciali, schemi dell’iride, voce e financo alle dinamiche di digitazione.
Il ricorso alla biometrica ha trasformato radicalmente il panorama della cybersecurity offrendo un’alternativa ai tradizionali metodi di autenticazione, si pensi in particolare alle password e ai Pin.
Mentre i sistemi tradizionali sono vulnerabili a violazioni dovute a credenziali rubate o indovinate, i dati biometrici sono intrinsecamente legati all’individuo e sono estremamente difficili da replicare o contraffare.
L’adozione di questa tecnologia sta guadagnando slancio in vari settori, dallo sblocco degli smartphone alla sicurezza aeroportuale, fino alle transazioni finanziarie e alle cartelle cliniche.
Tuttavia, l’uso di questi dati sensibili solleva questioni critiche riguardanti la privacy, la sicurezza e l’etica che devono essere affrontate con rigore tecnico.
Le conseguenze del furto di dati biometrici
Le conseguenze del furto di dati biometrici rappresentano la preoccupazione più rilevante nel settore, poiché la compromissione di tali informazioni è irrevocabile.
A differenza di una password o di un PIN, i tratti biometrici non possono essere cambiati se vengono rubati. Se un tratto biometrico come il volto o l’iride viene compromesso, per esempio attraverso una foto sui social media, tutte le applicazioni che utilizzano quel tratto per la sicurezza subiscono una riduzione del loro livello di protezione.
Questo fenomeno può portare ad attacchi di cross-matching, in cui un utente viene tracciato o identificato in database diversi senza il suo consenso.
Il termine “cross-matching” non è tra i più gettonati nella narrazione della cybersecurity. Tuttavia, è attuale e merita un breve approfondimento.
La definizione generale di “attacco cross-matching” parla di una tecnica mediante la quale chi ha accesso a template biometrici da diverse origini, è in condizione di cercare corrispondenze tra i template per ricondurre diversi profili biometrici alla stessa identità, oltre a essere potenzialmente in grado di estrarvi informazioni personali sensibili.
In parole spicce, quando i sistemi biometrici memorizzano i dati usando chiavi e modalità diverse (per esempio, dislocandoli in più database), un attaccante può collegare i template per capire se i dati fanno capo alla stessa persona, violando così tanto la sicurezza quanto la privacy (fino a vanificare l’anonimato).
Inoltre, la raccolta di dati biometrici può consentire la profilazione degli individui a vari livelli, inclusa la profilazione fisica, emotiva, comportamentale e persino cognitiva.
Tali dati possono rivelare stati emotivi, condizioni di salute o informazioni demografiche sensibili, aprendo la strada a potenziali usi impropri o discriminazioni.
Gli attacchi attivi ai sistemi biometrici, come i deepfake o la creazione di biometrie sintetiche, minacciano l’integrità dei processi di riconoscimento, richiedendo algoritmi di rilevamento della vitalità (liveness detection) sempre più sofisticati e presi in esame dal Department of Biometrics dell’Università del Texas.
Tutto ciò richiama con decisione un limite intrinseco: i template biometrici non cambiano, se vengono compromessi la biometria resta la medesima. Al contrario, una password può essere modificata in qualsiasi momento.
I casi reali
Un caso che ha fatto discutere risale al 2019, quando è risultata esposta pubblicamente la piattaforma BioStar 2, usata per sbloccare porte tramite impronte digitali e riconoscimento del volto.
Non si è trattato di un attacco ma di un episodio di pessima gestione dei dati, letteralmente esposti sul web senza protezione. 27 milioni di record, tra i quali oltre un milione di impronte digitali e di dati di riconoscimento facciale alla mercé di chiunque.
Benché non esistano prove di un abuso dei dati da parte di malintenzionati, questo episodio ha reso possibile la clonazione di impronte e il fiorire di deepfake.
Tutto ciò ha comunque rappresentato un rischio per le imprese e le infrastrutture che usavano il sistema BioStar 2 per proteggere i rispettivi edifici.
Nel 2024 ha fatto un certo scalpore il leak di dati biometrici in El Salvador. I dati sottratti sono stati pubblicati su diversi forum del dark web: i record di 5,1 milioni di cittadini salvadoregni (l’80% della popolazione totale, di poco superiore ai 6,5 milioni di individui) tra i quali le fotografie associate alle identità reali e ai numeri di documenti di identità.
È evidente che le fotografie (con alti standard di definizione) sono difficilmente revocabili e neppure possono essere modificate come si farebbe con una password.
Il caso più emblematico ci porta in India e risale al mese di aprile del 2025 e, pure non rappresentando una fuga di dati propriamente detta, mostra una intrinseca debolezza non tanto nei dati biometrici in quanto tali ma nel modo in cui vengono gestiti e conservati, una croce che debilita l’efficacia delle tecniche biometriche.
I fatti sono presto detti: dei cyber criminali hanno compromesso il sistema di identificazione biometrico indiano Aadhaar, manipolando le informazioni associate a oltre 1.500 persone.
I criminali hanno inserito dati biometrici falsi collegandoli a identità reali per ottenere autenticazioni utili ad accedere a servizi governativi e ai benefici finanziari di cui godevano i cittadini vittima.
Da qui sono conseguite diverse frodi a danno della Cosa pubblica e dei cittadini più vulnerabili che hanno perso i benefici sociali a loro destinati.
Le indagini hanno portato alla luce un raggiro ramificato sponsorizzato da ingerenze interne: le manipolazioni dei dati sono state rese possibili dalla complicità di funzionari statali ma questo non sposta il peso della necessità di politiche di cybersecurity dagli standard elevati.
Come proteggere i dati biometrici
Per la tutela efficace dei dati biometrici sono state sviluppate tecniche di Biometric Template Protection (BTP) che mirano a generare modelli protetti, i quali non rivelano informazioni sull’identità originale dell’utente.
Lo standard internazionale ISO/IEC 24745:2022 definisce i requisiti fondamentali per questi schemi, tra cui l’impossibilità di collegamento (unlinkability), la revocabilità e la non invertibilità.
La non invertibilità garantisce che sia computazionalmente difficile recuperare i dati biometrici originali dal modello protetto.
La revocabilità consente di annullare e rinnovare una versione del modello protetto se viene compromessa, in modo simile al cambio di una password.
L’unlinkability assicura che versioni diverse di modelli protetti ottenuti dalla stessa biometria non possano essere collegate tra loro, prevenendo il tracciamento incrociato tra diverse applicazioni o sistemi.
Le tecniche BTP si dividono principalmente in due categorie, ossia in sistemi crittografati biometrici e la biometria cancellabile.
I primi fanno leva su codici di correzione degli errori e su primitive crittografiche per la gestione della variabilità intra-utente tipica dei dati biometrici.
Tale variabilità può essere spiegata così: un sistema biometrico non riceve mai dati identici. Le persone non producono sempre lo stesso segno biometrico: le impronte cambiano leggermente, così come possono cambiare in modi più o meno marcati i visi e le voci, magari in seguito a nottate insonni o a causa di stati influenzali o raffreddori.
Questa variabilità naturale è, di fatto, parte del rumore dei dati biometrici grezzi che impediscono un confronto basato sulla piena corrispondenza tipico delle password, dove la parola d’accesso digitata dall’utente corrisponde o non corrisponde a quella registrata nel sistema.
Una frontiera avanzata è rappresentata dalla crittografia omomorfica, che permette di eseguire operazioni algebriche e processi decisionali direttamente sui dati crittografati senza mai decifrarli, preservando la privacy durante l’intero ciclo di autenticazione.
La biometria cancellabile, invece, applica trasformazioni intenzionali e ripetibili ai dati biometrici nel dominio del segnale o delle caratteristiche.
Queste trasformazioni sono guidate da parametri casuali che possono essere cambiati per generare nuovi modelli se necessario.
Le tecniche includono trasformazioni geometriche, permutazioni casuali e proiezioni casuali (Random Projections). Il BioHashing – ripreso in questo paper redatto da ricercatori messicani – è un metodo popolare che combina i dati biometrici con numeri casuali specifici dell’utente per creare codici binari compatti chiamati BioCode.
Nel medesimo paper vengono descritte modalità con cui, grazie al supporto del machine learning e del deep learning, sono stati sviluppati schemi di protezione capaci di gestire la variabilità naturale del corpo umano senza degradare il tasso di riconoscimento.
I prodotti commerciali esistenti
Esistono diversi casi reali e prodotti commerciali che implementano queste tecnologie per garantire la sicurezza degli utenti.
Hitachi Group ha sviluppato VeinID Five, una tecnologia di autenticazione basata sulle vene delle dita che utilizza filtri di correlazione casuali per rendere i modelli revocabili.
GenKey offre il software BioHASH, che genera codici stabili e sicuri per tratti come impronte digitali, iride e volto, in conformità con gli standard ISO.
Private Identity LLC ha brevettato soluzioni basate sulla crittografia omomorfica completa per l’autenticazione facciale e vocale.
Nel settore mobile, sebbene tecnologie come Touch ID e Face ID di Apple proteggano i dati utilizzando algoritmi AES, non sono ancora mature per garantire il processo decisionale negli ambiti di domini protetti, evidenziando come l’implementazione pratica di sistemi biometrici completamente cancellabili rimanga una sfida aperta per il mercato di massa.
Questi middleware sono destinati a migliorare nel tempo e ad abbracciare una porzione di mercato sempre più consistente.
Aspettando la loro futura diffusione, è possibile applicare la regola TCC per proteggere i dati biometrici, ovvero: Template – Crittografia – Centralizzazione.
I template matematici sono rappresentazioni numeriche che appositi algoritmi estraggono dalle immagini (per esempio, quelle dei volti, delle impronte digitali o le scansioni dell’iride).
Questi template non riconducono alla ricostruzione di un volto (di un’impronta o di un’iride) e servono soltanto a validare l’autenticazione effettuata mediante i dati biometrici che rappresentano.
Archiviando soltanto i template matematici (e non le immagini) i dati eventualmente esfiltrati durante una violazione sono per lo più inutili e non mettono a rischi né gli utenti né le organizzazioni che ne fanno uso.
Inoltre, si tratta di materiale che può essere revocato e rigenerato, al contrario delle immagini che – se esfiltrate – consegnano ai criminali la biometria reale delle persone.
Il capitolo della crittografia, invece, è molto meno peculiare e riguarda qualsiasi tipo di dato: cifrare i dati in transito e a riposo non è la cura di tutti i mali ma non farlo ne favorisce di diverso tipo.
La centralizzazione riguarda la necessità di archiviare i dati in più database, possibilmente residenti su server diversi. Ciò rende più complicata la vita ai cyber criminali.
Conclusioni
In conclusione, la protezione dei dati biometrici richiede un approccio multidimensionale che integri misure hardware, software e quadri legali come il GDPR.
Il futuro della sicurezza biometrica risiede nello sviluppo di sistemi adattivi che riducano la variabilità intra-utente e massimizzino la distinzione tra individui, garantendo al contempo che i dati sensibili rimangano privati e sotto il controllo dell’utente.
La trasparenza sull’uso dei dati, il consenso informato e la collaborazione tra industria e legislatori sono essenziali per promuovere la fiducia del pubblico in queste tecnologie.
Solo attraverso l’applicazione rigorosa di standard tecnici e l’innovazione continua nelle tecniche di protezione sarà possibile sfruttare appieno i vantaggi della biometria minimizzando i rischi per i diritti fondamentali degli individui.
FAQ: dati biometrici
Cosa sono i dati biometrici secondo il GDPR?
Secondo il GDPR, all’articolo 4 paragrafo 1 punto 14, i dati biometrici sono definiti come “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. Questi dati fanno riferimento ai tratti fisici o comportamentali unici di un individuo, come impronte digitali, caratteristiche facciali, schemi dell’iride, voce e anche alle dinamiche di digitazione. I dati biometrici sono considerati una categoria particolare di dati personali ai sensi dell’articolo 9 del GDPR e sono soggetti a maggiori tutele rispetto ai dati personali ordinari, richiedendo specifiche condizioni di liceità per il loro trattamento.
Quali sono le tecniche di protezione per i dati biometrici?
Per la tutela efficace dei dati biometrici sono state sviluppate diverse tecniche di protezione. Le principali sono le tecniche di Biometric Template Protection (BTP) che mirano a generare modelli protetti che non rivelano informazioni sull’identità originale dell’utente. Lo standard internazionale ISO/IEC 24745:2022 definisce i requisiti fondamentali per questi schemi, tra cui l’impossibilità di collegamento (unlinkability), la revocabilità e la non invertibilità. Le tecniche BTP si dividono principalmente in due categorie: sistemi crittografati biometrici e biometria cancellabile. Una frontiera avanzata è rappresentata dalla crittografia omomorfica, che permette di eseguire operazioni algebriche e processi decisionali direttamente sui dati crittografati senza mai decifrarli. Inoltre, è possibile applicare la regola TCC (Template – Crittografia – Centralizzazione) per proteggere i dati biometrici, archiviando solo i template matematici e non le immagini originali, cifrando i dati e centralizzando l’archiviazione in database separati.
Come vengono utilizzati i dati biometrici in ambito lavorativo?
In ambito lavorativo, i dati biometrici vengono utilizzati principalmente per il controllo degli accessi fisici a determinate aree aziendali e per la verifica dell’identità dei dipendenti. L’utilizzo di sistemi di riconoscimento biometrico in un contesto lavorativo ha implicazioni relative alla legittimità del trattamento dei dati e alla compliance ai principi del GDPR. Secondo il Garante Privacy, l’adozione di sistemi biometrici basati sull’elaborazione dell’impronta digitale e della topografia della mano può essere consentita per limitare l’accesso ad aree e locali ritenuti sensibili o per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati. Tuttavia, l’utilizzo del riconoscimento facciale per il rilevamento presenze è considerato illecito dal Garante Privacy, che ha sanzionato diverse società per questa pratica, ritenendola sproporzionata rispetto alle finalità perseguite.
Quali sono le condizioni di liceità per il trattamento dei dati biometrici?
Il trattamento dei dati biometrici, in quanto categoria particolare di dati personali ai sensi dell’articolo 9 del GDPR, è generalmente vietato salvo specifiche eccezioni. Le principali condizioni di liceità per il trattamento dei dati biometrici includono: il consenso esplicito dell’interessato per una o più finalità specifiche; la necessità del trattamento per assolvere obblighi ed esercitare diritti in materia di diritto del lavoro e sicurezza sociale; la necessità del trattamento per tutelare un interesse vitale dell’interessato; il trattamento riguarda dati resi manifestamente pubblici dall’interessato; la necessità del trattamento per accertare, esercitare o difendere un diritto in sede giudiziaria; la necessità del trattamento per motivi di interesse pubblico rilevante. È importante notare che il legittimo interesse non può essere invocato come base giuridica per il trattamento di dati biometrici, come confermato dal Garante Privacy.
Come funzionano i sistemi di autenticazione biometrica?
I sistemi di autenticazione biometrica funzionano acquisendo e analizzando caratteristiche fisiche o comportamentali uniche dell’individuo. Il processo inizia con l’acquisizione diretta del dato biometrico (acquisizione dell’immagine raw), seguito dalla creazione di un modello, ossia una rappresentazione matematica del dato biometrico. Questo modello viene successivamente crittografato con una chiave connessa al sistema di acquisizione, e la stringa crittografata viene protetta all’interno di una memoria locale dedicata o crittografata. Durante l’autenticazione, il sistema acquisisce nuovamente il dato biometrico dell’utente, ne crea un modello e lo confronta con quello memorizzato. È importante notare che i sistemi biometrici non ricevono mai dati identici, poiché le persone non producono sempre lo stesso segno biometrico: le impronte possono cambiare leggermente, così come i visi e le voci, a causa di fattori come stanchezza o malattie. Per questo motivo, i sistemi di autenticazione biometrica utilizzano algoritmi di confronto che tengono conto di questa variabilità naturale.
Quali sono i rischi dei dati biometrici nel Metaverso?
Nel Metaverso, i dati biometrici rappresentano un significativo punto di vulnerabilità. Secondo una ricerca di Trend Micro, i cyber criminali potrebbero essere in grado di rubare dati biometrici o trovare quelli trapelati, sfruttarli per trarre in inganno i dispositivi connessi come i visori VR/AR e renderli accessibili. Ciò potrebbe facilitare furti di dati, frodi, estorsioni e altri reati. I profili utente nel Metaverso potrebbero diventare obiettivi di attacchi anche per accedere a dati biometrici, come i modelli 3D degli utenti che replicano in dettaglio le caratteristiche biologiche reali. Un attaccante in possesso dei dati biometrici di un individuo potrebbe impersonarlo nel Metaverso ed operare per suo conto, intrattenere relazioni fingendosi la vittima, effettuare acquisti, diffondere notizie false, e persino molestare qualcuno. A differenza delle password, le caratteristiche biometriche non possono essere modificate facilmente, rendendo una compromissione potenzialmente permanente.
Quali misure di sicurezza sono necessarie per proteggere i dati biometrici?
La protezione dei dati biometrici richiede l’implementazione di robuste misure di sicurezza tecniche e organizzative. È fondamentale utilizzare tecniche di Biometric Template Protection (BTP) che generano modelli protetti che non rivelano informazioni sull’identità originale dell’utente. Le organizzazioni dovrebbero adottare la regola TCC: Template (archiviare solo i template matematici e non le immagini originali), Crittografia (cifrare i dati in transito e a riposo) e Centralizzazione (archiviare i dati in più database su server diversi). È necessario effettuare regolarmente un’analisi dei rischi di perdita, anche accidentale, del dato biometrico e verificare che il trattamento non esponga a rischi i dati raccolti. Inoltre, è importante sviluppare procedure specifiche per la conservazione e cancellazione dei dati biometrici, che siano periodicamente verificate anche in base all’evoluzione tecnologica dei dispositivi utilizzati. Le organizzazioni devono anche garantire che i sistemi biometrici offrano alternative per gli utenti che non possono o non vogliono utilizzare l’autenticazione biometrica.
Quali sono i casi recenti di violazioni di dati biometrici?
Negli ultimi anni si sono verificati diversi casi significativi di violazioni di dati biometrici. Nel 2019, è stata esposta pubblicamente la piattaforma BioStar 2, usata per sbloccare porte tramite impronte digitali e riconoscimento del volto. Non si è trattato di un attacco ma di una gestione negligente dei dati, con 27 milioni di record esposti, tra cui oltre un milione di impronte digitali e dati di riconoscimento facciale. Nel 2024 ha fatto scalpore il leak di dati biometrici in El Salvador, dove i dati sottratti di 5,1 milioni di cittadini (l’80% della popolazione) sono stati pubblicati sul dark web, includendo fotografie associate alle identità reali e ai numeri di documenti. Un caso emblematico risale ad aprile 2025 in India, dove dei cyber criminali hanno compromesso il sistema di identificazione biometrico Aadhaar, manipolando le informazioni associate a oltre 1.500 persone. I criminali hanno inserito dati biometrici falsi collegandoli a identità reali per ottenere autenticazioni utili ad accedere a servizi governativi e benefici finanziari.
Quali sono le alternative all’uso di dati biometrici per l’autenticazione?
Esistono diverse alternative all’uso di dati biometrici per l’autenticazione che possono garantire un adeguato livello di sicurezza senza i rischi associati al trattamento di dati biometrici. Tra i sistemi più comuni ci sono i badge di accesso, che sono schede magnetiche programmate per consentire l’accesso degli autorizzati ad alcune aree in base a gruppi di accesso suddivisi per livelli. Sebbene presentino il rischio di smarrimento e uso improprio, sono considerati meno invasivi dei sistemi biometrici. Il Garante Privacy ha più volte sottolineato che le organizzazioni dovrebbero utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro, come ad esempio il badge tradizionale. Altre alternative includono i sistemi di autenticazione a più fattori che combinano qualcosa che l’utente sa (password), qualcosa che l’utente possiede (token fisico) e, eventualmente, qualcosa che l’utente è (dato biometrico), offrendo così un elevato livello di sicurezza senza fare affidamento esclusivamente sui dati biometrici.
Quali sono i rischi associati al furto di dati biometrici?
Il furto di dati biometrici comporta rischi significativi e permanenti per gli interessati. A differenza di password o PIN, i tratti biometrici non possono essere cambiati se vengono rubati. Se un tratto biometrico come il volto o l’iride viene compromesso, tutte le applicazioni che utilizzano quel tratto per la sicurezza subiscono una riduzione del loro livello di protezione. Questo può portare ad attacchi di cross-matching, in cui un utente viene tracciato o identificato in database diversi senza il suo consenso. Inoltre, la raccolta di dati biometrici può consentire la profilazione degli individui a vari livelli, inclusa la profilazione fisica, emotiva, comportamentale e persino cognitiva. Tali dati possono rivelare stati emotivi, condizioni di salute o informazioni demografiche sensibili, aprendo la strada a potenziali usi impropri o discriminazioni.
