Come proteggere i dati biometrici

Secondo il GDPR, all’articolo 4 paragrafo 1 punto 14, i dati biometrici sono definiti come “dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”. Questi dati fanno riferimento ai tratti fisici o comportamentali unici di un individuo, come impronte digitali, caratteristiche facciali, schemi dell’iride, voce e anche alle dinamiche di digitazione. I dati biometrici sono considerati una categoria particolare di dati personali ai sensi dell’articolo 9 del GDPR e sono soggetti a maggiori tutele rispetto ai dati personali ordinari, richiedendo specifiche condizioni di liceità per il loro trattamento.

Per la tutela efficace dei dati biometrici sono state sviluppate diverse tecniche di protezione. Le principali sono le tecniche di Biometric Template Protection (BTP) che mirano a generare modelli protetti che non rivelano informazioni sull’identità originale dell’utente. Lo standard internazionale ISO/IEC 24745:2022 definisce i requisiti fondamentali per questi schemi, tra cui l’impossibilità di collegamento (unlinkability), la revocabilità e la non invertibilità. Le tecniche BTP si dividono principalmente in due categorie: sistemi crittografati biometrici e biometria cancellabile. Una frontiera avanzata è rappresentata dalla crittografia omomorfica, che permette di eseguire operazioni algebriche e processi decisionali direttamente sui dati crittografati senza mai decifrarli. Inoltre, è possibile applicare la regola TCC (Template – Crittografia – Centralizzazione) per proteggere i dati biometrici, archiviando solo i template matematici e non le immagini originali, cifrando i dati e centralizzando l’archiviazione in database separati.

In ambito lavorativo, i dati biometrici vengono utilizzati principalmente per il controllo degli accessi fisici a determinate aree aziendali e per la verifica dell’identità dei dipendenti. L’utilizzo di sistemi di riconoscimento biometrico in un contesto lavorativo ha implicazioni relative alla legittimità del trattamento dei dati e alla compliance ai principi del GDPR. Secondo il Garante Privacy, l’adozione di sistemi biometrici basati sull’elaborazione dell’impronta digitale e della topografia della mano può essere consentita per limitare l’accesso ad aree e locali ritenuti sensibili o per consentire l’utilizzo di apparati e macchinari pericolosi ai soli soggetti qualificati. Tuttavia, l’utilizzo del riconoscimento facciale per il rilevamento presenze è considerato illecito dal Garante Privacy, che ha sanzionato diverse società per questa pratica, ritenendola sproporzionata rispetto alle finalità perseguite.

Il trattamento dei dati biometrici, in quanto categoria particolare di dati personali ai sensi dell’articolo 9 del GDPR, è generalmente vietato salvo specifiche eccezioni. Le principali condizioni di liceità per il trattamento dei dati biometrici includono: il consenso esplicito dell’interessato per una o più finalità specifiche; la necessità del trattamento per assolvere obblighi ed esercitare diritti in materia di diritto del lavoro e sicurezza sociale; la necessità del trattamento per tutelare un interesse vitale dell’interessato; il trattamento riguarda dati resi manifestamente pubblici dall’interessato; la necessità del trattamento per accertare, esercitare o difendere un diritto in sede giudiziaria; la necessità del trattamento per motivi di interesse pubblico rilevante. È importante notare che il legittimo interesse non può essere invocato come base giuridica per il trattamento di dati biometrici, come confermato dal Garante Privacy.

I sistemi di autenticazione biometrica funzionano acquisendo e analizzando caratteristiche fisiche o comportamentali uniche dell’individuo. Il processo inizia con l’acquisizione diretta del dato biometrico (acquisizione dell’immagine raw), seguito dalla creazione di un modello, ossia una rappresentazione matematica del dato biometrico. Questo modello viene successivamente crittografato con una chiave connessa al sistema di acquisizione, e la stringa crittografata viene protetta all’interno di una memoria locale dedicata o crittografata. Durante l’autenticazione, il sistema acquisisce nuovamente il dato biometrico dell’utente, ne crea un modello e lo confronta con quello memorizzato. È importante notare che i sistemi biometrici non ricevono mai dati identici, poiché le persone non producono sempre lo stesso segno biometrico: le impronte possono cambiare leggermente, così come i visi e le voci, a causa di fattori come stanchezza o malattie. Per questo motivo, i sistemi di autenticazione biometrica utilizzano algoritmi di confronto che tengono conto di questa variabilità naturale.

Nel Metaverso, i dati biometrici rappresentano un significativo punto di vulnerabilità. Secondo una ricerca di Trend Micro, i cyber criminali potrebbero essere in grado di rubare dati biometrici o trovare quelli trapelati, sfruttarli per trarre in inganno i dispositivi connessi come i visori VR/AR e renderli accessibili. Ciò potrebbe facilitare furti di dati, frodi, estorsioni e altri reati. I profili utente nel Metaverso potrebbero diventare obiettivi di attacchi anche per accedere a dati biometrici, come i modelli 3D degli utenti che replicano in dettaglio le caratteristiche biologiche reali. Un attaccante in possesso dei dati biometrici di un individuo potrebbe impersonarlo nel Metaverso ed operare per suo conto, intrattenere relazioni fingendosi la vittima, effettuare acquisti, diffondere notizie false, e persino molestare qualcuno. A differenza delle password, le caratteristiche biometriche non possono essere modificate facilmente, rendendo una compromissione potenzialmente permanente.

La protezione dei dati biometrici richiede l’implementazione di robuste misure di sicurezza tecniche e organizzative. È fondamentale utilizzare tecniche di Biometric Template Protection (BTP) che generano modelli protetti che non rivelano informazioni sull’identità originale dell’utente. Le organizzazioni dovrebbero adottare la regola TCC: Template (archiviare solo i template matematici e non le immagini originali), Crittografia (cifrare i dati in transito e a riposo) e Centralizzazione (archiviare i dati in più database su server diversi). È necessario effettuare regolarmente un’analisi dei rischi di perdita, anche accidentale, del dato biometrico e verificare che il trattamento non esponga a rischi i dati raccolti. Inoltre, è importante sviluppare procedure specifiche per la conservazione e cancellazione dei dati biometrici, che siano periodicamente verificate anche in base all’evoluzione tecnologica dei dispositivi utilizzati. Le organizzazioni devono anche garantire che i sistemi biometrici offrano alternative per gli utenti che non possono o non vogliono utilizzare l’autenticazione biometrica.

Negli ultimi anni si sono verificati diversi casi significativi di violazioni di dati biometrici. Nel 2019, è stata esposta pubblicamente la piattaforma BioStar 2, usata per sbloccare porte tramite impronte digitali e riconoscimento del volto. Non si è trattato di un attacco ma di una gestione negligente dei dati, con 27 milioni di record esposti, tra cui oltre un milione di impronte digitali e dati di riconoscimento facciale. Nel 2024 ha fatto scalpore il leak di dati biometrici in El Salvador, dove i dati sottratti di 5,1 milioni di cittadini (l’80% della popolazione) sono stati pubblicati sul dark web, includendo fotografie associate alle identità reali e ai numeri di documenti. Un caso emblematico risale ad aprile 2025 in India, dove dei cyber criminali hanno compromesso il sistema di identificazione biometrico Aadhaar, manipolando le informazioni associate a oltre 1.500 persone. I criminali hanno inserito dati biometrici falsi collegandoli a identità reali per ottenere autenticazioni utili ad accedere a servizi governativi e benefici finanziari.

Esistono diverse alternative all’uso di dati biometrici per l’autenticazione che possono garantire un adeguato livello di sicurezza senza i rischi associati al trattamento di dati biometrici. Tra i sistemi più comuni ci sono i badge di accesso, che sono schede magnetiche programmate per consentire l’accesso degli autorizzati ad alcune aree in base a gruppi di accesso suddivisi per livelli. Sebbene presentino il rischio di smarrimento e uso improprio, sono considerati meno invasivi dei sistemi biometrici. Il Garante Privacy ha più volte sottolineato che le organizzazioni dovrebbero utilizzare sistemi meno invasivi per controllare la presenza dei propri dipendenti e collaboratori sul luogo di lavoro, come ad esempio il badge tradizionale. Altre alternative includono i sistemi di autenticazione a più fattori che combinano qualcosa che l’utente sa (password), qualcosa che l’utente possiede (token fisico) e, eventualmente, qualcosa che l’utente è (dato biometrico), offrendo così un elevato livello di sicurezza senza fare affidamento esclusivamente sui dati biometrici.

Il furto di dati biometrici comporta rischi significativi e permanenti per gli interessati. A differenza di password o PIN, i tratti biometrici non possono essere cambiati se vengono rubati. Se un tratto biometrico come il volto o l’iride viene compromesso, tutte le applicazioni che utilizzano quel tratto per la sicurezza subiscono una riduzione del loro livello di protezione. Questo può portare ad attacchi di cross-matching, in cui un utente viene tracciato o identificato in database diversi senza il suo consenso. Inoltre, la raccolta di dati biometrici può consentire la profilazione degli individui a vari livelli, inclusa la profilazione fisica, emotiva, comportamentale e persino cognitiva. Tali dati possono rivelare stati emotivi, condizioni di salute o informazioni demografiche sensibili, aprendo la strada a potenziali usi impropri o discriminazioni.