SISTEMI DI SICUREZZA

Perché usare il riconoscimento facciale con le carte di credito è una pessima idea

Sempre più vendor spingono per le autenticazioni basate su riconoscimento facciale: eppure, in termini di sicurezza, emergono perplessità molto serie quando si parla di pagamenti con la carta di credito

25 Lug 2022
M
Riccardo Meggiato

Coordinatore di "The Outlook", Consulente in cyber security e informatica forense

Strisciare la carta di credito, o avvicinarla all’apparecchio per il pagamento, potrebbero diventare a breve dei gesti preistorici. Del resto, la direzione del mercato dei pagamenti digitali è molto chiara. Dalle ultime notizie, infatti, pare che Mastercard voglia spingere per un sistema di pagamento “fisico” (in negozio, per intenderci) basato non più sulle “strisciate” ma sul riconoscimento biometrico, in particolare quello del volto.

Forse una comodità e un’ottima leva marketing, ma che solleva più di qualche perplessità in merito alla sicurezza.

Passkey e Privacy Pass: così Apple ucciderà le password

Trasformare il corpo in carta di credito

Quello del riconoscimento biometrico è uno dei trend di maggior successo nel mondo della cyber security. La necessità di abbandonare un concetto vecchio e ormai inefficace come la password, e la diffusione esponenziale di dispositivi in grado di fornire informazioni biometriche, stanno contribuendo alla progressiva adozione di questa tecnologia. Come forma primaria di autenticazione, o comunque come doppio fattore.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Non mancano studi pronti a mettere alla berlina la gestione di queste informazioni così sensibili, e questo diventa ancora più problematico nel caso in cui siano associate a forme di pagamento digitale di grande diffusione. Trasformare il corpo in una carta di credito, insomma, non pare essere una buona idea.

Cattive abitudini

La prima criticità è che l’azione di strisciare una carta di credito richiede, in realtà, un controllo molto esplicito delle proprie azioni. Viene difficile immaginare di effettuare un pagamento a strisciata per sbaglio, con annesso inserimento di PIN o apposizione di firma calligrafica.

Lo stesso non si può dire di un riconoscimento biometrico effettuato in una situazione magari di acquisto nel bel mezzo di traffico e fonti di distrazione. Non si tratta di una quisquilia, ma di limitare le possibilità di social engineering fisico. Senza contare che l’utilizzo della biometria, che si diffonde a macchia d’olio, porta a mostrare il volto con tale nonchalance che carpirlo involontariamente è molto più semplice che intercettare una firma calligrafica o l’inserimento di un PIN: sono azioni di cui l’utente è molto più “cosciente”.

Il ruolo della tecnologia

La seconda perplessità nasce dal fatto che il tradizionale pagamento fisico, con carta di credito, dipende solo in minima parte dalla tecnologia. Ci sono, cioè, delle azioni fisiche, da parte dell’utente, molto ben codificate, che fanno seguito alla lettura di una smart-card.

Col riconoscimento facciale tutto viene centralizzato di un’unica forma di autenticazione, per quanto solida, e la sicurezza di questa dipende comunque dalla tecnologia in gioco. Difficile, infatti, ipotizzare anche l’utilizzo di PIN o firma.

Tutto, quindi, ricade sul sistema di lettura dell’informazione biometrica e occorrerà vedere se si sarà una standardizzazione degli apparecchi preposti a questa operazione.

Privacy: il vero problema

C’è poi il sempiterno problema di privacy, con la quale il riconoscimento facciale ha, da sempre, molte difficoltà. Ben quattro le principali: prima di tutto, un’informazione così sensibile come un volto è un bene digitale tra i più ghiotti e il cui utilizzo potrebbe andare ben oltre il semplice riconoscimento. Google, tanto per dire, ha brevettato una tecnologia con cui analizzare la reazione della pupilla rispetto a pubblicità o acquisti.

Secondo: le vulnerabilità di una tecnologia rappresentano già di per sé un enorme rischio per qualsiasi informazione. Figurarsi con il riconoscimento facciale.

Terzo: occorre chiedersi come e dove questo genere di informazioni vengono poi memorizzate. Perché viene molto difficile pensare a un riconoscimento facciale per autenticare un pagamento, senza ricorrere in qualche modo a un server remoto.

Metaverso: le domande che ogni CISO dovrebbe porsi sulla sicurezza di dati e utenti

Sorveglianza di massa

Quarto: il tema della sorveglianza di massa. Di fatto, le Autorità hanno accesso a qualsiasi informazione e in un settore così regolamentato come i pagamenti non ci sono escamotage o leggi che rappresentino una barriera credibile in questo senso.

Anche accettando questo principio, resta il fatto che potrebbe essere sfruttato anche da attori malevoli, con tecniche fraudolente, che a quel punto disporrebbero di alcune delle informazioni più sensibili e preziose per qualsiasi individuo.

Più che per la soluzione specifica in sé, un pagamento con carta di credito basato su autenticazione biometrica va criticato soprattutto perché diffonde e normalizza una pratica piena zeppa di problemi di design.

Ciò che potrebbe apparire normale, un giorno, è in realtà una forzatura che aggiunge poco e toglie troppo agli utenti. Una soluzione quindi da osteggiare a tutta forza? Intanto, occorre fare più chiarezza e chiarire queste perplessità.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4