i rischi legati ai dati biometrici e al riconoscimento facciale.

Paga con la faccia: sicurezza o incubo dei dati biometrici?

A cura di:Redazione Ore

I tuoi dati biometrici sono già in vendita sul dark web. Un pacchetto completo di documenti d’identità statunitensi costa tra 70 e 165 dollari, mentre i dati biometrici vengono commercializzati in varie forme sui mercati criminali.

Questa non è fantascienza, ma la realtà del mercato criminale dei dati biometrici, dove i volti rubati alimentano sistemi di clonazione d’identità per svuotare conti bancari. Mentre l’Italia e l’Europa sperimentano i primi pagamenti con riconoscimento biometrico – Carrefour ha lanciato il primo pilot europeo a Parigi nel luglio 2024 con riconoscimento della vena del palmo, seguito da Mastercard in Polonia con tecnologia per iride e volto – esperti di cybersecurity e autorità privacy lanciano l’allarme: stiamo barattando la nostra identità immutabile per qualche secondo di comodità al checkout.

Il volto che non puoi cambiare: rischi dei dati biometrici

Bruce Schneier, uno dei massimi esperti mondiali di sicurezza informatica, ha identificato il problema fondamentale dei sistemi biometrici: l’irreversibilità. A differenza delle password, i dati biometrici non possono essere cambiati quando compromessi. Questa caratteristica rende particolarmente gravi le violazioni come quella di Clearview AI nel 2020, che ha esposto l’intera lista clienti di oltre 600 agenzie che utilizzavano un database di 3 miliardi di volti, o quando nel 2022 la cinese Xinai Electronics ha perso 800 milioni di record biometrici.

Il furto di dati biometrici è irreversibile per definizione. Studi recenti mostrano che circa il 40-42% dei dispositivi Android con riconoscimento facciale può essere ingannato con una semplice fotografia. Ma il problema va oltre: i criminali stanno già usando maschere in silicone professionali (300-1000 euro sul mercato nero) che raggiungono tassi di successo del 90% contro i sistemi avanzati, mentre i deepfake in tempo reale mostrano percentuali di bypass tra il 67 e il 99% a seconda della sofisticazione del sistema.

L’invasione silenziosa del pagamento biometrico

In Cina, 495 milioni di persone – un terzo della popolazione – utilizzavano già il riconoscimento facciale per pagare nel 2021. Alipay e WeChat Pay processano trilioni di dollari all’anno attraverso sistemi che scansionano i volti nei negozi, nelle metropolitane, persino per pagare le tasse. Negli Stati Uniti, Amazon One ha già conquistato oltre 400 location, completando l’espansione a tutti i 500+ Whole Foods entro la fine del 2023. L’Europa sta seguendo rapidamente: oltre al pilot Carrefour a Parigi con tecnologia Ingenico per il riconoscimento del palmo della mano, Mastercard ha lanciato in Polonia il 10 giugno 2024 il suo Biometric Checkout Program con riconoscimento dell’iride e del volto in cinque negozi Empik utilizzando la tecnologia PayEye.

In Italia, il terreno è già preparato. Nexi Pay, il principale processore di pagamenti italiano, offre dal febbraio 2020 l’autenticazione biometrica facciale per autorizzare transazioni e-commerce e PagoPA. Banco BPM e BBVA Italia hanno integrato il riconoscimento facciale nelle loro app bancarie, mentre BANCOMAT Pay, con circa 9 milioni di utenti registrati secondo Il Sole 24 ORE, permette l’autenticazione tramite volto per confermare i pagamenti. Le banche italiane assicurano che i dati biometrici non vengono conservati sui loro server ma solo sul dispositivo dell’utente – una promessa che diventa carta straccia quando il telefono viene hackerato o l’app compromessa.

Il prezzo nascosto della comodità

Il vero incubo inizia quando le aziende forzano l’adozione. All’Università della California del Sud, l’azienda PopID ha sponsorizzato un evento studentesco dove il riconoscimento facciale era l’unico modo per comprare cibo. “È leggermente coercitivo”, ha dichiarato la studentessa Vera Wang al Daily Trojan, “perché non ti viene data una scelta tra metodi di pagamento normali e usare la tua faccia”. Questo schema si sta ripetendo globalmente: sconti solo per chi paga con il volto, eliminazione graduale del contante, sistemi biometrici resi obbligatori per accedere a servizi essenziali.

Le conseguenze discriminatorie sono già evidenti. Il National Institute of Standards and Technology americano ha scoperto che i sistemi di riconoscimento facciale mostrano tassi di errore che variano di “fattori da 10 a oltre 100 volte” tra gruppi demografici diversi, con tassi di falsi positivi da 2 a 5 volte più alti nelle donne rispetto agli uomini. Gli anziani, i disabili, le minoranze etniche vengono sistematicamente esclusi o mal identificati da tecnologie che promettono inclusione ma praticano discriminazione algoritmica.

Violazioni da miliardi di volti

I database biometrici sono calamite per i criminali informatici. Nel 2024, El Salvador ha subito una violazione che ha esposto 5,1 milioni di record – l’80% della popolazione del paese – incluse foto ad alta definizione e numeri di identità nazionale. Il costo medio di una violazione di dati biometrici nel settore sanitario ha raggiunto i 9,77 milioni di dollari nel 2024. Sul dark web, documenti d’identità statunitensi completi costano tra 70 e 165 dollari, mentre sul marketplace Genesis (chiuso dall’FBI nell’aprile 2023) venivano vendute impronte digitali e tutorial per il face spoofing.

I criminali hanno già dimostrato l’efficacia di questi attacchi. Nel 2024, una truffa con deepfake ha sottratto 25 milioni di dollari alla multinazionale Arup quando un dipendente è stato ingannato da falsi dirigenti in videochiamata. In Brasile, ladri usano foto dei clienti su manichini per accedere a conti bancari e richiedere prestiti, con 8 milioni di vittime di furto d’identità che hanno causato perdite di R$10,1 miliardi nel settore finanziario. In Cina, casi documentati includono truffe da 1,86 milioni di yuan a Xi’an e 4,3 milioni di yuan a Baotou, mentre truffatori hanno violato il sistema governativo di riconoscimento facciale creando fatture false per oltre 500 milioni di yuan.

La resistenza italiana ed europea

Il Garante Privacy italiano non è rimasto a guardare. Ha inflitto una multa di 20 milioni di euro a Clearview AI per la raccolta non autorizzata di dati biometrici (febbraio 2022) e ha costretto il Comune di Como a sospendere il suo sistema di sorveglianza facciale. L’autorità italiana richiede una “verifica preliminare” per la maggior parte dei sistemi biometrici e impone che i dati siano crittografati, conservati separatamente dalle informazioni identificative e cancellati automaticamente quando non più necessari.

L’EU AI Act, in vigore dal 1° agosto 2024, vieta l’identificazione biometrica remota in tempo reale negli spazi pubblici e lo scraping non mirato di immagini facciali da internet a partire dal 2 febbraio 2025. Ma queste protezioni arrivano mentre l’infrastruttura di sorveglianza è già in costruzione. Edward Snowden ha avvertito che la tecnologia di scansione normalizza la sorveglianza di massa, rendendo accettabile ciò che dovrebbe essere inaccettabile.

Alternative più sicure esistono

La tokenizzazione, che sostituisce i dati sensibili della carta con token casuali impossibili da decifrare, offre sicurezza elevata senza esporre dati biometrici. I token hardware, le carte contactless con limiti di transazione, i one-time password: tutte alternative che l’European Central Bank raccomanda esplicitamente. Gli esperti di sicurezza consigliano di preferire sensori di impronte digitali, PIN lunghi o token hardware invece del riconoscimento facciale per l’autenticazione dei pagamenti.

Il messaggio è chiaro: pagare con la faccia non è progresso, è regressione verso un futuro dove la nostra identità più intima diventa merce di scambio. In un mondo dove non puoi cambiare il tuo volto ma i criminali possono clonarlo, dove le aziende ti costringono a scegliere tra mangiare e proteggere i tuoi dati biometrici, dove una singola violazione può comprometterti per sempre, la domanda non è se i pagamenti facciali siano comodi. La domanda è: vale la pena vendere la tua faccia per risparmiare tre secondi alla cassa?

Fonti:

CNN Business (2020). “Clearview AI has billions of our photos. Its entire client list was just stolen”

Biometric Update (2024). “El Salvador data breach includes selfies and ID numbers for 80% of country’s population”

CNN Business (2024). “Arup revealed as victim of $25 million deepfake scam involving Hong Kong employee”

South China Morning Post (2021). “Chinese government-run facial recognition system hacked by tax fraudsters”

Mastercard Newsroom (2024). “Buy with your eyes, pay with your glance!”

Retail Optimiser (2024). “Carrefour trials payment via palm vein recognition with Ingenico”

Nexi Press Release (2020). “Biometria nell’autenticazione dei pagamenti”

Garante Privacy Italiano (2022). “Riconoscimento facciale: il Garante privacy sanziona Clearview per 20 milioni di euro”

European Parliament (2024). “EU AI Act: first regulation on artificial intelligence”

NIST Special Publication IR 8280 (2019). “Face Recognition Vendor Test (FRVT) Part 3: Demographic Effects”

IBM Security (2024). “Cost of a Data Breach Report 2024”

FICO (2023). “Identity theft for digital fraud is on the rise in Brazil”

Il Sole 24 ORE (2023). “Con Bancomat Pay pagamenti via smartphone allargati all’Europa”

Condividi sui Social Network:

Ultimi Articoli

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy

Chiudi