L’avvento del New Normal e le conseguenti modifiche al comportamento degli utenti, ha portato all’accelerazione e alla modifica di molti processi, come quello della verifica delle identità online. Non è raro, però, che con cambiamenti così repentini la sicurezza delle operazioni venga messa a rischio.
L’Australian Tax Office (ATO) ha da poco annunciato che investirà nelle tecnologie di identificazione “selfie”. Non si tratta di una novità. Il riconoscimento facciale viene già utilizzato come sistema di identificazione univoca per lo sblocco di telefoni al posto delle password ad esempio.
Le autorità australiane prevedono di introdurre controlli di identità interamente online con verifica dell’identità elettronica tramite smartphone. Una novità che sicuramente ridurrà di molto i tempi e i costi della verifica delle credenziali, ma dall’altra parte apre problemi di
sicurezza decisamente non trascurabili. L’idea è quella di introdurre questo sistema per accedere a tutti i servizi governativi tramite l’app myGovID.
Per fare una similitudine con ciò che si sta cominciando a creare in Australia, si potrebbe parlare dello SPID italiano, il codice identificativo che oggi viene utilizzato per l’accesso a diversi servizi messi a disposizione dallo stato. L’identificazione in questo caso avviene sia tramite contatto diretto sia sfruttando il riconoscimento tramite lettura da smartphone (NFC)
del chip del Passaporto o della Carta d’Identità elettronica, tramite l’applicazione PosteID ad esempio. La tecnologia del “selfie” viene utilizzata anche in questo caso, dato che la procedura richiede si scattarsi una fotografia con un documento in mano e un video con una dichiarazione di intenti. Questi ultimi sono già stati impiegati da diverse aziende per
l’apertura di contratti di fornitura di servizi, per fare un esempio potremmo pensare ad Iliad che richiede proprio un “selfie-animato” per l’attivazione dei suoi servizi.
Quanto sono davvero sicuri questi sistemi? Un video potrebbe ad esempio essere facilmente modificato inserendo dati fasulli o “ritagliato” per estrapolare dichiarazioni diverse da quelle nell’intento dell’utente. E i chip elettronici invece? Dal momento che queste tecnologie si utilizzano non solo per lo SPID, ma anche per l’accesso ad applicazioni come
IO per il cashback di stato (argomento molto discusso proprio nelle ultime settimane) e molte altre, è importante ricordare che i documenti dotati di microchip non erano ancora stati utilizzati in maniera “smart” fino a pochi mesi fa e ora stanno per diventare gli strumenti centrali per l’identità digitale di ogni persona.
Ma quali sono i rischi di simili tecnologie? Parliamo comunque di servizi governativi e accesso a dati estremamente sensibili come informazioni personali, indirizzi, dati bancari e finanziari. Demandare l’intero processo ad un software di riconoscimento comporta rischi molto alti che vanno valutati con attenzione. Saranno necessari strumenti sofisticati di
cybersecurity per impedire a truffatori e gruppi criminali di utilizzare foto altrui o generare immagini al computer per aggirare le misure di sicurezza e sottrarre dati o falsificare identità.
La novità, in Australia, è quella di voler completamente digitalizzare questo processo e dare ad un software il compito che normalmente veniva affidato a personale apposito. Il software dovrebbe essere in grado di sfruttare algoritmi e intelligenza artificiale per individuare le
caratteristiche morfologiche della persona tramite un selfie e confrontarle con le foto già presenti nel database per verificarne la corretta corrispondenza.
L’Australian Tax Office ha dichiarato che il sistema per la verifica dell’identità a distanza sarà pronto entro la prima metà del 2021. Per prevenire l‘utilizzo di fotografie esistenti e assicurarsi che la foto venga scattata dal vivo non appena richiesta, sarà utilizzato un software in grado di coglierne le differenze e l’immagine verrà messa a confronto con foto
già conservate nei registri governativi, come quelle del passaporto o della patente di guida.
Il sistema sfrutterà anche i sistemi di sicurezza del dispositivo utilizzato per l’invio della documentazione, come la password, il riconoscimento facciale o tramite impronta digitale.
Per una maggiore affidabilità dei sistemi, tutti i dati utilizzati in fase di identificazione verranno archiviati o spostati, in modo che le stesse immagini già utilizzate per la verifica non siano più rintracciabili.
Prima della distribuzione, l’ATO dovrà effettuare molti test di sicurezza, ad esempio con azioni di presentation attack detection (PAD) e dovrà verificare di rispettare tutte le normative. In settori come quello bancario le norme di sicurezza per il controllo e la verifica dei dati sono molto rigide e spesso comportano costi di mantenimento molto alti.
Tra i controlli ideati per rispettare le norme in materia di cybersecurity potranno esserci funzioni sofisticate come le richieste di lettura di testi da parte dell’utente, movimenti della fotocamera per verificarne la presenza effettiva, fino all’utilizzo di gesti facciali. Azioni sicuramente utili alla sicurezza, ma sempre aggirabili da hacker esperti.
Una grande parte della ricerca e dello sviluppo andrà sicuramente dedicata a sistemi di sicurezza sempre più sofisticati, perché così come si evolvono le tecnologie, anche i tentativi di attacco diventano sempre più raffinati. L’identificazione digitale è sicuramente più rapida e meno costosa di quella fisica, e potenzialmente potrà diventare anche più sicura. Questo
sarà possibile solo se si dedicherà il giusto investimento in termini di cybersecurity.
Anche in termini di rispetto della privacy andrà posta una particolare attenzione alla sicurezza dei dati. Un altro fattore da non sottovalutare è che sarà molto probabile, soprattutto all’inizio dell’implementazione di tale tecnologia, che si andrà incontro a molti falsi positivi. Come ogni sistema di Machine Learning anche questo software avrà bisogno di tempo per apprendere e migliorare le proprie prestazioni. L’intervento umano sarà quindi fondamentale in ogni momento di questo processo per guidare correttamente le macchine nell’apprendimento.