Riconoscimento biometrico: che cos’è e cosa si intende con biometria?
Nell’era della connettività mobile, della tecnologia IoT (Internet of Things) e del cloud computing, i tradizionali metodi di accesso, basati su ID utente e password per autenticare l’identità digitale, non bastano più e per fronteggiare le nuove minacce informatiche le aziende puntano sul riconoscimento biometrico allo scopo di implementare la sicurezza dei sistemi collegati in rete e proteggere i dati.
Che cosa si intende con riconoscimento biometrico? Noto in inglese come AIDC – Automatic Identification and Capture, il sistema di riconoscimento biometrico è un particolare tipo di sistema informatico che identifica una persona sulla base di una o più caratteristiche fisiologiche e/o comportamentali, confrontandole con i dati precedentemente acquisiti e conservati nel database del sistema, tramite degli algoritmi e dei sensori di acquisizione dei dati in input.
Le caratteristiche fisiologiche e comportamentali rientrano nel campo della biometria, parola che deriva dal greco bìos, cioè “vita”, e métron, che significa “conteggio” o “misura”. La biometria, secondo la definizione fornita dall’Enciclopedia Italiana Treccani, è la “disciplina che studia le grandezze biofisiche allo scopo di identificarne i meccanismi di funzionamento, di misurarne il valore e di indurre un comportamento desiderato in specifici sistemi tecnologici” (Enciclopedia Italiana Treccani).
L’autenticazione tramite riconoscimento biometrico è usata nell’informatica, come forma di identificazione e controllo sugli accessi alle informazioni e ai dispositivi elettronici o meccanici con funzione di chiave, per controllare l’accesso a luoghi e per riconoscere gli individui sotto sorveglianza mentre si trovano in compagnia di altre persone.
Il primo metodo d’identificazione basato su dati biometrici fu sviluppato nei laboratori del carcere di Parigi dal criminologo Alphonse Bertillon, figlio dello statistico Louis Bertillon e fratello del demografo e statistico Jacques. Nel 1870 Bertillon venne nominato fotografo di servizio presso la prefettura di Parigi e qui iniziò ad annotare tutte le caratteristiche fisiche dei detenuti dando vita al primo laboratorio di polizia scientifica e d’identificazione dei criminali.
Nacque così l’antropometria giudiziaria, nota all’epoca come “sistema Bertillon”, un sistema di identificazione che si diffuse rapidamente in tutta Europa e consisteva nella rilevazione delle misure fisiche del corpo di un individuo (cranio, lunghezza degli arti, lunghezza delle dita e dei piedi, lunghezza del naso, caratteristiche dell’orecchio) accompagnate da una foto segnaletica, frontale e laterale, e da accurate descrizioni annotate su una scheda detta “Osservazioni Antropometriche”.
Il “sistema Bertillon” offriva la possibilità di riconoscere un soggetto nuovamente arrestato che presentava una falsa identità e il suo inventore organizzò corsi di formazione per i poliziotti di Londra e Parigi, ma presto i rilievi effettuati dagli agenti addestrati si rivelarono poco precisi e affidabili e con il tempo la tecnica cadde in disuso. Inoltre, la scoperta dell’impronta digitale segnò l’inizio di una nuova era nell’ambito della criminologia.
Identificatori biometrici: le caratteristiche che definiscono un individuo
La biometria stabilisce che ogni individuo ha caratteristiche:
- Universali: tutti devono averla;
- Uniche: due individui non possono averla;
- Permanenti: che non variano nel tempo;
- Collezionabili: che possono essere misurate in quantità.
Gli identificatori biometrici sono, quindi, caratteristiche distintive e misurabili utilizzate per identificare un individuo e si dividono in:
-
Fisiologiche:
- Impronte digitali
- Altezza
- Peso
- Colore e dimensione dell’iride
- Retina
- Sagoma della mano
- Palmo della mano
- Vascolarizzazione
- Forma dell’orecchio
- Fisionomia del volto
-
Comportamentali:
- Impronta vocale
- Scrittura grafica
- Firma
- Stile di battitura sulla tastiera
- Movimenti del corpo.
Le fisiologiche sono caratteristiche abbastanza stabili e soggette a piccole variazioni nel tempo, mentre quelle comportamentali possono essere influenzate dalla situazione psicologica dell’individuo e quindi devono essere aggiornate spesso nel corso del tempo.
Verifica e identificazione: come funzionano i sistemi biometrici?
Sono due le modalità operative di un sistema biometrico:
- Processo di verifica – 1 to 1 matching (uno ad uno): si realizza quando il soggetto dichiara la sua identità. Il sistema effettua un confronto tra l’immagine rilevata in tempo reale e quella presente nell’archivio;
- Identificazione -1 to many matching (verifica uno a molti): si ha quando l’immagine acquisita in tempo reale viene confrontata con tutte le immagini presenti nel database del sistema per essere associata a quella con le caratteristiche più simili.
Quali sono i campi di applicazione delle tecnologie biometriche?
Il sistema di riconoscimento biometrico è utilizzato in ambito:
-
Governativo:
- Militare
- Sanità
- Giustizia
- Enti e istituzioni pubbliche
-
Commerciale:
- Turismo
- Trasporti
- Banche
- Assicurazioni
- Hi-tech
- Telecomunicazioni
- Industria
Come abbiamo già detto, l’uso delle tecnologie biometriche garantisce una maggiore sicurezza ai sistemi, alle transazioni e alla tutela dei dati. Ecco quali sono le applicazioni maggiormente in suo:
- Autenticazione degli accessi fisici in locali protetti;
- Sicurezza nelle transazioni finanziarie;
- Prevenzione delle frodi;
- Proteggere e tutelare l’attività bancaria via internet;
- Identificazione di soggetti;
- Sicurezza negli aeroporti;
- Investigazione;
- Schedatura dei criminali;
- Identificazione e schedatura delle persone migranti.
Va inoltre ricordato che le applicazioni biometriche possono essere utilizzate da sole o integrate con altre tecnologie come, ad esempio, smart card, chiavi crittografiche, RFID e firma digitale.
Riconoscimento biometrico e GDPR: cosa prevede il Regolamento UE 2016/679
Il trattamento dei dati biometrici è disciplinato dal GDPR, acronimo di General Data Protection Regulation, il Regolamento UE 2016/679 che mira a rafforzare la protezione dei dati personali dei cittadini dell’Unione europea e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, e a semplificare il contesto normativo che riguarda gli affari internazionali, unificando i regolamenti dentro l’UE.
Il dato biometrico rientra nelle categorie particolari di dati personali e il GDPR, all’art. 9 comma 1, ne vieta il trattamento fatta eccezione per i casi indicati all’articolo 2:
- L’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
- È necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
- È necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- È effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
- Riguarda dati personali resi manifestamente pubblici dall’interessato;
- È necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
- È necessario per motivi di interesse pubblico rilevante;
- È necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale;
- È necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici;
- È necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89.