Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

la guida

Privacy-Preserving Biometrics: l’uso delle Zero-Knowledge Proofs per l’identità

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

Password, codici monouso e database biometrici centralizzati mostrano limiti crescenti di fronte ad attacchi basati sull’intelligenza artificiale, deepfake e furti di account. Le Privacy-Preserving Biometrics con Zero-Knowledge Proofs permettono di verificare l’identità senza esporre dati biometrici sensibili

Pubblicato il 14 mag 2026
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, CLUSIT Direttivo, BCI SIG Cyber Resilience Committee, FERMA Digital Committee Member

Biometric ID; Digital Identity
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • Problema: password inefficaci, codici monouso costosi; la biometria integrata è limitata e i database biometrici centralizzati creano rischi; aumentano deepfake e attacchi di account.
  • Soluzione: le Privacy-Preserving Biometrics con Zero-Knowledge Proofs (ZKP) permettono al dispositivo di generare prove crittografiche che attestano l’identità senza condividere dati biometrici.
  • Vantaggi e sfide: aumentano sicurezza, controllo utente e conformità al GDPR, riducono superficie d’attacco; sfide: impatto computazionale, integrazione legacy e bilanciamento sicurezza-usabilità.
Riassunto generato con AI

Le password non sono più efficaci e i codici monouso sono costosi. Inoltre, la biometria integrata nei dispositivi non è sufficiente e i database biometrici centralizzati introducono rischi per la privacy e la conformità che le organizzazioni odierne non possono permettersi.

Al contempo, l’impersonificazione basata sull’intelligenza artificiale, i deepfake e gli attacchi di acquisizione di account sono in aumento, costringendo i responsabili della sicurezza a ripensare le modalità di garanzia dell’identità lungo i percorsi digitali.

Le tecnologie di Privacy-Preserving Biometrics stanno ridefinendo i modelli di identità digitale sicura, grazie all’uso delle Zero-Knowledge Proofs (ZKP). Un approccio che permette di dimostrare chi si è – o di possedere determinati attributi – senza condividere i dati biometrici su cui si basa la verifica. Di fatto, l’identità viene attestata direttamente dal dispositivo dell’utente tramite una prova crittografica, accettata dal verificatore, senza mai accedere alle informazioni sensibili, superando i limiti dei sistemi tradizionali basati su archivi centralizzati e aumentando la protezione della privacy-by-design.

Zero-Knowledge Proofs: come funzionano nella verifica dell’identità digitale

La proliferazione delle minacce guidate dall’IA richiede soluzioni robuste. Ne consegue che le strategie di gestione dell’identità e degli accessi (IAM – Identity Access management) si stanno ora orientando verso protocolli più sicuri e focalizzati sulla privacy. È qui che entrano in scena le ZKP, un concetto rivoluzionario nella verifica dell’identità che promette di migliorare la privacy senza compromettere la sicurezza.

Il principio degli ZKP è semplice: dimostrare che qualcosa è vero senza rivelare informazioni inutili. Questa tecnologia non si limita a verificare l’identità, la protegge. Di fatto, utilizzando gli ZKP, le organizzazioni possono confermare l’identità di un individuo senza esporre dati personali, preservando così l’anonimato e riducendo le opportunità per attori dannosi di sfruttare i dati identitari.

I metodi tradizionali di validazione dell’identità spesso prevedono la rivelazione di informazioni sensibili su varie piattaforme, aumentando il rischio di violazione. Al contrario, i sistemi basati su ZKP – anche per quanto riguarda la salvaguardia della privacy in biometria – garantiscono una prevenzione in tempo reale.

Dati biometrici locali

Solitamente i dati biometrici sono memorizzati su dispositivi dell’utente. Esempi includono FaceID e Android Biometrics, ecc. in modo da garantire:

  • Massima privacy, poiché i dati non lasciano mai il dispositivo.
  • Nessuna usabilità multi-piattaforma o multi-dispositivo
  • Nessuna visibilità o controllo per i fornitori di servizi

Può essere aggirato se qualcuno conosce il codice di accesso del dispositivo

Che cosa sono i sistemi biometrici centralizzati?

Nei sistemi centralizzati, i modelli biometrici vengono archiviati e autenticati su un server centrale, solitamente nel cloud che supporta l’utilizzo su diversi dispositivi e piattaforme e offre un’autenticazione coerente a livello di account.

Tuttavia, il cloud si converte in una sfida per i dati personali e rappresenta un serio rischio per la privacy e la conformità in caso di violazione e spesso potrebbe risultare incompatibile con normative come il GDPR.

Che cosa sono i sistemi biometrici decentralizzati?

I sistemi decentralizzati cercano di evitare di archiviare i dati biometrici in un unico luogo. Secondo il suo rapporto “2025 Innovation Insight on Biometric Authentication“, Gartner definisce i sistemi decentralizzati come sistemi di autenticazione biometrica che non sono né locali né centralizzati.

Sharding come soluzione biometrica decentralizzata

La maggior parte delle implementazioni commerciali di biometria decentralizzata si basa su una tecnica nota come sharding che comporta che i dati biometrici dell’utente vengano suddivisi in frammenti, o “quote”, e distribuiti su più server. Durante l’autenticazione, ciascun server confronta la propria quota con una porzione del campione biometrico in ingresso.

La logica alla base di questo approccio è che, poiché nessun singolo server detiene l’intero modello biometrico, i dati degli utenti risultano meglio protetti. Tuttavia, la realtà è più complessa. In molti casi, il fornitore controlla tutti o la maggior parte dei server, il che significa che il sistema rimane vulnerabile alle compromissioni.

Pertanto, se anche solo un sottoinsieme dei server viene violato, un malintenzionato potrebbe essere in grado di ricostruire il profilo biometrico dell’utente o di effettuare attacchi di de-anonimizzazione utilizzando foto disponibili pubblicamente. Inoltre, persino una singola condivisione può essere rischiosa, poiché a volte è possibile utilizzare dati biometrici parziali per identificare gli individui.

Dal punto di vista della conformità, questi sistemi sollevano anche dei dubbi. Ai sensi del GDPR, qualsiasi dato che possa essere utilizzato per ricostruire o collegare l’identità biometrica di un utente è considerato dato biometrico. Ciò include modelli crittografati e condivisioni distribuite. Di conseguenza, queste soluzioni spesso non soddisfano le tutele normative che si prefiggono di garantire.

Biometria e ZKP: un nuovo modello di identità digitale privacy-by-design

La biometria abbinata al ZKP è un nuovo approccio all’autenticazione biometrica decentralizzata per consentire una verifica sicura dell’identità senza rivelare dati biometrici grezzi (ad esempio, volto, iride, impronta digitale) o memorizzare modelli sensibili in database centralizzati.

Di fatto, l’utente funge da garante, generando sul proprio dispositivo una prova crittografica che conferma la sua identità, la quale viene accettata dal verificatore senza che questi acceda ai dati privati sottostanti, riducendo così i rischi di violazione.

L’approccio “zero-knowledge“, come già evidenziato, garantisce che né il dispositivo dell’utente né il server vengono a conoscenza dei dati biometrici effettivi, ma solo della corrispondenza tra il campione inviato e il profilo registrato. Ciò migliora significativamente sia la privacy sia la sicurezza.

Opzioni di implementazione per la biometria basata su ZKP

La biometria abbinata allo ZKP supporta un’ampia gamma di modelli di implementazione, quali:

  • Implementazione Cloud, per implementazioni rapide e scalabili.
  • Implementazione in loco, per ambienti regolamentati che necessitano di controllo interno.
  • Modelli ibridi e integrazione tramite API e SDK, per conservare i dati sensibili in locale sfruttando al contempo le prestazioni del cloud e facilmente integrabili in app per dispositivi mobili, piattaforme web e sistemi per la gestione della forza lavoro.

Vantaggi degli ZKP per i sistemi di identità decentralizzati biometrici

L’integrazione degli ZKP nei sistemi di identità decentralizzati biometrici offre diversi vantaggi:

  • Miglioramento della sicurezza e della privacy – Gli ZKP garantiscono che la verifica dell’identità sia sicura senza compromettere informazioni sensibili. Inoltre, le persone possono dimostrare la propria identità senza rivelare informazioni personali inutili.
  • Riduzione della superficie di attacco – Poiché non vengono condivisi dati personali, il rischio di furto d’identità e violazioni dei dati è ridotto al minimo.
  • Maggiore controllo per l’utente – Gli utenti mantengono il controllo sulla propria identità.
  • Supporto alla conformità normativa (GDPR) – È facilitata la conformità alle leggi sulla protezione dei dati come il GDPR, poiché le informazioni personali identificabili (PII) non vengono condivise, ma solo la prova di validità

Le sfide dell’adozione delle Zero Knowledge Proofs

Sebbene le dimostrazioni a conoscenza zero offrano benefici convincenti, la loro implementazione non è priva di sfide e, precisamente:

Impatto computazionale e prestazioni – Gli algoritmi ZKP tradizionali possono essere computazionalmente costosi, potenzialmente influenzando le prestazioni del sistema. Tuttavia, i recenti progressi hanno migliorato notevolmente l’efficienza, rendendo più fattibile il dispiegamento su scala aziendale.

Integrazione con infrastrutture legacy – Integrare i sistemi ZKP con infrastrutture legacy richiede una pianificazione attenta e potenzialmente un lavoro di sviluppo personalizzato. Le organizzazioni dovrebbero affrontare l’implementazione con una roadmap chiara che tenga conto dei sistemi esistenti.

Esperienza utente e bilanciamento sicurezza-usabilità – I metodi di autenticazione devono bilanciare sicurezza e usabilità. Implementazioni ZKP ben progettate possono, effettivamente, migliorare l’esperienza utente, riducendo la necessità di inserire password, oltre a mantenere un’elevata sicurezza.

Lo scenario futuro

Le organizzazioni si trovano sempre più frequentemente a operare in contesti segnati da un incremento delle violazioni dei dati biometrici, con impatti rilevanti in termini di sicurezza, compliance e fiducia digitale.

È in questo scenario che le Privacy-Preserving Biometrics basate su Zero-Knowledge Proofs emergono come una risposta tecnologica coerente con i principi di data minimization, privacy-by-design e accountability sanciti dal GDPR, nonché con le logiche di gestione del rischio e resilienza operativa introdotte dal quadro europeo di cybersecurity (dal NIS2 al Cyber Resilience Act).

Di fatto, abilitando modelli di verifica dell’identità resilience-based, le ZKP riducono dipendenze sistemiche e impatti di compromissione, configurandosi non solo come un’innovazione tecnologica, ma come un fattore strutturale per ecosistemi di identità digitale più sicuri, conformi e resilienti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, CLUSIT Direttivo, BCI SIG Cyber Resilience Committee, FERMA Digital Committee Member

Consulente in Risk Management & Business Continuity, docente presso varie istituzioni e università italiane e straniere, autrice di numerosi articoli e white paper su diverse riviste italiane e straniere.Relatrice e moderatrice

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • cookie wall giornali garante privacy

  • la guida

    Cookie: cosa sono, come funzionano e come proteggerti

    22 Set 2025

    di Antonino Polimeni

    Condividi
  • intelligenza artificiale pc sistemi di raccomandazione AI generativa nei Global Business Services intelligenza artificiale e lavoro

  • la lettura

    Rischi sociali e etici dell'AI generativa: i pericoli nascosti

    18 Giu 2025

    di Valter Mellano

    Condividi
  • Carta di identità elettronica CIE

  • la guida

    CIE, cos'è e a cosa serve la carta d'identità elettronica: ecco come chiederla

    09 Lug 2025

    di Alessandro Longo e Patrizia Saggini

    Condividi
0
Lascia un commento, la tua opinione conta.x