L’impiego dei dati biometrici per accertare l’identità digitale è garanzia di maggiore sicurezza rispetto a metodi meno sofisticati, come l’uso di password. Tuttavia non è escluso il rischio di frodi, messe a segno utilizzando in particolare gli attacchi a iniezione: l’uso dell’intelligenza artificiale e di altre tecnologie innovative ha permesso ai cyber criminali di alzare il livello tecnico delle loro strategie offensive. È importante quindi che anche le tecnologie atte alla difesa siano sufficientemente avanzate da essere in grado di contrastare azioni criminali sempre più elaborate, senza però mai trascurare la compliance normativa.
Indice degli argomenti
Identità digitale e dati biometrici, lo stato dell’arte in Italia
Infatti, in Unione Europea le norme sull’identità digitale e la protezione dei dati sono numerose e richiedono molta attenzione, per tutelare i diritti dei cittadini e semplificare le operazioni e le attività tra Stati membri. Al momento, per esempio, si sta andando verso l’identità digitale unica europea: “Un concetto espresso dal regolamento eIDAS 2.0 entrato in vigore a maggio 2024, in seguito al quale l’Italia come gli altri Paesi è intervenuta con un primo passo realizzando l’IT-wallet, il portafoglio di identità digitale – spiega Arianna Valente, Sales director Italy di Veridas -. Riguardo al wallet europeo, la situazione è ancora fluida, c’è molta curiosità su come verrà definito l’ecosistema relativo”. Intanto, nell’ambito dell’identità digitale “eIDAS 2.0 ha introdotto il concetto di identità sovrana e ha spiegato le modalità con cui il cittadino può controllare i propri attributi digitali e usarli in modo sicuro”, precisa l’esperta.
Proprio riguardo alla sicurezza dell’identità digitale, i dati biometrici hanno un ruolo importante: “Consentono l’identificazione del soggetto, che può utilizzarli per dimostrare la propria identità e usufruire dei servizi digitali, con maggiori garanzie, più comodità e massima sovranità”. Basti ricordare che, come sottolinea Valente, “le password possono essere rubate e condivise, coi dati biometrici questo non succede. Se uso il mio volto per accedere ad area riservata, posso farlo solo io: infatti, le referenze biometriche rinnovabili sono dei codici che identificano puntualmente la mia identità e non hanno nessun valore, perché non possono ricondurre all’identità della persona”. Questo in quanto “sono sequenze di dati che servono per confermare l’identità del soggetto attraverso un confronto con i dati biometrici registrati in una precedente fase”.
I rischi per l’identità digitale e il furto dei dati biometrici
Tuttavia, sebbene la biometria sia effettivamente lo strumento più sicuro disponibile per la gestione dell’identità digitale, non bisogna abbassare la guardia. L’intelligenza artificiale generativa è riuscita a superare la barriera della sicurezza che la biometria e la prova della vita avevano raggiunto. Pertanto, anche quando si utilizzano le tecnologie biometriche, le frodi possono ancora verificarsi.
“Nel caso degli injection attack, gli attacchi a iniezioni, molto diffusi in Italia, in tutta Europa e anche negli Stati Uniti – racconta Valente – le vittime sono i nuovi clienti di un servizio. Durante l’attività di onboarding, mentre quindi si registrano i dati biometrici per la prima volta, viene inserito dai cyber criminali un video che proietta un’immagine che sembra reale ma in verità è un’identità artificiale”. Nel caso, per esempio, dell’apertura di un servizio di home banking, questo permetterebbe ai criminali di introdursi nel conto della vittima. È una tipologia di attacco sofisticata: “Richiede un livello tecnologico avanzato sia per essere creata ma anche per essere individuata – precisa la manager di Veridas -. Lo strumento di difesa deve essere in grado di riconoscere che c’è una manomissione in corso nel processo di onboarding”.
La soluzione di Veridas per la sicurezza dell’identità digitale e dei dati biometrici
Ovviamente, oltre a essere tecnologicamente avanzata la soluzione di sicurezza deve anche essere compliant: “Ad esempio, Veridas offre solo soluzioni completamente proprietarie, conformi alla legge sull’AI, al GDPR, all’eIDAS 2.0, alla PSD3 e a numerosi standard internazionali., come quelli legati all’infrastruttura essendo soluzioni erogate in cloud – precisa Valente -. L’azienda si è sottoposta spontaneamente ad audit per conseguire certificazioni che attestano la conformità agli standard e le soluzioni sono state controllate e sottoposte a test da enti terzi, per avere le massime garanzie di efficienza e sicurezza”. La tecnologia stessa “è sviluppata da Veridas. Non siamo dipendenti da database o terze parti e questo ci permette di essere rapidi nell’adeguamento normativo e di mantenere competenze interne molto forti. Inoltre, lavoriamo solo con datacenter europei e non conserviamo dati, li processiamo solo: i dati personali vengono gestiti per pochi istanti solo per effettuare l’elaborazione, poi vengono cancellati”, aggiunge.
La privacy è infatti un aspetto importantissimo: “Le referenze biometriche rinnovabili sono per ogni caso d’uso specifico, ma non sono uniche, sono relative e si rinnovano. Aggiungiamo inoltre un layer di sicurezza per rilevare la presenza di injection attack o comportamenti anomali del soggetto che sta utilizzando lo smartphone, ma anche per individuare strumenti come chatbot o emulatori che possono essere manifestazione del rischio di un attacco”, spiega l’esperta.
La soluzione per l’onboarding digitale dei clienti è Veridas Core che offre anche soluzioni di verifica dell’identità nei contact center con la biometria vocale, in grado di rilevare sofisticati falsi profondi: “Il vantaggio è la semplicità, è una soluzione pensata per i canali digitali, disponibile in cloud ed è integrabile con qualsiasi piattaforma e canale. Consente l’identificazione in real time dei rischi di frode, in pochissimi istanti rileva possibili accessi malevoli – aggiunge Valente -. In caso di attacco durante l’onboarding per aprire un conto corrente, ad esempio, al cliente finale della banca di solito arriva un messaggio di stop della procedura. La banca invece, rilevata la frode può chiedere un secondo fattore di verifica o sospendere momentaneamente la procedura e passare alla verifica fatta da un operatore”.
Articolo realizzato in partnership con Veridas
