Dati biometrici: un nuovo concetto di identità e sicurezza

Data di pubblicazione: 30 Settembre 2022

I dati biometrici sono sempre più utilizzati in moltissimi ambiti per garantire sicurezza e limitare l’accesso a luoghi fisici o virtuali solo a chi supera un adeguato processo di autenticazione.
Sono estremamente affidabili ma sollevano anche parecchi dubbi in merito a etica e privacy.

Cosa sono esattamente? Come vengono utilizzati?
Vediamo ogni dettaglio in questo articolo.

Indice dei contenuti

Cosa sono i dati biometrici e a cosa servono

I dati biometrici sono speciali dati personali che riguardano caratteristiche uniche e ben precise utili per identificare e autenticare in maniera univoca una persona fisica.
Nello specifico è il GDPR a fornire una definizione dettagliata, definendoli nell’art.4, par.1, n.14 “dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici”.

Cosa sono esattamente?
Si parla di impronte digitali, dei lineamenti del viso, della tonalità della voce, della conformazione fisica di mani e piedi, delle caratteristiche dell’iride o della cornea: tutte quelle informazioni, insomma, che definiscono una persona rendendola se stessa e differente da chiunque altro.

I dati biometrici hanno un’enorme importanza perché vengono raccolti grazie a dei database che li memorizzano in un sistema per poi confrontarli con i dati rilevati successivamente.
O meglio: si acquisiscono i dati tramite appositi sensori e poi li si usano come riferimento ogni volta che si presenta una nuova impronta biometrica.
Facendo il confronto – se il riconoscimento va a buon fine – si può procedere all’autenticazione.
Questo sistema di rilevazione è possibile grazie a tecnologie hardware e software e si divide in quattro fasi:

Nella fase di enrollment l’utente si registra e si crea l’impronta biometrica di riferimento.
Vengono raccolti immagini e suoni relativi all’utente e si crea un template. Grazie a un algoritmo il sistema di acquisizione dati si adatta di volta in volta.
Il template viene memorizzato per essere usato come modello di riferimento.
Si arriva al confronto vero e proprio tra la nuova impronta e quella memorizzata nel template.

Cosa significa biometrico?

I dati biometrici identificano con precisione un individuo senza alcun margine di dubbio e garantiscono massima sicurezza nel trattamento degli stessi.
Perché vengono definiti in questo modo?

Il nome deriva dal termine biometria, che letteralmente significa vita (bìos) e misura (métron).
La biometria è infatti una scienza che studia tutte le grandezze biofisiche per individuarne i meccanismi, comprenderne il funzionamento, misurarne il valore e usarle per azionare determinati comportamenti in specifici sistemi tecnologici.

Questa disciplina, inoltre, stabilisce che ogni individuo vivente ha caratteristiche definibili come:

Universali: tutti devono presentare tale caratteristica.
Uniche: non possono esserci due individui con la stessa caratteristica.
Permanenti: le caratteristiche non variano nel tempo.
Collezionabili:le caratteristiche possono essere misurate in quantità.

I principali tipi di dati

I dati biometrici, come già anticipato, si dividono in caratteristiche fisiologiche e comportamentali.

Le prime sono ciò che riguardano il nostro corpo e tra i tratti più rilevanti troviamo l’impronta digitale, il DNA, la fisionomia del viso, la forma e le linee delle mani, il colore degli occhi, la dimensione dell’iride, la forma dei piedi e tutti quei dettagli che variano, anche se di poco, da individuo a individuo.
Le caratteristiche comportamentali, invece, sono una categoria più mutevole che comprende il tono di voce, la grafia, i movimenti e i gesti, le azioni che si compiono, l’andatura o il ritmo di battitura.

Tutti questi dati, presi nell’insieme, creano l’identikit completo di una persona, fornendo un’identità biometrica affidabile e riconoscibile.
In base all’informazione di cui si dispone, si può quindi procedere all’autenticazione in totale sicurezza, procedendo, a seconda dei casi, con:

riconoscimento facciale: basato sull’analisi dei dati relativi al volto. È spesso utilizzato per limitare e controllare gli accessi a luoghi riservati e sotto stretta sorveglianza.
riconoscimento vocale: si basa sul rilevamento della voce ed è molto popolare anche in contesti domestici, grazie alla diffusione di speaker e assistenti vocali presenti ormai in moltissime case.

Il riconoscimento vocale sfrutta i dati biometrici per controllare i dispositivi e consentire un dialogo.

Dati biometrici vs dati biomedici vs dati dattiloscopici

Parlando di dati biometrici può venire spontaneo pensare anche ai dati biomedici e ai dati dattiloscopici, che fanno parte di una stessa ampia famiglia e presentano caratteristiche molto simili.
Quali sono le differenze?

La biomedicina è una particolare branca della scienza medica che incorpora nella pratica clinica e nei processi patofisiologici i principi della biologia, della chimica e delle scienze naturali.
Analizza quindi le interazione molecolari comprendendone i meccanismi e le conseguenze che hanno sulla vita.
Ha una grande importanza per lo sviluppo di nuove tecniche diagnostiche e terapeutiche e rappresenta una risorsa molto preziosa sia per l’interesse pubblico che per quello privato.

La dattiloscopia, invece, è lo studio dei caratteri presentati dalle linee rilevate della cute.
Queste linee sono le creste cutanee papillari – chiamate anche dermatoglifi – e hanno una conformazione tale da risultare particolarmente evidenti ma soprattutto differenti per ogni individuo.
Le più importanti sono quelle presenti sulle piante dei piedi e sui polpastrelli delle dita delle mani (le impronte digitali) e rimangono costanti e uguali a se stesse per tutta la vita della persona.

I dati dattiloscopici giocano un ruolo chiave nell’ambito giudiziario, diventando parte fondamentale di indagini e processi.

Dati biometrici e sicurezza: quando temere rischi

Affidarsi a sistemi basati su dati biometrici è oggi è una scelta molto frequente e usata da moltissime aziende per tutelare la privacy delle proprie informazioni.
Ma è corretto affermare che questi dati sono davvero sicuri e privi di rischi?

Sicuramente il riconoscimento biometrico offre molte più garanzie rispetto ai sistemi identificativi tradizionali, che il più delle volte prevedono di mostrare dei documenti – come carta d’identità o passaporto – che si possono facilmente trafugare, modificare e contraffare.
I pericoli però esistono comunque ed è importante esserne consapevoli e sapersi difendere.

La maggior parte delle minacce deriva dalle scoperte tecnologiche che si sono sviluppate nel campo del cyber crime e sono infatti numerosi gli strumenti alla portata di hacker e malintenzionati.
L’applicazione VeriFinger, per esempio, può replicare un’impronta digitale creandone una copia partendo da una semplice foto.

Esistono inoltre dei sistemi in grado di combinare diverse caratteristiche particolarmente comuni nelle impronte digitali per trovare la corrispondenza esatta e sbloccare un dispositivo protetto.
Gli schermi degli smartphone sono infatti molto piccoli e leggono le impronte solo parzialmente rivelandosi vulnerabili e potenzialmente raggirabili.
Infine i programmi per videoconferenze e i dati audio sono un’ottima porta di ingresso per i malware, tra cui spicca DeepLocker, uno dei primi virus capaci di sfruttare i punti deboli dell’Intelligenza Artificiale.

I sistemi basati su dati biometrici nascondo quindi delle fragilità che non bisogna sottovalutare per non temere violazioni.

Come tutelare la privacy?

L’uso massiccio dei dati biometrici e la loro ampia diffusione hanno sollevato grossi dubbi relativi alla privacy e alla sicurezza.
Trattandosi di informazioni strettamente personali e riservate, infatti, è lecito chiedersi se la tutela degli stessi è davvero garantita o se c’è il rischio di subire violazioni, abusi, frodi o ricatti.

Quando si trattano i dati biometrici è fondamentale impegnarsi a rispettare l’individuo e usare ogni mezzo per non ledere la dignità e l’identità della persona fisica.
Per far sì che questo avvenga in un’azienda è una buona soluzione affidarsi a un Data Protection Officer (DPO), ossia una figura prevista dalle norme del GDPR e responsabile della protezione dei dati.

Questo professionista conosce tutte le normative vigenti relative alla privacy e sa quali sono le procedure adatte per rispettarle.

Inoltre si occupa di formare e sensibilizzare i dipendenti sul tema, assicurarsi che le norme e le regole siano rispettate e vigilando costantemente sulla salvaguardia dei dati.

Trattamento dati biometrici – Regolamentazione generale

Il GDPR, ossia il regolamento europeo per il trattamento dei dati personali entrato in vigore nel 2008, stabilisce le modalità con cui si devono gestire i dati biometrici assicurando il massimo livello di sicurezza.
In linea generale l’utilizzo di questi dati è vietato e non è possibile sfruttarli per tornaconto personale, a scopo di lucro o per fini illeciti.

I dati biometrici sono infatti dati sensibili e come tali devono essere tutelati salvaguardando la privacy di privati e aziende.
Ci sono però dei casi straordinari – definiti dal paragrafo 2 dell’art.9 del GDPR – in cui sono previste delle deroghe al divieto.
Queste eccezioni sono:

Previo consenso dell’interessato
Per questioni legate al diritto del lavoro, alla sicurezza sociale e alla protezione sociale
Per tutelare la vita dell’interessato o di un’altra persona fisica
Se esistono adeguate garanzie e a condizione che i dati personali non siano comunicati a terze parti senza il consenso dell’interessato
Se i dati personali sono resi pubblici dall’interessato
Per accertare, esercitare o difendere un diritto di tipo giudiziario
Per salvaguardare l’interesse pubblico e tutelare i diritti fondamentali
Se è necessario per affrontare minacce alla sanità pubblica
Per agevolare l’archiviazione nel pubblico interesse e per favorire la ricerca scientifica o storica

Cookie	Durata	Descrizione
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	2 years	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Durata	Descrizione
__kla_id	2 years	Cookie set to track when someone clicks through a Klaviyo email to a website.
SRM_B	1 year 24 days	Used by Microsoft Advertising as a unique ID for visitors.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-137720848-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gat_UA-35242002-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
ajs_anonymous_id	1 year	This cookie is set by Segment to count the number of people who visit a certain site by tracking if they have visited before.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
ANONCHK	10 minutes	The ANONCHK cookie, set by Bing, is used to store a user's session ID and also verify the clicks from ads on the Bing search engine. The cookie helps in reporting and personalization as well.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cosa sono i dati biometrici e a cosa servono

Cosa significa biometrico?

I principali tipi di dati

Dati biometrici vs dati biomedici vs dati dattiloscopici

Dati biometrici e sicurezza: quando temere rischi

Come tutelare la privacy?

Trattamento dati biometrici – Regolamentazione generale

Contattaci

Ultime News Cyber Security

Smishing: cos’è e come difendersi da questi attacchi informatici

La Strategia Nazionale di Cybersicurezza entra nel vivo: cos’è e cosa prevede per le PMI

Sicurezza di rete: ecco come proteggersi con efficacia

Direttiva NIS2, cosa cambia in materia di sicurezza dei dati

VPN aziendale: proteggere i dati grazie a reti private

Ransomware, i dati 2021, le cyber assicurazioni e i consigli per le PMI

Cyber Security Manager: chi è, cosa fa e quali competenze ha

ISMS: come gestire le risorse IT (ma non solo) in totale sicurezza

Security Operation Center (SOC): come gestire con efficacia la sicurezza IT

Virus euristico: come riconoscerlo e come difendersi con efficacia

Cookie	Durata	Descrizione
__awc_tld_test__	session	No description
_clck	1 year	No description
_clsk	1 day	No description
_hjSession_1956240	30 minutes	No description
_hjSessionUser_1956240	1 year	No description
AnalyticsSyncHistory	1 month	No description
CLID	1 year	No description
last_pys_landing_page	7 days	No description
last_pysTrafficSource	7 days	No description
li_gc	2 years	No description
pys_first_visit	7 days	No description
pys_landing_page	7 days	No description
pys_session_limit	1 hour	No description
pys_start_session	session	No description
pysTrafficSource	7 days	No description
SM	session	No description available.