di Domenico Aliperto
Ci siamo, il 2016 potrebbe essere l’anno di svolta per il roll out commerciale su larga scala di soluzioni biometriche evolute. Ad aprire le danze nel 2015 era stata Apple, con il sistema Touch ID (lettore di impronte digitali) che a partire dall’iPhone 6 ha sancito un legame indissolubile tra dispositivo e utente non solo per il riconoscimento e l’accesso al sistema (già disponibile sul modello 5S), ma anche quando si tratta di autorizzare transazioni digitali. Il salto di qualità da una gamma di funzioni all’altra ha però già fatto segnare un primo avvertimento agli utenti: in Gran Bretagna alcune delle banche che processano le operazioni fatte attraverso Apple Pay (Santander, NatWest, Royal Bank of Scotland, HSBC, First Direct, Lloyds e Halifax and Bank of Scotland) hanno informato i propri clienti che la detenzione sullo smartphone di più account riconoscibili attraverso Touch ID sarà considerata dal sistema di sicurezza alla stregua di un basso indice di capacità di protezione dei propri dati personali. E di conseguenza il servizio potrebbe essere disabilitato. Per essere sicuri che ciò non accada, gli utenti dovranno lasciare sul dispositivo solo la memoria delle impronte digitali associate ad Apple Pay. È il primo di una serie di “inconvenienti” che, c’è da esserne certi, capiteranno man mano che le tecnologie biometriche prenderanno piede nel mondo del mobile payment.
Nuove offerte per il mercato del largo consumo…
In apertura si era accennato a 2016 come anno di svolta. Entro l’estate dovrebbe infatti partire in UK prima e in altri 14 mercati poi il nuovo sistema di autenticazione di MasterCard basato sul facial recognition. Gli addetti ai lavori lo chiamano familiarmente ‘selfie pay‘, visto che permetterà agli utenti di pagare col proprio PC, smartphone o wearable senza dover inserire PIN o password, ma semplicemente, una volta scaricata la app di MasterCard, facendosi scansionare il volto dalla fotocamera del dispositivo. Un approccio non dissimile da ‘Smile to pay‘ proposto da Alibaba: al Cebit dell’anno scorso, infatti, il fondatore Jack Ma aveva dimostrato al pubblico di poter effettuare un pagamento sulla piattaforma di e-commerce semplicemente scattandosi una fotografia. La versione beta della soluzione è stata sviluppata da Ant Financial Services sulla tecnologia Face++ offerta dalla startup cinese Megvii. Google sta invece testando in California Hands Free, che permette ai clienti di store fisici (e ai loro smartphone) di essere automaticamente riconosciuti dalle telecamere e dal Bluetooth del negozio. Per saldare il conto autorizzando l’operazione via Android Pay è sufficiente dire al cassiere “Pago con Google” e fornire le proprie iniziali. Persino le banche tradizionali si stanno muovendo in questa direzione: in Gran Bretagna HSBC e First Direct hanno annunciato l’introduzione di sistemi basati su Touch ID e Voice recognition.
Sono tutte forme di strong authentication comode ed efficaci, senz’altro. Non a caso Juniper Research prevede che nel 2019 saranno scaricate circa 770 milioni di app dedicate all’autenticazione biometrica (attualmente i download sono sei milioni) con cinque miliardi di operazioni autorizzate, mentre Acuity Market Intelligence prevede per il 2020 un mercato globale da 2,5 miliardi di utenti che disporranno di 4,8 miliardi di dispositivi. Le revenue per gli sviluppatori, secondo ABI Research, già nel 2015 hanno raggiunto i 13,8 miliardi di dollari.
…e nuove sfide da affrontare
Ma esattamente come per il sistema di Cupertino, anche le tecnologie sopra citate pongono nuove questioni sui temi della privacy e della sicurezza dei dati personali. Perché se PIN e password possono essere cambiate con la stessa semplicità con cui possono essere dimenticate, i connotati fisici (retina, impronte digitali, voce, battito cardiaco e lineamenti del viso, solo per citare gli ambiti principali a cui si sta dedicando l’R&D del comparto) non possono essere alterati. E cosa succederebbe nel momento in cui questi dati inalterabili finissero nelle mani sbagliate? La prospettiva è quanto mai reale, visto che la scorsa estate la società specializzata in IT security FireEye Labs ha scoperto che le impronte digitali memorizzate dai dispositivi HTC One Max venivano conservate in un database accessibile a qualsiasi sviluppatore di app. Scoperta la falla, il produttore taiwanese è corso ai ripari, senza apparentemente alcun danno per gli utenti finali. Ma anche se in questo caso si è trattato di un errore grossolano, bisogna fare i conti col fatto che nessun sistema può dirsi assolutamente al sicuro da attacchi mirati. La cui precisione e la cui efficacia aumentano di pari passo con quelle delle nuove soluzioni.
Il primo problema, naturalmente, è quello dell’immagazzinamento dei dati all’interno del device: venendone in possesso o installando malware da remoto, i cyber criminali hanno vita facile sia per l’accesso alle informazioni personali contenuti nel dispositivo, sia per l’utilizzo delle applicazioni (anche di natura finanziaria) abilitate da quei parametri biometrici. L’alternativa è custodire il tutto in Cloud. Ma anche in quel caso sviste come quella di HTC o attacchi mirati di professionisti (per esempio tramite il controllo delle app che fanno da ponte tra smartphone e data center) continuano a rappresentare una seria minaccia per l’integrità della privacy degli utenti finali. C’è poi un terzo elemento, stavolta a valle di tutta la filiera: per quanto avanzate, le piattaforme biometriche attualmente disponibili non sono ancora capaci di garantire performance efficaci al 100% in tutte le circostanze d’uso. Per esempio, la maggior parte dei lettori di impronte digitali lavora con un margine d’errore che va dall’1 al 3%. Hacker e truffatori possono dunque fare leva anche su queste debolezze.
Il futuro? L’integrazione con il Blockchain
Se le tecnologie e le interfacce si affineranno col tempo, sul fronte della protezione dei dati le novità più promettenti arrivano dalla logica del Blockchain. Con un sistema di autorizzazione di accesso ai dati di tipo distribuito e con la creazione di identità decentralizzate grazie all’approccio multisignature, vengono infatti meno tutti i problemi che affliggono e affliggeranno sempre lo storage tradizionale. Che le cose siano già in fermento lo dimostra la partnership appena annunciata tra BitGo, che si occupa per l’appunto di security dedicata alle crittomonete, e HYPR, startup newyorchese specializzata in soluzioni biometriche. La collaborazione punta a integrare gli strumenti di login biometrici di HYPR con la piattaforma multisignature di BitGo, aggiungendo quindi all’identità decentralizzata su tutti i dispositivi che compongono il network un ulteriore livello di verifica creato con il riconoscimento fisico dell’utente. Le due società hanno unito le forze soprattutto nell’ottica di proporre ai grandi gruppi finanziari una soluzione chiave in mano basata sul protocollo FIDO (Fast identity Online). Se il progetto avrà successo, nascerà una piattaforma virtualmente inattaccabile.