Truffe con il riconoscimento facciale, l'importanza della vivezza della caratteristica biometrica

Una recente notizia comparsa sullo stampa internazionale riportava l’arresto in Brasile di una persona che otteneva fraudolentemente prestiti bancari. Fin qui si direbbe nulla di nuovo (purtroppo) ma è la tecnica utilizzata a destare interesse: Il truffatore, dopo essersi procurato le fotografie di possessori di conti correnti bancari fruitori dei servizi di app mobile, posizionava le foto su di un manichino e in questo modo attraverso il riconoscimento facciale dell’app mobile della banca accedeva ai loro conti correnti bancari contraendo prestiti.

Questa notizia di cronaca, degna di un copione cinematografico, è utile perché ci ricorda l’importanza del concetto di “vivezza della caratteristica biometrica” già affrontato in passato dalla nostra Autorità Garante per la protezione dei dati personali. Nel Provvedimento generale prescrittivo in tema di biometria del 12 novembre 2014 si raccomandava, con riferimento all’impronta digitale, di scegliere sensori in grado di rilevare la c.d. “vivezza” della caratteristica biometrica.

Si tratta, in altri termini, del rilevamento di differenti parametri di forma e fisiologici in modo da impedire grossolane falsificazioni della caratteristica biometrica impiegata (nel caso delle impronte digitali, il controllo di vivezza prende in considerazione la deformabilità, il comportamento in torsione dell’impronta all’atto della sua apposizione sul sensore, la presenza di circolazione sanguigna, la temperatura, la conduttività elettrica, ecc.).

La clonazione di un'impronta digitale

Anche in quella occasione la nostra Autorità Garante prese spunto da una notizia di cronaca del 2002 riguardante il fenomeno delle impronte digitali finte. Un ricercatore giapponese dimostrò come fosse possibile, con un investimento minimo, clonare un’impronta digitale. Il ricercatore realizzò un calco di un dito, utilizzando una comune resina di tipo plastico, reperibile in qualsiasi negozio di prodotti artistici. Dopodiché versò della gelatina liquida nel calco e la lasciò solidificare.

La gelatina era quella di tipo alimentare, che viene venduta in sfoglie e che viene utilizzata in cucina per la realizzazione di torte e crostate. Il ricercatore prese poi in esame undici lettori di impronte digitali, tra i più noti sul mercato, e riuscì ad ingannarne ben otto, semplicemente utilizzando la copia di gelatina al posto del dito originale.

Il risultato ottenuto dal ricercatore giapponese ha richiesto la partecipazione e collaborazione dell’interessato, ma le cronache riferiscono della clonazione di un’impronta digitale all’insaputa della persona. Autore dell’episodio fu il noto gruppo di hackers denominato Chaos Computer Club. Vittima dell’attacco fu, addirittura, il Ministro dell’Interno tedesco Wolfgang Schauble, che aveva proposto di inserire le impronte digitali nei passaporti dei tedeschi. Gli hackers, non solo clonarono la sua impronta, ma la diffusero nel marzo del 2008 attraverso la rivista Die Datenshleuder in quattro mila copie.

Articolo di Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie e docente Ethos Academy