Esistono diverse problematiche legate all’utilizzo di questo nuovo sistema di identificazione

Ormai il telefonino è diventato il diario di bordo della vita quotidiana degli utenti, e in esso sono contenute grandi quantità di informazioni, tra cui contatti della rubrica, profili social, messaggi sms e di WhatsApp, nonché selfie e immagini varie, che la maggioranza delle persone cerca di tenere al riparo da occhi indiscreti. Ma impedire in modo efficace che altri vi accedano senza la tradizionale password non è sempre pratico come si vorrebbe. Dalla tecnologia arrivano però soluzioni biometriche che fino a qualche anno fa erano considerate roba da fantascienza.

I colossi della tecnologia stanno infatti ricorrendo a funzioni sempre più sofisticate per cercare di blindare smartphone ed altri dispositivi elettronici, come ad esempio Apple che ha inserito l’impronta digitale touch ID sugli iPhone, o Samsung che nel nuovo Galaxy Note 7 (in uscita a settembre sul mercato italiano) ha previsto l’autenticazione mediante la scansione a raggi infrarossi dell’iride, che assicura una precisione di identificazione addirittura superiore a quella dell’impronta del dito.

Sembrerebbe quindi che, per chi vuole proteggere la propria privacy e difendere le informazioni contenute sul telefonino dai curiosi, basti guardare per due secondi o meno il display, così che il solo legittimo proprietario possa essere riconosciuto in modo pressoché univoco ed ottenere l’accesso al dispositivo. Ma potrebbe non essere tutto oro quello che luccica.

Dato che l’utilizzo di dati biometrici presenta infatti delle zone grigie e punti interrogativi che richiamano alla prudenza, prima di affidarsi troppo bonariamente a sistemi dotati di scanner dell’iride per l’autenticazione allo smartphone o in app di terze parti, è saggio fare prima alcune considerazioni, a partire dal fatto che mentre una password può essere cambiata tutte le volte che lo si ritiene opportuno, gli occhi di una persona sono solo due, e in caso di furto della scansione della propria struttura oculare non ci sarà perciò alcuna possibilità di cambiare le credenziali, originando un problema che l’utente potrebbe trascinarsi a vita.

A questo proposito, è preoccupante la notizia che negli Stati Uniti l’FBI ha raccolto circa 430mila scansioni dell’iride di persone che avevano avuto dei problemi con la giustizia, le quali sono state a loro insaputa schedate ed inserite in un enorme archivio condiviso con il Pentagono e la polizia di frontiera.

Se infatti le autorità americane sono riuscite, nel massimo riserbo, a mettere in piedi una simile  banca dati, non è da escludere che questa possa a sua volta essere trafugata da hacker che intendono usarla per scopi criminosi, come ad esempio per accedere abusivamente agli account degli utenti che utilizzano lo scanner dell’iride nei servizi di pagamento online.

E non è da sottovalutare neanche il test condotto negli USA dai ricercatori della Carnegie Mellon University, che hanno dimostrato di essere in grado di eseguire la scansione dell’iride dei guidatori d’auto da una distanza di 12 metri, utilizzando l’immagine degli occhi riflessa dallo specchietto retrovisore del loro veicolo.

Non con l’intenzione di invocare una sorta di “caccia alle streghe”, ma giusto per avere consapevolezza sul tipo di informazioni che possono essere ricavate dall’analisi dell’occhio umano, può anche essere utile sapere che non solo è possibile ottenere degli elementi biometrici identificativi dall’iride, ma dalla struttura oculare si possono ottenere anche altre informazioni sensibili sulla persona, come ad esempio circa l’assunzione di farmaci o droghe: infatti con certe sostanze stupefacenti eccitanti come cocaina o anfetamina le pupille si dilatano vistosamente (midriasi), mentre sotto effetto di altre con effetto sedante come eroina o morfina tendono a restringersi notevolmente (miosi).

Poiché l’utilizzo di dati biometrici, come la scansione dell’iride, é sotto il profilo giuridico un trattamento soggetto a rischi specifici per i diritti, le libertà fondamentali e la dignità dell’interessato, la normativa sulla protezione dei dati personali prescrive che possa essere effettuato solo nel rispetto dei principi cardine del Codice della Privacy relativi a liceità, necessità, finalità e proporzionalità, a condizione che venga data un’idonea informativa all’interessato, che si adottino adeguate misure di sicurezza, che si provveda quando richiesto ad una verifica preliminare da parte del Garante, e che il titolare notifichi sempre all’Authority ogni violazione (data breach) o incidente informatico (accessi abusivi, azioni di malware, etc.) entro 24 ore dal momento in cui viene a conoscenza del fatto, adempimento quest’ultimo che deve essere osservato anche nei casi in cui, pur non essendo stato rilevato un impatto diretto sui dati, questi possano essere stati comunque esposti a rischi di violazione. (Vedasi schema comunicazione “data breach”)

I consigli per gli utenti, da seguire per poter decidere se usare o meno un sistema di autenticazione dotato di scanner dell’iride sul proprio smartphone, sono quelli di leggere accuratamente l’informativa per conoscere nel dettaglio come saranno trattati i propri dati personali (in particolare quelli biometrici), appurare se la procedura di acquisizione del campione (biometric enrolment) comporta la memorizzazione sul dispositivo o l’acquisizione all’esterno nei server dell’azienda che fornisce il servizio, accertare se questa utilizza sistemi cloud con eventuale trasferimento dei dati all’estero in nazioni considerate non sicure, (se le informazioni vengono trattate negli USA occorre controllare anche che il titolare aderisca al meccanismo del “Privacy Shield”), e verificare se le condizioni d’uso provvedano qualche forma di tutela per l’utente sui rischi derivanti dall’utilizzo del servizio, o contengano solo dichiarazioni di manleva ed esonero da responsabilità unicamente a favore del provider del servizio.

Se come si dice “gli occhi sono lo specchio dell’anima”, e si sta pensando di servirsi di un sistema di autenticazione mediante la scansione dell’iride per proteggere i contenuti del proprio smartphone, è opportuno perciò valutare bene tutti i pro e i contro prima di farsi contagiare dall’entusiasmo.

A cura di Nicola Bernardi, presidente di Federprivacy