Storia
dal 2014 a oggi
Tra telecamere nelle aule e rilevatori
di impronte digitali agli ingressi, si prospetta un clima da "guerra
fredda" tra dipendenti e ministero dove i rapporti saranno garantiti più
da uno scambio tecnologico che non da un rapporto umano. La storia documentata
ci dice, purtroppo, che in tante situazioni la scaltrezza ha preso il posto
della fiducia tra persone. Nel 2014, l’Autorità della Privacy ha pubblicato le “
Linee-guida in materia di riconoscimento biometrico e firma grafometrica”. Il
documento presenta un sicuro profilo di interesse, costituito dall’elencazione
dei principi in base ai quali si può (deve) stabilire se è un trattamento di
dati biometrici sia o meno realizzabile: Liceità, Necessità, Finalità e Proporzionalità.
Il punto più tranciante è sicuramente quello della cd. “Necessità” del
trattamento del dato biometrico. L’Ordinamento, in estrema sintesi, vieta
l’utilizzo dell’impronta digitale al posto del cd. “cartellino” oppure badge
magnetico proprio perché tali metodi esistono e sono, in genere, seppur non
ugualmente efficaci e precisi, sostanzialmente equiparabili allo strumento
tecnologicamente più avanzato. Oggi si prevede l’obbligo di sistemi di
rilevazione biometrica delle presenze perché sono compatibili con la “legge
sulla Privacy” (Il Garante della Privacy ha dato parere favorevole
(provvedimento n.357 del 15 Settembre 2016) in merito all'installazione di un
sistema di rilevazione presenze biometrico ( con impronte digitali) sul luogo
di lavoro. In seguito all'istanza presentata da un'azienda ospedaliera del Sud,
è stato riconosciuto legittimo l'installazione di un sistema di rilevazione
presenze con impronta digtale, al fine di prevenire gli abusi (nel caso
spcifico "cedere il badge a un collega affinché timbri al suo
posto"). È chiaro che questa nuova visione del controllo deve essere
coerente con la complicance del General Data Protection Regulation (GDPR), dove
la protezione dei dati personali è legata al profilo dei diritti e delle
libertà fondamentali. Il trattamento di dati biometrici, secondo le indicazioni
del Regolamento comunitario n. 679/2016 (ex art. 4, comma 1, punto 14): «dati
biometrici»: i dati personali ottenuti da un trattamento tecnico specifico
relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una
persona fisica che ne consentono o confermano l’identificazione univoca, quali
l’immagine facciale o i dati dattiloscopici»), dovrebbero essere utilizzati a
fronte di una esigenza “indilazionabile” di identificazione o autenticazione
univoca di una persona fisica: in casi eccezionali e limitati.
Tali dati
personali non dovrebbero essere oggetto di trattamento, a meno di una forte
giustificazione motivazionale, coerente con il Regolamento comunitario, tenendo
conto che l’acquisizione di tali dati dovrebbe essere legata ad un compito di
interesse pubblico o per l’esercizio di pubblici poteri collegati ad “esigenze
strategiche e di sicurezza nazionale”.
Come
funzionano i procedimenti biometrici?
L'espressione biometria deriva dal greco
e contiene le parole "bios" (vita) e "metron" (misura). La
biometria è quindi la scienza che si occupa dell'applicazione di metodi
matematico-statistici per la rilevazione di tratti peculiari fisici e
comportamentali degli esseri viventi. A seconda di quale caratteristica viene
presa in esame, varia il grado di precisione con cui la persona può essere
identificata. Nella prassi, l'impronta digitale e la scansione dell'iride si
sono dimostrate le caratteristiche più adatte ai sistemi biometrici.
L'impronta
digitale, secondo i sondaggi più recenti, gode del più alto consenso tra gli
utenti. Indipendentemente dal procedimento, in un efficiente lettore biometrico
viene prodotto un campione (template di referenza). A tale scopo, l'utente
registra dapprima nel lettore la caratteristica biometrica, che viene poi
trasformata in un codice binario e salvata. È possibile fin da subito l'uso del
lettore, il quale mette a confronto la caratteristica biometrica e il campione.
Se questi coincidono, viene consentito l'accesso.
Attacchi
con false impronte
La resistenza dei dispositivi
commerciali agli attacchi con false impronte è stata studiata in recenti lavori
tra cui:
·
Fingerprint
recognition–don’t get your fingers burned [Van der Putte, Keuning, 2000]
·
Impact
of artificial “gummy” fingers on fingerprint systems [Matsumoto, 2002]
·
Fake
Finger Detection by Skin Distortion Analysis [A. Antonelli, R. Cappelli, D.
Maio and D. Maltoni - IEEE Transactions on Information Forensics and Security,
2006]