Biometria: come si sta muovendo il Gruppo ICBPI

Successivamente all’emanazione delle linee guida in tema di sicurezza dei pagamenti su Internet che la Banca Centrale Europea ha introdotto lo scorso anno ed a quelle dell’European Banking Authority che ne hanno ribadito l’importanza, risulta evidente che, quest’anno, uno dei principali obiettivi in ambito sicurezza informatica per gli istituti finanziari è proprio quello di ridurre al minimo la probabilità di accadimento delle più comuni minacce riguardanti le transazioni online.

Una delle raccomandazioni più rilevanti della BCE risulta essere quella dell’adozione di metodi di “autenticazione forte” (o strong authentication) per l’utente da applicare nella fase di autenticazione e autorizzazione di una procedura di pagamento. Per poter essere considerata “forte”, e quindi verificare l’identità di un utente, l’autenticazione deve utilizzare due dei seguenti tre fattori:
• qualcosa che l’utente conosce (ad esempio una password o un codice PIN)
• qualcosa che l’utente ha (ad esempio, una carta d’identità, una smart card, un token su dispositivo mobile, un hardware dedicato oppure un software)
• qualcosa che l’utente è (ad esempio un parametro biometrico come l’impronta digitale)

riconocimento-faccialeIn riferimento proprio a quest’ultimo punto e cioè al fattore di autenticazione tramite parametri biometrici, il Gruppo ICBPI ha attivato un‘iniziativa specifica, che grazie all’utilizzo di un’applicazione mobile permette di rilevare parametri biometrici dell’utente interessato.
Innanzitutto va ricordato che per poter utilizzare i dati biometrici come fattore di autenticazione, la soluzione richiede che l’utilizzatore debba essere in possesso di:
• un dispositivo che sia in grado di rilevare e comunicare tali dati. Lo strumento che, ad oggi, risulta essere il più consono è lo smartphone, un device dotato di interfaccia semplice ma tempo stesso completa, poco ingombrante, accessibile solo al proprietario, molto diffuso e poco costoso.
• un’applicazione mobile installata sullo smartphone e che sia in grado di gestire i flussi di dati biometrici e che garantisca l’accuratezza dell’identificazione e la certezza dell’autenticazione dell’utente.
Per la soluzione e dopo uno studio approfondito sui vari dati biometrici utilizzabili quali: impronta digitale, geometria della mano, retina, iride, firma, riconoscimento facciale e riconoscimento vocale, si è deciso di optare per gli ultimi due qui citati. Infatti, esperienza d’uso molto semplice, significativa disponibilità di soluzioni sul mercato e velocità di utilizzo sono solo alcuni dei punti di forza che accomunano il riconoscimento facciale e vocale.
All’interno dell’applicazione è stata, quindi, sviluppata una specifica sezione che permette di effettuare l’enrollment e la creazione dei template biometrici. Per quanto riguarda l’enrollment facciale basta seguire le poche istruzioni ed attendere che la webcam frontale rilevi il volto ed il gioco è fatto, un messaggio informerà l’utente sulla conclusione del processo. Per quanto riguarda la registrazione dell’impronta vocale, l’utente è tenuto a seguire una procedura di challenge in cui deve legge per più volte un testo randomico.
Successivamente alla creazione dei template biometrici, l’utente è in grado di effettuare il login al suo account ed approvare pagamenti utilizzando uno dei due dati biometrici identificati.
Non va dimenticato però che la normativa italiana sulla Privacy prevede che non siano utilizzati “database” biometrici, quindi i template biometrici devono essere memorizzati in locale (sul device dell’utente) in modo sicuro con tecniche di cifratura dedicate come: BioHashing, cifratura omomorfiche, fuzzy, etc.
Di conseguenza, l’applicazione sviluppata ed il device sul quale la si installa sono stati resi “Tamper Proof” e cioè:
• Non è possibile eseguire il reverse engineering dell’applicativo (obfuscation del codice)
• Il dispositivo non è «rooted»
• L’applicazione è sviluppata secondo tecniche di sviluppo di codice sicuro per garantire l’immunità ad attacchi provenienti da eventuali malware presenti sul dispositivo
In conclusione, l’utilizzo dei dati biometrici per l’identificazione dell’utente e l’autorizzazione della transazione si sta diffondendo sempre di più tra le realtà finanziarie sottolineandone il potenziale in termini di sicurezza e user experience. Qui di seguito sono riportati solo alcuni casi concreti:
• Barclays: La divisione Wealth & Investment di Barclays UK ha implementato la biometria vocale di Nuance nel proprio call center di Glasgow;
• Bankinter: La spagnola Bankinter offre una mobile App., sviluppata da Mobbeel, di riconoscimento dell’iride per autorizzare l’accesso dei clienti ai servizi di mobile trading;
• Fineco: i clienti Fineco che utilizzano l’app mobile per iphone possono accedere al conto corrente utilizzando la funzionalità Touch ID integrata nei più recenti dispositivi Apple;
• ING: la nuova App vocale per il Mobile Banking di ING chiamata Inge permette di controllare il saldo o accedere al conto corrente, con il solo utilizzo della voce.