Biometria: si fa largo il doppio riconoscimento

Per l’accesso al mobile banking non basta il riconoscimento facciale, meglio combinarlo con quello vocale. Ma alcuni dubbi rimangono.

Dopo l’introduzione, due anni fa, dell’Apple Touch ID negli iPhone di ultima generazione due anni fa, anche l’altra parte del cielo – il folto gruppo di fedelissimi Microsoft – fa il suo ingresso nel mondo del riconoscimento biometrico. Tra le nuove funzionalità introdotte in Windows 10, infatti, c’è Windows Hello che permette l’autenticazione da Pc via riconoscimento facciale, scansione dell’iride o lettura dell’impronta digitale.L’unica limitazione, ovvia e non sottovalutabile, è che il pc deve avere uno scanner biometrico. Anche per il riconoscimento facciale, Microsoft, al contrario di quanto avviene su Android dove basta la fotocamera dello smartphone o del tablet, non ritiene la webcam integrata nel Pc abbastanza sicura richiedendo la presenza di una fotocamera a infrarossi.

Biometrics011Difficile immaginare che da qui a Natale ci sia una corsa all’acquisto di Pc debitamente carrozzati, è molto più prevedibile che Windows Hello sarà introdotto, con relativo upgrade del parco macchine, in ambienti governativi e tra le aziende. Anzi, Microsoft punta proprio sulle caratteristiche restrittive di Windows Hello per confermare la propria presenza in determinati ambiti corporate, nonostante si sappia che nessuna tecnologia, che sia il riconoscimento facciale, tramite iride o impronta digitale, è immune da spoof. Ma, comunque, la casa di Redmond garantisce un falso su 100mila accessi, un valore molto alto.
Anche se la vecchia password alfanumerica tiene duro, il trend è evidentemente segnato e il settore bancario si dimostra decisamente l’apripista per una nuova politica di accesso sicuro.

 

Non si parla solo di accesso diretto alle funzionalità di mobile banking via tablet o smartphone ma anche e soprattutto di un supporto, tramite app o livelli software intermedi, ai sistemi di pagamento già introdotti come Apple Pay.
MasterCard, per esempio, partirà questo autunno con una sperimentazione che prevede l’acquisto online attraverso riconoscimento facciale o con l’impronta digitale. È facile che l’accesso biometrico sostituisca a breve l’acquisto via carta di credito regolarizzato da password fissa o temporanea. O, almeno, questo è l’intento. In questo caso l’idea è di richiedere, tramite app specifica, l’autorizzazione al pagamento via riconoscimento facciale ogni volta che l’utente dello smartphone o del tablet procede a un acquisto, indipendentemente dal sito di ecommerce.
Interessante la richiesta di battere le ciglia per il riconoscimento facciale, il che tutelerebbe dall’utilizzo di foto del viso, il trucco più utilizzato dai truffatori. Inoltre, l’immagine valida non viene memorizzata nello device ma viene prima convertita in uncodice alfanumerico tramite uno specifico algoritmo che valida l’accesso e viene memorizzato nei server MasterCard e non inlocale. In questo modo, anche se l’operatore non è in grado di ricostruire l’immagine del viso dell’utente, rimane il problema della mancata memorizzazione dei dati sensibili all’interno dello smartphone, ed è questa la critica maggiore mossa a MasterCard. Ulteriore sperimentazione messa in pista da MasterCard prevede l’autenticazione per un pagamento online attraverso il riconoscimento del battito del cuore via braccialetto digitale.

In ambito bancario, parlando di accesso al mobile banking, sembra che attualmente la strategia più seguita preveda una autenticazione basata su due sistemi biometrici contestuali. Icbpi, come leggiamo qui (LINK), ha sviluppato una app per dispositivi mobili che prevede l’autenticazione sia attraverso riconoscimento facciale che vocale e che prevede la memorizzazione dei dati sensibili in locale per questioni di privacy.
La combinazione viso-voce sarebbe, in questo momento, la più apprezzata da molti enti bancari. Anche se, come già accennato, i dubbi rimangono. In primo luogo l’autenticazione facciale deve permettere di tutelarsi da un riconoscimento avvenuto via foto e dai limiti delle app che gestiscono la fotocamera, notoriamente non le più sicure. Ancora, rimane aperto il dibattito su quanto e come devono essere cifrati il file immagine e il file audio e, soprattutto, su dove devono risiedere, se in locale, all’interno del device, sulla cloud sicura dell’ente bancario o in entrambi.