Nell'ambito dell'Ict il termine “biometria” indica un insieme di tecnologie finalizzate a riconoscere una persona tramite caratteristiche fisiche o comportamentali distintive che rimangono stabili nel tempo. Il riconoscimento può avere due diversi scopi: - l'autenticazione dell'identità, cioè la verifica volta ad accertare che una persona sia realmente chi afferma di essere (confronto “uno a uno”) - l'identificazione, cioè la scoperta dell'identità di una persona (ovviamente con riferimento a un gruppo circoscritto di identità note; si tratta in questo caso di un confronto “uno a molti”). Le tecnologie biometriche sono utilizzate in alternativa o in aggiunta alle modalità di riconoscimento tradizionali, che nel caso dell'autenticazione si basano sul possesso di un oggetto (ad esempio una chiave) o sulla conoscenza di un'informazione (una password o un Pin), mentre nel caso dell'identificazione si basano prevalentemente sulla capacità dell'uomo di riconoscere un viso confrontandolo con una fotografia. La biometria - proprio come le modalità di riconoscimento tradizionali - ha principalmente lo scopo di impedire o perseguire comportamenti illeciti più o meno gravi, dalla semplice condivisione di una tessera personale che dà accesso a un centro benessere, fino alle azioni terroristiche. Oggi le tecnologie biometriche sono competitive rispetto alle modalità di riconoscimento tradizionali non solo perché consentono di raggiungere un livello di sicurezza più alto (chiavi e password possono essere rubate o cedute, le capacità di riconoscimento umane sono limitate), ma anche perché spesso permettono di ridurre il costo complessivo delle soluzioni: ad esempio, in un sistema di controllo accessi diviene possibile evitare l'emissione e la gestione delle tessere magnetiche, mentre in una rete di computer si può fare a meno del servizio che assiste gli utenti in caso di perdita della password. A questo bilancio economico favorevole ha contribuito, negli ultimi anni, la drastica riduzione dei prezzi dei dispositivi biometrici. La crescente diffusione delle tecnologie biometriche, pertanto, non è dovuta solo alla maggiore domanda di sicurezza (legata agli illeciti informatici, all'aumento del flussi internazionali, alla minaccia terroristica), ma anche ai vantaggi che possono essere ottenuti nelle applicazioni più semplici. Il principale presupposto tecnologico della biometria consiste nella possibilità di acquisire e di elaborare elettronicamente le caratteristiche fisiche o comportamentali distintive di un singolo individuo. Rientrano tra le caratteristiche fisiche tutti i dati riguardanti la forma e il colore delle diverse parti del corpo; sono invece caratteristiche comportamentali i modi in cui il corpo viene utilizzato nel corso di attività basate su automatismi mentali. In linea di principio le caratteristiche fisiche e comportamentali utilizzabili ai fini della biometria sono moltissime; soltanto alcune di esse, però, sono sfruttate industrialmente.
Tecnologie biometriche
basate su caratteristiche fisiche
Per quanto riguarda le caratteristiche fisiche, attualmente le tecnologie principali sviluppate a livello industriale impiegano le impronte digitali, l'aspetto dell'iride, il profilo della mano, il reticolo delle vene all'interno della mano, la forma del viso. Tra le altre caratteristiche fisiche che sono state studiate a fini biometrici sono comprese la forma del padiglione auricolare, la forma dei denti, gli odori emessi dal corpo e perfino il Dna. La scansione della retina è una tecnica ritenuta superata da vari osservatori, poiché invasiva e poco efficiente.
- Impronte digitali - L'acquisizione delle impronte digitali richiede il rilevamento delle minuscole “creste” e “valli” presenti nella pelle dei polpastrelli, oltre alle relative interruzioni denominate “minuzie”. A questo scopo possono essere utilizzati sensori basati su principi diversi: rilevamento dell'immagine ottica, ultrasuoni, effetti fisici di vario tipo (capacitivi, termici, piezoelettrici), radiofrequenza. Attualmente due dei principali produttori di sensori per impronte digitali sono l'americana AuthenTec, che impiega una tecnologia basata sulla radiofrequenza, e la svedese Fpc (Fingerprint Cards), che sfrutta il principio capacitivo.
Nella tecnologia TruePrint di AuthenTec, la radiofrequenza viene usata per generare un campo elettrico tra due strati conduttivi, uno dei quali è costituito dalle cellule vive della pelle (ricoperte da uno strato superficiale di cellule morte cheratinizzate), mentre l'altro è integrato nella superficie del sensore. Il campo elettrico assume la stessa forma della superficie conduttiva che lo genera, cioè segue l'andamento delle creste e delle valli presenti nella pelle. Queste variazioni locali vengono misurate da una matrice di minuscole antenne incorporate nel sensore, che rappresentano i pixel dell'immagine acquisita. Secondo AuthenTec questa tecnica offre vari vantaggi, perlopiù legati al fatto che il sensore rileva la forma dello strato di cellule vive, non quella dello strato superficiale di cellule morte cheratinizzate. Ciò consente di rilevare correttamente le impronte anche se la pelle è consumata per effetto di abrasioni meccaniche o chimiche. Il sensore, inoltre, può essere ricoperto da uno spesso strato protettivo, poiché non è necessario il contatto diretto con la superficie della pelle.
Il sensore messo a punto da Fpc è composto da decine di migliaia di minuscole placchette che, insieme alla superficie della pelle, servono a creare altrettante capacità elettriche. Grazie a particolari circuiti estremamente sensibili, il dispositivo misura le differenze di capacità tra le zone che si trovano in corrispondenza delle creste e quelle in corrispondenza delle valli. La misura della capacità è effettuata in modo attivo, iniettando nella pelle un debole segnale che viene “riflesso” verso il sensore. Secondo Fpc questa tecnica offre vari vantaggi, tra cui la possibilità di ricoprire il sensore con uno spesso strato protettivo. Molto importante anche l'algoritmo utilizzato per l'elaborazione dell'immagine tridimensionale rilevata, che permette di isolare le “minuzie” e gli altri punti caratteristici dell'impronta.
- Aspetto dell'iride - Come le impronte digitali, anche le minuscole striature dell'iride (la parte colorata dell'occhio) sono diverse in ogni persona e possono pertanto essere sfruttate in campo biometrico. È stato calcolato che la possibilità di confondere le iridi di due persone diverse è soltanto una su 1078. Tra gli altri aspetti che rendono questa parte del corpo adatta alle applicazioni biometriche sono comprese la possibilità di utilizzare oltre duecento punti di confronto all'interno dell'immagine, contro i sessanta-settanta delle impronte digitali, e la stabilità nel tempo (anche dopo interventi chirurgici all'occhio). L'acquisizione dell'immagine dell'iride è un processo relativamente semplice, poiché consiste sostanzialmente in una fotografia effettuata tramite una speciale fotocamera digitale sensibile alla luce e all'infrarosso vicino. Di solito l'acquisizione non è disturbata dagli occhiali né dalle lenti a contatto. Dopo la “fotografia”, un apposito software provvede a isolare l'immagine dell'iride (individuando la pupilla e i contorni esterni) e ad estrarre le caratteristiche distintive tramite appositi algoritmi. Un ruolo importante nello sviluppo di questa tecnologia è stato giocato dagli algoritmi di confronto messi a punto da John Daugman e sfruttati industrialmente dalla società Iridian, recentemente confluita nel colosso biometrico L-1. Uno dei vantaggi offerti dal riconoscimento basato sull'iride è che - a differenza dell'acquisizione delle impronte digitali - non richiede alcun contatto tra il corpo della persona e l'apparecchiatura, il che elimina ogni preoccupazione di tipo igienico. Tra le società che producono fotocamere per questo tipo di applicazione sono comprese Oki, Panasonic e LG.
- Profilo della mano - L'acquisizione del profilo della mano è una tecnica relativamente semplice, basata sostanzialmente su una fotografia controluce effettuata tramite una fotocamera digitale. Questo metodo non si presta alle applicazioni che richiedono elevata sicurezza, poiché le mani non hanno caratteristiche distintive così nette come le impronte digitali o le iridi. Inoltre il profilo della mano di una persona può subire cambiamenti nel tempo legati alle variazioni di peso, all'artrite ecc. Tra le applicazioni principali di questa tecnologia è compreso il controllo dell'accesso fisico (cioè l'apertura delle porte) in edifici civili.
- Reticolo delle vene della mano - L'acquisizione dell'immagine delle vene che irrorano la mano è una tecnica relativamente semplice e molto efficace, basata ovviamente sull'unicità individuale di questa caratteristica. Anche in questo caso l'acquisizione consiste essenzialmente in una fotografia, effettuata tramite una speciale fotocamera sensibile all'infrarosso vicino - una frequenza che viene assorbita dall'emoglobina contenuta nel sangue. Una delle principali società attive in questo campo è Fujitsu, che offre una soluzione senza contatto denominata PalmSecure.
- Forma del viso - La tecnica biometrica basata sulla forma del viso si prefigge di imitare la capacità di riconoscimento propria degli esseri umani. In questo caso il problema dell'acquisizione dell'immagine è secondario (si tratta di una normale fotografia o ripresa video), mentre sono fondamentali gli algoritmi di elaborazione. Grazie al progressivo aumento della potenza di calcolo disponibile e alla messa a punto di nuovi algoritmi (alcuni dei quali capaci di elaborare immagini tridimensionali), oggi questa tecnica offre prestazioni nettamente superiori rispetto al recente passato.
Tecnologie biometriche
basate su caratteristiche comportamentali
Le principali caratteristiche comportamentali sfruttate per le applicazioni biometriche sono il timbro della voce, i movimenti della penna nell'esecuzione di una firma, le modalità di digitazione sulla tastiera del computer. Tra le altre possibilità che sono state oggetto di studio è compreso il modo di camminare.
- Timbro della voce - È considerato una caratteristica comportamentale poiché non dipende solo dalla forma degli organi fonatori ma anche dal modo in cui il parlante li usa. Anche in questo caso l'acquisizione in quanto tale non presenta difficoltà (basta un microfono), mentre sono molto importanti gli algoritmi di elaborazione. Normalmente nei sistemi biometrici le peculiarità di una voce sono rappresentate sotto forma di spettrogrammi, cioè come grafici della frequenza in funzione del tempo.
- Scrittura manuale - Il riconoscimento della scrittura manuale (dynamic signature) non riguarda tanto l'aspetto grafico (che può essere imitato con relativa facilità) quanto piuttosto le modalità di manipolazione della penna: la pressione esercitata sul foglio, la velocità e l'accelerazione con cui si muove la punta, l'ordine in cui vengono realizzati i diversi elementi grafici (ad esempio i puntini sulle “i” o i tagli delle “t”). Questi parametri sono rilevati tramite tavolette sensibili o penne dotate di sensori. Anche in questo caso, ovviamente, una parte fondamentale della soluzione è costituita dal software di elaborazione. Una delle principali società attive in questo settore è la tedesca SoftPro.
- Modalità di digitazione - Ogni persona possiede un proprio modo inconfondibile di premere i tasti del computer; questo è il presupposto che consente di utilizzare le modalità di digitazione nelle applicazioni biometriche. Ovviamente il dispositivo di acquisizione è costituito dalla tastiera stessa, pertanto questa tecnica ha il vantaggio di poter essere realizzata totalmente tramite software. Il programma rileva vari parametri propri della battitura tra cui la velocità complessiva, l'intervallo tra la pressione di due tasti consecutivi, il tempo di pressione sul singolo tasto ecc. Una delle società principali in questo campo è Admitone Security.
I sistemi biometrici
La realizzazione di un'applicazione biometrica richiede la realizzazione di un sistema basato su una o più delle tecniche precedentemente descritte. I sistemi detti “layered” utilizzano una tecnologia biometrica insieme a un sistema di controllo convenzionale (ad esempio un Pin o una carta magnetica). I sistemi multimodali impiegano invece più tecnologie biometriche diverse (ad esempio le impronte digitali e l'immagine dell'iride). Ogni sistema biometrico comprende i dispositivi necessari per acquisire le informazioni grezze (sensori, fotocamere ecc.) e il software necessario per elaborarle e utilizzarle. L'impiego e il funzionamento di un sistema biometrico si articolano in tre fasi principali: registrazione (enrollment), elaborazione e cofronto. Nella fase di registrazione vengono acquisite le caratteristiche biometriche “grezze” delle persone (di identità nota e certa) che dovranno successivamente essere riconosciute. Nella fase di elaborazione le informazioni biometriche grezze sono trattate tramite appositi algoritmi per estrarre le caratteristiche importanti ai fini del confronto (ad esempio le “minuzie” delle impronte digitali), le quali saranno poi memorizzate in un apposito supporto informatico (ad esempio un database o una smart card). Nella fase di confronto, infine, le caratteristiche biometriche di una persona non identificata vengono acquisite e confrontate (tramite altri algoritmi) con i dati memorizzati nel supporto informatico, al fine di ottenere una risposta positiva o negativa. Tra i metodi utilizzati per il confronto è compreso l'algoritmo di Hamming.
Le prestazioni di un sistema biometrico si misurano considerando numerosi aspetti tra cui i parametri Far, Frr, Fte e Fta. Il parametro Far (False accept rate) esprime la probabilità che un impostore sia scambiato per una persona autorizzata; il parametro Frr (False reject rate) rappresenta la probabilità che una persona autorizzata venga respinta; il parametro Fte (Failure to enroll) è la percentuale di persone che possiedono caratteristiche inadatte a un particolare sistema biometrico; infine il parametro Fta (Failure to acquire) è il numero di acquisizioni necessarie per ottenere un riconoscimento corretto.
Alcuni esempi applicativi
Le applicazioni pratiche della biometria sono oggi numerosissime. Ci limiteremo pertanto a fornire alcuni esempi suddivisi in quattro principali categorie.
- Controllo dell'accesso fisico in applicazioni generali - Secondo alcune fonti, l'80% del mercato biometrico per questo tipo di applicazioni è costituito da sistemi basati sul profilo della mano o sulle impronte digitali. Apparati del primo tipo sono ampiamente utilizzati in scuole, ospedali, banche, centri benessere, parchi tematici ecc. Nelle aziende il profilo della mano viene spesso utilizzato anche per registrare la presenza dei dipendenti, al posto del tradizionale cartellino o badge. I sensori di impronte digitali (quelli prodotti da Fpc, ad esempio) sono inoltre utilizzati per l'apertura di una grande varietà di porte e sportelli in prodotti come camper, furgoni portavalori, armadi blindati per la custodia domestica delle armi, ecc.
- Controllo dell'accesso fisico negli aeroporti e ai varchi delle frontiere - Uno degli esempi principali in questo campo è rappresentato dai moderni passaporti elettronici: il chip incorporato nella copertina, infatti, è predisposto per memorizzare anche l'impronta digitale del titolare o altri dati biometrici. Un altro importante esempio è l'acquisizione delle impronte digitali e dell'immagine dell'iride ai banchi “immigration” degli aeroporti statunitensi (programma “US Visit”). Negli Emirati Arabi Uniti, invece, un sistema basato sull'immagine dell'iride è utilizzato alle frontiere per autenticare l'identità dei possessori di visti d'ingresso. Ma le nuove tecnologie non sono appannaggio esclusivo dei paesi più ricchi: l'Angola, ad esempio, ha recentemente firmato un contratto da 22 milioni di dollari con Unisys per la fornitura di carte di identità elettroniche che impiegano tecnologie biometriche.
In campo aeroportuale, un'importante applicazione biometrica è rappresentata dai programmi “registered traveler” messi in campo da vari aeroporti per accelerare il check-in e l'imbarco dei passeggeri che acconsentono a fornire le loro impronte digitali o l'immagine dell'iride. Al momento dell'imbarco, il riconoscimento biometrico consente a questi viaggiatori di utilizzare corsie riservate, dove le code sono molto più brevi. Tra gli scali che hanno adottato programmi di questo tipo sono compresi gli aeroporti di Amsterdam, Minneapolis, Los Angeles, Houston, Boston, Washington e Orlando. È rivolto a tutti i viaggiatori, invece, il sistema adottato da Scandinavian Airlines per i voli interni, che consente di autenticare l'identità del possessore della carta d'imbarco tramite il confronto tra le impronte digitali rilevate al check-in e, successivamente, al gate.
- Controllo dell'accesso logico - In questo tipo di applicazioni i sistemi biometrici sono utilizzati per autorizzare o vietare l'uso di un sistema informatico (computer, terminale, memoria di massa, telefono cellulare ecc.) allo scopo di impedire due tipi di illeciti:
1) il furto o l'alterazione di dati riservati;
2) l'esecuzione di transazioni economiche truffaldine. Da tempo il mercato offre molti modelli di computer portatili dotati di sensore di impronte (ne sono stati venduti 17 milioni, secondo alcune fonti) e lo stesso tipo di dispositivo biometrico si trova spesso integrato nelle memorie di massa rimovibili, come i dischi rigidi (ad esempio alcuni prodotti LaCie) e le chiavi Usb contenenti memoria Flash. Particolarmente sviluppate in Asia sono le applicazioni biometriche rivolte a prevenire gli illeciti economico-finanziari (nelle banche e nel commercio elettronico) e le soluzioni integrate nei sistemi portatili (telefoni cellulari evoluti). In campo bancario uno dei tanti esempi possibili è costituito dai bancomat equipaggiati con la soluzione PalmSecure di Fujitsu per il rilevamento delle vene della mano; il dispositivo ha lo scopo di verificare che l'utilizzatore della card ne sia il legittimo proprietario. Per applicazioni di accesso logico più generali Fujitsu offre anche vari modelli di mouse che integrano lo scanner PalmSecure. Per quanto riguarda invece i sistemi portatili, tra gli esempi è compreso un telefono cellulare Hitachi dotato di sensore di impronte AuthenTec. In questo caso la tecnica biometrica è utilizzata per l'autenticazione nelle transazioni commerciali (mobile commerce), ma anche per autorizzare l'uso del telefono stesso. Un altro esempio proviene da Oki, che ha realizzato una soluzione per effettuare il riconoscimento dell'iride utilizzando la fotocamera incorporata nei telefoni cellulari.
Altre soluzioni biometriche di accesso logico sono utilizzate in campo sanitario per proteggere i dati dei pazienti (è il caso del sistema PalmSecure di Fujitsu adottato dagli ospedali di Charlotte, in Nord Carolina) e per autorizzare l'uso di apparecchiature medicali sofisticate (una soluzione di questo tipo, basata su sensori di impronte Fpc, è stata adottata da un produttore italiano).
- Difesa e lotta alla criminalità - Molte applicazioni biometriche utilizzate dalle polizie e dagli eserciti rientrano nel campo dell'identificazione (scoperta dell'identità, con corrispondenza “uno a molti”) e sono spesso finalizzate alla cattura di ricercati. Particolarmente importanti, quindi, sono i dispositivi che consentono di svolgere queste operazioni sul campo, cioè nelle strade, nei campi di prigionia ecc. L'apparecchio portatile Hide prodotto da L-1, ad esempio, integra una fotocamera che consente di acquisire l'immagine dell'iride e dell'intero viso, e un sensore di impronte digitali. Sempre L-1 produce anche un altro apparecchio portatile, Pier, rivolto unicamente all'acquisizione dell'immagine dell'iride. Tra gli esempi concreti di questo tipo di applicazioni è possibile citare la prossima adozione di lettori portatili di impronte digitali da parte della polizia britannica.
La situazione odierna e le prospettive
Molti degli ostacoli che in passato hanno rallentato lo sviluppo del mercato biometrico sembrano oggi essere stati rimossi. I costi dei dispositivi sono scesi drasticamente, i cittadini hanno ormai fatto l'abitudine a queste tecnologie, gli organismi di standardizzazione hanno già messo a punto alcuni degli standard necessari per l'interoperabilità dei dispositivi (ad esempio la norma Iso 19092 per le applicazioni finanziarie). Le perplessità riguardanti i potenziali rischi per la privacy sembrano essere in buona parte superate o superabili, in conseguenza delle crescenti preoccupazioni per la sicurezza e tramite una corretta informazione dei cittadini. Ad esempio, per autenticare l'identità del possessore di una carta bancomat non è affatto necessario creare un database di dati biometrici: è sufficiente memorizzare il dato del singolo utilizzatore nella sua card personale e confrontarlo - al momento dell'uso - con il dato biometrico rilevato dal sensore integrato nel terminale. Anche il tessuto industriale del settore sta maturando, con fusioni e acquisizioni che hanno portato alla nascita di gruppi relativamente grandi. Tra il 2005 e il 2008 la società L-1, ad esempio, ha acquisito il controllo di dodici importanti aziende operanti nel settore biometrico e affini: Viisage, AutoTest, Integrated Biometric Technology, SecuriMetrics, Identix, Iridian, Comnetix, Spectal, McClendon, Advanced Concepts, Bioscrypt e Digimarc. Dal canto loro le tecnologie continuano a progredire suggerendo nuove possibili applicazioni, come ad esempio l'identificazione biometrica del bestiame. Tutto lascia supporre, quindi, che il settore sia destinato a un ulteriore sviluppo.