La biometria e la falsa sicurezza

Non so se avete saputo, visto che la notizia è passata sotto silenzio (😉), ma è in commercio da qualche settimana il nuovo iPhone; e tra le nuove funzionalità, c'è Face ID, cioè lo sblocco dello smartphone attraverso il riconoscimento facciale. In questo caso molto avanzato (viene utilizzata una mappatura tridimensionale), tuttavia circolano in rete, e non mi risultano siano state smentite, notizie secondo cui si è ottenuto uno sblocco "fraudolento" tramite una maschera di silicone (dal costo di 150$), oppure con un familiare, come un fratello ma anche un figlio.

Non è proprio la stessa cosa, però qualche giorno fa mi è capitato di "sbloccare" la ricerca di Google sullo smartphone di un collega con la mia voce (casualmente, non stavamo facendo un esperimento mirato).

Questo genere di funzionalità fanno parte del ben più ampio campo della biometria utilizzata come metodo di riconoscimento considerato sicuro. Non siamo forse abituati all'utilizzo delle impronte digitali, che sono ormai anche dentro il passaporto e regolarmente utilizzate nelle procedure di ingresso in stati come gli USA?

Anche nel mondo digitale, lo sappiamo benissimo, c'è il problema del riconoscimento sicuro, perché il furto di identità può avere impatti notevolissimi sulla vita del malcapitato, anche fuori dal mondo virtuale (basta pensare cosa accade se l'identità in questione è quella del conto corrente bancario). La sicurezza della propria identità è affidata primariamente all'odiatissima password, però è ormai chiaro che non basta più; e per questo sono arrivati l'autenticazione a due fattori, dove alla password vera e propria viene affiancato un secondo codice generato casualmente con validità brevissima, ed appunto la biometria.

Ma non è tutt'oro quello che luccica. Ai più la biometria può essere l'uovo di colombo: una volta identificata quale sia la caratteristica fisica più adatta, cioè meno soggetta a falsi positivi, il gioco è fatto. La questione è un po' più delicata per almeno due motivi.

Il primo è la privacy: se la caratteristica in questione è sotto gli occhi di tutti e facilmente accessibile, chiunque è in grado di carpircela e riutilizzarla al nostro posto. Per esempio, ritornando all'inizio del post, la nostra faccia compare in migliaia, se non milioni, di immagini di cui spesso non conosciamo nemmeno l'esistenza. Nel caso (più estremo) delle impronte digitali, utilizzate già da tempo sugli smartphone non solo più di fascia alta, mi ricollego ad una serie televisiva di spionaggio (ma sono sicuro non fosse un'idea originale) in cui viene tagliato il dito ad una persona per poterlo utilizzare su un lettore di impronte al posto suo. Quindi occhio: impostare il riconoscimento facciale per qualche servizio critico, e poi postare selfie a raffica sui social, espone al rischio di essere chiamati dal sottoscritto "demente" (oltre a quello di ritrovarsi il conto bancario prosciugato).

Il secondo motivo riguarda un aspetto molto più tecnico, ma da tenere presente: una qualsiasi caratteristica fisica, una volta acquisita, è codificata digitalmente come sequenza binaria per poter essere memorizzata e confrontata (magari in modi non banali) con le nuove acquisizioni della stessa caratteristica nel momento in cui vengono utilizzate per l'identificazione; il che rende quel dato memorizzato estremamente critico, sia in termini di riservatezza che di protezione. Per dirla chiaramente: se viene perso (cancellato), addio identificazione e quindi accesso al servizio; se viene carpito fraudolentemente da qualcuno, non è possibile modificarlo come una password!

In conclusione, è molto imprudente considerare la biometria LA soluzione del problema identificazione sicura; è sicuramente una possibilità, e non secondaria, all'interno di un sistema più complesso. Personalmente preferisco l'autenticazione a due fattori con password (che posso scegliere, modificare, e mantenere realmente segreta) e secondo codice che sia invece generato da un ente terzo, rinnovabile e fornitomi in modo assolutamente riservato (tipo token o certificati digitali).

A maggio 2018 "cambia" la normativa privacy

Nel mondo commerciale informatico è periodo di gran fermento perché incombe una scadenza: a maggio prossimo entra in vigore il nuovo Regolamento dell'Unione Europea sulla protezione dei dati personali delle persone fisiche (che contestualmente abroga le normative precedenti degli stati membri), e un po' tutte le aziende devono adeguarsi alle nuove norme. Basta che fate una ricerca per GDPR (l'acronimo che identifica la nuova normativa, anche se ufficialmente è nota come 2016/679) e ve ne renderete conto. E forse vi renderete conto che tra i risultati difficilmente troverete qualcosa che spiega cosa cambia per i cittadini, invece che per le aziende. Poiché anch'io mi sto occupando della faccenda, ed avendo letto tutta la normativa, mi sento intitolato fare un po' il punto della situazione per il punto di vista del popolo.

Diciamo subito che rispetto alla normativa italiana vigente, per il cittadino cambia poco: i principi generali sono gli stessi. Però, avendoli letti, devo dire che, nella teoria, sono piuttosto buoni, nel senso che al privato cittadino sono garantiti diritti e libertà notevoli. In verità eccezioni a questi diritti e libertà non mancano, però mi sento di dire che hanno ragion d'essere: queste eccezioni tutelano gli interessi generali degli stati, la ricerca scientifica e medica, le finalità statistiche e di conservazione storica, le questioni giudiziarie, etc. La novità più rilevante è che la protezione europea si applicherà sostanzialmente anche quando i nostri dati finiscono in realtà fuori dai confini europei (esempi concreti? Google, Facebook, Apple, Microsoft, Instagram, Twitter...  praticamente il 99% dei nostri dati!).

Quindi? Tutto bene? Possiamo stare tranquilli? Beh, no, perché c'è il solito "però".

Il "però" in questione in realtà non è tra le novità, è un principio già presente da parecchi anni, ed è questo: tutte le protezioni della normativa si applicano a meno che non ci sia stato esplicito consenso a che i nostri dati venissero trattati in una data maniera. Per dirla in concreto: se un qualche call center vi perseguita al telefono per offrirvi imperdibili opportunità di risparmio, quasi certamente non sta violando nessuna norma, perché il vostro numero di telefono, insieme al consenso ad essere chiamati alle ore più improbabili, glielo avete dato voi accettando le condizioni (che non avete letto) per scaricare qualche nuova fantastica app o per la tessera punti del supermercato.

Ma poiché non ho scritto questo post per puntarvi il dito contro (ovviamente anch'io non sono senza peccato...), vediamo cosa possiamo fare grazie alla normativa.

In primis, tra i vari diritti riconosciuti agli "interessati" (cioè: i proprietari dei dati personali) c'è quello della revoca del consenso; ovviamente la revoca, e le sue conseguenze (quasi sicuramente la perdita del diritto ad usufruire del servizio), hanno effetto solo dal momento della revoca, in modo non retroattivo.

Poi c'è il cosiddetto "diritto all'oblio", che dovrebbe permettere la cancellazione totale dei dati, sia dal titolare che li ha originariamente acquisiti, ma anche da tutti quelli a cui sono stati trasmessi. Però (daje!) dobbiamo fare i conti con la potenza e quindi l'ingovernabilità del web: pensare di far sparire tutte le le copie esistenti di una foto o un video imbarazzanti è pura utopia. Basta che qualcuno (un privato, non un'azienda) abbia scaricato una copia e poi la riproponga su qualche altro sito, social, o che ne so io... e addio oblio, senza che nessuna autorità possa farci nulla!

C'è anche la "portabilità" dei dati: è un concetto simile a quello per il numero di telefono quando passiamo da un operatore all'altro, in questo caso sembrerebbe voler consentire una roba tipo portare i propri dati da un servizio verso un altro, per esempio potremmo "spostare" una casella di posta elettronica da un provider ad un altro; pensando invece ad un social, sinceramente non capisco proprio come ciò possa accadere, se non altro perché ogni social ha le sue specificità e mal si adatta a prendere in carico dati "pensati" per un altro.
Altra importantissima questione riguarda il trattamento automatico, spesso noto come profilazione, nei casi che questo comporti una significativa conseguenza all'interessato (pensiamo per esempio alla concessione o meno di un prestito, o al calcolo del premio di un'assicurazione): ora (cioè, da maggio) sarà possibile opporsi a questi tipi di trattamento, oppure richiedere l'intervento umano.
Infine, nel caso malaugurato di compromissione dei dati personali, è fatto obbligo al titolare del trattamento di informare l'interessato, che può poi rivolgersi all'autorità giudiziaria per l'eventuale risarcimento del danno (le sanzioni pecuniarie sono state decisamente inasprite: per i casi limite può arrivare a 20 milioni di euro o il 4% del fatturato annuo!).

A parte i diritti, una novità che ritengo importante è come viene rivisto l'obbligo di fornire le informazioni relative al trattamento (la cosiddetta informativa): essa deve essere concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee. Speriamo che questo obbligo venga veramente rispettato, soprattutto nel suo condivisibilissimo spirito, però è tutto inutile se poi noi non facciamo la nostra parte: l'informativa va letta, capita e sulla base di essa dobbiamo effettuare la scelta libera e consapevole se concedere o no il nostro consenso, che è quello che lascia mano libera al titolare di fare tutto quello che vuole (basta che l'abbia scritto). Ci saranno, è inevitabile, delle informative che ci porranno davanti ad una sorta di ricatto: o il consenso, oppure niente servizio. Essere cittadini consapevoli e liberi significa avere il coraggio di saper dire No.
L'informativa deve anche contenere i contatti del titolare del trattamento (e, ove nominato, del responsabile della protezione) a cui è possibile fare le richieste riguardanti tutti i propri diritti.

Infine, voglio spendere 2 parole per la protezione di dati dei minori. Il regolamento prevede che il consenso sia valido a partire dai 16 anni; sotto questo limite, è necessario il consenso dei genitori. Ricordo anche che normalmente l'iscrizione ai social network, a parte quelli specificatamente dedicati ai bambini, è possibile solo a partire dai 13 anni, ma sento dire da più parti che questa regola (di buon senso, prima che formale) è deliberatamente ignorata da alcuni genitori.
A questo proposito, anche se usciamo dall'ambito del Regolamento in quanto siamo nell'ambito della vita privata, segnalo questa recente sentenza sul fatto che le foto dei figli possono essere pubblicate solo se entrambi i genitori sono d'accordo. Il che a maggior ragione contrasta con il diffuso malcostume di pubblicare foto che ritraggono anche figli di altri, senza chiedere nessun permesso. Non è inutile sottolineare che l'analfabetismo digitale è un problema soprattutto per gli adulti che hanno responsabilità educative!

Per chi volesse approfondire gli argomenti relativi alla privacy, segnalo il sito dell'Autorità Garante italiana, che trovo ottimo dal punto di vista dei contenuti (magari è un po' vintage nell'aspetto...).

Il voto digitale: si può fare!

Nelle settimane scorse ha fatto capolino in Italia un nuovo modo di raccogliere la volontà popolare (😂): in realtà in due modi molto diversi, nonostante li accomuni l'uso del digitale. Nella fattispecie, il Movimento 5 Stelle ha utilizzato quello che potremmo definire il voto online, cioè attraverso internet, e comodamente da casa; la regione Lombardia invece ha utilizzato quello che potremmo definire voto elettronico, sostituendo nei seggi le schede cartacee con un tablet ("voting machine", facilmente traducibile come apparecchio per il voto) che raccoglieva e registrava i voti. In entrambi i casi non sono mancate le polemiche sulle modalità e poi sui risultati (operativi) del voto, ma purtroppo in Italia non abbiamo la possibilità di avere un racconto veramente imparziale e veritiero di come sono andate le cose, per cui, non avendo avuto esperienza diretta in nessuno dei due casi, mi astengo da ogni commento; quello che però voglio sottolineare è che tutti i guai che sono apparsi sui giornali sono plausibili, cioè tecnicamente possibili. E partendo da questi, colgo l'occasione per fare le mie riflessioni sull'argomento, il quale inevitabilmente, ed auspicabilmente, diventerà un tema per il futuro del nostro paese (o forse, speriamo, già lo è).

La questione va affrontata sotto diversi aspetti.

Per primo affrontiamo quello della modalità del voto.
Rifacciamoci a quanto detto prima: si potrebbe votare da casa, quindi usando internet, o rimanere ancorati ai seggi, ancorché digitali. I vantaggi della prima modalità sono evidentemente la comodità per il cittadino (in particolare, non essere vincolati ad un luogo specifico, cioè la residenza anagrafica) e l'immediatezza dei risultati, d'altro canto i problemi di sicurezza (vedi sotto) sarebbero amplificati, in particolare per la verifica dell'identità. La seconda avrebbe enormi vantaggi in termini di sicurezza, evitando che vengano utilizzati dispositivi insicuri come sono i nostri computer e smartphone, a scapito della necessità di provvedere agli apparati e al personale necessario per ogni seggio.
Personalmente ritengo che l'opzione "online" sia assolutamente l'obiettivo a cui puntare, ma anche il seggio digitale sarebbe una prima rivoluzione comunque positiva.
Inoltre, c'è da considerare l'aspetto "operativo": cioè come il cittadino effettivamente esprime il voto, aspetto tutt'altro che secondario in un Paese dove le competenze digitali sono mediamente disastrose. Ma, contrariamente a quanto potrebbero aspettarsi i 2 o 3 assidui lettori, questo non lo considero un problema: infatti immagino un sistema di voto la cui "user experience" (espressione che è difficile rendere in italiano, ma che potrebbe suonare "come l'utente interagisce con il sistema") sia talmente semplice da non richiedere nessun tipo di preparazione, esattamente come avviene oggi con il voto cartaceo. Possibile ciò? Certo, basta che chi sviluppa il sistema di voto sia opportunamente indirizzato e controllato (e capace).

Il secondo aspetto è quello della sicurezza, vista anche la delicatezza del tema.

Partiamo da un presupposto: tutte le tecnologie necessarie a garantire un voto secondo i principi della nostra Costituzione, esistono già. Purtroppo non sono in grado di dire se possano portare ad un effettivo risparmio, poiché esse sono, in generale, molto costose, e non è secondario ricordare che sono in mano ad aziende per lo più straniere, quindi di fatto le spese andrebbero ad innalzare il PIL di qualcun altro. Comunque sia, ecco i rischi di irregolarità che io riesco a prevedere:

• Impersonificazione fraudolenta
• Voti multipli
• Interferenze nella trasmissione dei dati (cioè: modifica del dato, o impedimento della trasmissione)
• Registrazione non anonima
• Modifica dei voti successiva alla registrazione
• Elaborazione errata dei risultati

Certamente, di tutti in punti, il primo è il più delicato, ed il più difficile da impedire nella modalità "online"; e inevitabilmente, dovendo aumentare i livelli di sicurezza a livelli ultra-paranoici, entra in gioco la collaborazione attiva del cittadino, e quindi la sua consapevolezza dei rischi e delle modalità con cui deve proteggere la sua identità digitale. Quindi, se volete votare da casa o dallo smartphone, fatevene una ragione: serve imparare!

L'ultimo aspetto, che in realtà è il problema dei problemi, e riguarda gli ultimi tre punti della lista, è il controllo. Qualunque sia la modalità di voto scelta, fare un software che raccolga, registri ed elabori i voti in modo corretto, è certamente possibile. Ma come possiamo esserne sicuri? Qui la faccenda si complica: è necessario un organismo che verifichi il software, non solo nel momento dello sviluppo, quando il codice (sorgente) è umanamente comprensibile, ma anche e soprattutto nel momento in cui è in esecuzione, per evitare che qualcuno possa sostituire i file con altri modificati che nascondano funzionalità o comportamenti diversi da quelli voluti. Inoltre, è necessario controllare anche i tecnici che devono gestire il sistema informatico, per impedire che interferiscano, in virtù dei loro "poteri" su di esso, sulla regolarità delle operazioni (vedi sopra). Ma dove lo troviamo in Italia un organismo del genere che sia realmente indipendente? E se anche riuscissimo a trovarlo, sarebbe dotato dei poteri necessari in caso di problemi? Purtroppo temo che ad un certo punto saremo comunque costretti a fidarci di qualcuno, analogamente a come in realtà accade oggi con il voto tradizionale.

Infine, e per puro diletto, propongo un approccio architetturale per la base dati che ovviamente deve occuparsi di mantenere i dati. Personalmente, la dividerei in due parti. La prima dovrebbe esclusivamente raccogliere i voti, così come sono stati espressi, senza nessun tipo di elaborazione. Insieme ai programmi che la gestiscono, se ben progettata potrebbe di fatto mantenersi praticamente immutabile nel tempo, poiché basterebbe per ogni elezione inserire solo i dati delle liste, dei candidati, dei collegi, etc. La seconda parte, invece, sarebbe quella dedicata all'elaborazione dei risultati delle votazioni; data la fastidiosa tendenza dei nostri governanti di cambiare legge elettorale ad ogni starnuto, dovrebbe essere progettata per essere estremamente flessibile, o addirittura essere modificata ad ogni elezione, per rispettare le nuove regole. Questa seconda parte avrebbe il privilegio esclusivamente di lettura (non modifica) sulla prima base dati, magari solo per quelli della singola votazione. Ma non sono io ad occuparmi di questa questione, quindi...

Aggiornamento: a riprova della delicatezza della questione sicurezza dell'identità, in questo articolo (in inglese) viene raccontato ciò che sta succedendo in Estonia, e viene anche citato il fatto che l'identità elettronica viene utilizzata per il voto.