Accedere ai servizi semplicemente utilizzando un’app che riconosce il nostro volto e la nostra voce? Oggi è possibile farlo in sicurezza, anche quando si tratta di accedere a dati critici quali quelli sanitari o fiscali.
Il team di progetto PIDaaS ha realizzato un servizio sicuro di autenticazione mobile basato sulle nuove tecnologie di riconoscimento biometrico, quali l’impronta vocale e il riconoscimento facciale, integrabile con procedure e applicativi web che trattano dati sensibili o critici. Per una maggiore affidabilità il prototipo ha abbinato dati biometrici, fattore principale per garantire l’identità digitale, a meccanismi avanzati di elaborazione biometrica (Biometric Template Protection Schemes) per garantire, attraverso la gestione di pseudoidentità, l’inviolabilità dell’autenticazione e la non-transitabilità dei dati biometrici, beneficiando dell’approccio store-on-server/compare-on server che garantisce il contenimento di costi e complessità applicativa.
Coordinato dal CSI Piemonte, PIDaaS è un progetto co-finanziato dal Programma Quadro per l’innovazione e la competitività (CIP) dell’Unione Europea, per un valore totale di quasi 4 milioni di euro. Ha coinvolto otto partner tra enti pubblici, aziende, centri di ricerca pubblici e privati: un mix che ha portato ad avere una grande ricchezza e varietà di esperienze tra Paesi differenti tra loro per cultura, competenza digitale, contesto legislativo e commerciale.
In sintesi, potremmo dire che si è trattato di passare dal concetto di Something I know e Something I have a quello di Something I am. Agli utenti è stata messa a disposizione un’app per smartphone e tablet che, una volta istruita con la propria voce e i propri connotati somatici, ha permesso loro di disporre di un codice segreto, un token univoco e temporaneo per accedere in modalità robusta (strong authentication) ad applicativi web contenenti dati personali critici.
Ad oggi questa tecnologia non è ancora stata ampiamente sfruttata dal mercato internazionale dei servizi di telefonia mobile, anche se alcuni sistemi di autenticazione già utilizzano da tempo la biometria come token univoco di riconoscimento degli utenti.
La Commissione Europea ha certificato il successo della sperimentazione assegnando il punteggio massimo, ottenuto attraverso la sperimentazione del servizio da oltre 200 utenti in tre differenti scenari: e-health in Spagna, e-market in Finlandia e Lituania, e-citizen in Italia. I loro feedback positivi hanno confermato come questa possa davvero essere una soluzione valida. Nel nostro Paese la sperimentazione ha riguardato il settore della pubblica amministrazione, rendendo enormemente più robusto e sicuro l’accesso via web al cedolino dello stipendio. L’Ufficio del Garante della Privacy italiano, dietro richiesta di verifica preliminare, ha autorizzato la sperimentazione, con relativa pubblicazione di una news ripresa da diverse testate on line del settore che hanno considerato positiva e innovativa l’iniziativa.
Quali i vantaggi? I cittadini potranno accedere in maniera sempre più sicura ai servizi che trattano i loro dati sensibili e critici. Le pubbliche amministrazioni potranno adottare questo sistema per l’autenticazione degli utenti che utilizzano specifiche procedure riservate agli addetti. Le aziende potranno adeguare il sistema di riconoscimento alle proprie esigenze e contesto di utilizzo. Ad esempio modificando o estendendo le sorgenti biometriche, utilizzando altre caratteristiche come le impronte digitali, il palmo della mano, il colore e la dimensione dell’iride.
Negli ultimi mesi l’efficacia e l’originalità della soluzione PIDaaS è stata presentata nei principali eventi internazionali dedicati alla biometria abbinata alla security, quali WSO2CON Europe (Londra), EAB Research Projects Conference (Darmstadt), CENTAC (Bilbao), Media World Congress (Barcellona) e International Biometric Performance Testing Conference (Maryland, U.S.A.).
In conclusione, PIDaaS rappresenta una sfida tecnologica molto importante, data la crescente necessità di garantire sicurezza nei servizi digitali per i cittadini. Nei prossimi mesi grande sarà l’impegno del CSI Piemonte nel valutare le possibili evoluzioni per la gestione dell’identità digitale e i futuri sviluppi della tecnologia biometrica.
