Hand ID, lo smartphone “legge” la tua mano. Ma è veramente così sicuro?

GDPR Specialist / Digital Law Consultant

Hand ID, lo smartphone “legge” la tua mano. Ma è veramente così sicuro?

Difficilmente vedremo questa tecnologia quale protagonista di una canzone di Iva Zanicchi, ma il fatto che il nostro smartphone ci riconosca semplicemente avvicinando al suo schermo la nostra mano, senza alcun contatto e per pochi secondi, è ormai una realtà pronta ad arrivare al grande pubblico.

È in corso in questi giorni a Barcellona il Mobile World Congress, il principale evento mondiale per l’industria mobile. Per l’occasione, LG ha presentato ufficialmente il suo nuovissimo smartphone, il G8, dotato di una user experience all’avanguardia che permette l’interazione con il dispositivo senza toccare lo schermo: si pensi ad esempio alla possibilità di aumentare il volume dell’altoparlante dello smartphone evitando qualsiasi contatto diretto con lo stesso.
Non solo: sul LG G8 è stata introdotta la possibilità di accesso allo smartphone attraverso un sistema di riconoscimento del sistema venoso della mano (Hand ID), che si basa sulle dimensioni, sulla forma e sulla posizione delle vene poste sotto la pelle delle nostre mani. Secondo la casa produttrice, questa modalità sarebbe più sicura rispetto a quella legata alle impronte digitali. Il modello venoso offre infatti più di cinque milioni di punti di riferimento all’interno della mano, è immutabile per tutta la vita ed è unico per ciascuna persona – oltre ad essere più igienico, non necessitando di alcun contatto.

Eppure, all’ultima conferenza di hacking Chaos Communication Congress avvenuta negli ultimi giorni del 2018, l’hacker Jan Krissler ha dichiarato di essere già riuscito ad aggirare gli scanner dei principali produttori del riconoscimento venoso, la Hitachi e la Fujitsu. Gli è bastato modificare una reflex rimuovendo il filtro ad infrarossi e scattare una foto alla mano interessata ad una distanza anche non superiore ai 5 metri. Ottenuto in questo modo il modello delle vene sottopelle, è poi passato a ricreare una stampa in cera della mano che ne riproducesse fedelmente i dettagli. Risultato? Lo scanner di riconoscimento è stato ingannato da questa finta mano di cera e ha consentito l’accesso.

Quando ci siamo riusciti per la prima volta, sono rimasto sorpreso che fosse stato così facile” ha affermato l’hacker, che ha prontamente inoltrato la sua scoperta alle rispettive case produttrici di scanner di “vein authentication”. Al momento, tuttavia, da parte loro non è arrivata né una conferma né una smentita su quanto accaduto.

Vero è che il sistema di riconoscimento “Hand ID” presentato da LG al Mobile World Congress non si basa su scanner ma dalla combinazione di sensori ad infrarossi con una Z Camera “Time of Flight” (ToF). Entrambi i sistemi, però, mirano ad ottenere esattamente lo stesso risultato: l’autenticazione di una persona attraverso il sistema venoso della sua mano – che è un dato biometrico. Perchè è importante questo passaggio? Perchè nel contesto europeo questo tipo di dati fa parte dei c.d. “dati particolari”, per i quali viene richiesto un trattamento più robusto rispetto ai comuni dati personali. Ciò è sottolineato in particolare non solo dal GDPR (art. 9) ma anche, nel contesto italiano, dal decreto di attuazione del regolamento europeo (art. 2-septies del D.lgs 101/2018). Non rispettare queste regole disposte per la protezione dei dati biometrici significa far scattare la sanzione più pesante dal punto di vista economico – il riferimento è ai 20 milioni di euro o al 4% del fatturato dell’impresa.

Come si possono trattare novità tecnologiche che basano il loro funzionamento su dati di questo tipo? La premessa essenziale è innanzitutto il consenso chiaro e manifesto da parte della persona all’utilizzo dei dati biometrici che lo riguardano. In secondo luogo è altrettanto essenziale una compliance impeccabile nei confronti di tutte le norme che regolano la protezione dei dati personali. Il che significa effettuare prima una valutazione d’impatto a monte per verificare se una soluzione del genere è sufficientemente affidabile per poter essere inserita tra i servizi del proprio business; stabilita così l’impalcatura del proprio servizio, occorre in seguito mantenere adeguate misure di sicurezza a protezione dei dati biometrici raccolti, sia dal punto di vista meramente tecnico (ad es, dove vengono trasferite e conservate queste informazioni?) che dall’istituzione di pratiche di utilizzo, conservazione e smaltimento di tali dati (ad es, uso di pseudonimi, tempo di conservazione, la possibilità di cancellazione efficace su richiesta della persona interessata ecc…).

La vera sfida è naturalmente quella di riuscire a poter rendere tutto questo processo sempre più semplice e comunque sempre solido dal punto di vista della protezione. In questo senso, l’arrivo a brevissimo degli smart-contract (già sulla rampa per poter essere lanciati con il DL “Semplificazioni”, ora in sede di approvazione al Senato) e, più in generale, la tecnologia blockchain dovrebbero dare una grossa mano nel proporre metodi di protezione agili e sicuri sia per i contratti con gli utenti sia per l’utilizzo di dati così delicati.

Tags: , , , , , ,