31 dicembre 2023

L'Identity Theft Resource Centre (ITRC), un'organizzazione no-profit incentrata sulle vittime, ha recentemente pubblicato il documento di discussione del gruppo di lavoro biometrico redatto da esperti riconosciuti in ambito politico, accademico, tecnico e commerciale.

In seguito alla crisi delle frodi nel settore pubblico durante il COVID-19, l'ITRC ha ricevuto un'ondata di reclami, in quanto il mondo ha registrato livelli di frode basati sull'identità senza precedenti. Dopo aver studiato e analizzato diligentemente il problema, il gruppo ha concluso che "la biometria rappresenta la migliore opportunità per proteggere le identità degli individui e migliorare l'integrità dei processi del settore pubblico e privato". In altre parole, la questione non è se la tecnologia biometrica debba essere adottata, ma come?

Riconoscendo che i metodi di sicurezza tradizionali basati sulle credenziali stanno fallendo, le organizzazioni hanno iniziato a capire che la verifica dell'identità basata sulla biometria è l'antidoto alla criminalità informatica e alle frodi.

Ma non tutte le soluzioni biometriche sono uguali. Il rapporto fornisce raccomandazioni sulle funzionalità chiave che una "buona" soluzione biometrica dovrebbe includere. In questo articolo, forniremo una panoramica di ciò che costituisce una soluzione biometrica robusta e sicura.

La minaccia sempre più grave della frode d'identità

La frode d'identità è un problema colossale, soprattutto in America. Secondo Javelin Strategy & Research, le frodi di identità sono costate 52 miliardi di dollari di perdite negli Stati Uniti nel 2021. I dati di iProov hanno rilevato che uno sconcertante 29% degli americani è stato vittima di furto di identità, rispetto ad appena il 15% degli inglesi e al 13% degli australiani. Con una nuova vittima ogni 22 secondi, la portata del problema è immensa.

È importante notare che l'ITRC non è sponsorizzato e non è un'organizzazione incentrata sulla biometria; gestisce il più grande archivio di informazioni sulle violazioni di dati negli Stati Uniti dal 2005. La loro posizione è che "non ci si può più fidare dei soli dati come unica fonte di verità sull'identità di una persona nella maggior parte dei processi".

L'ITRC conclude che la verifica dell'identità basata sui dati biometrici è oggi l'unico metodo affidabile per verificare l'identità a distanza e quindi protegge meglio i clienti.

La verifica dei volti NON è il riconoscimento dei volti

Il rapporto esamina anche criticamente come l'adozione della biometria facciale sia stata ostacolata dalla sua confusione con il riconoscimento facciale. Ci sono differenze fondamentali:

  • La verifica facciale è basata sul consenso, a differenza del riconoscimento facciale. La verifica facciale può preservare la privacy. Il riconoscimento facciale no, perché la persona non acconsente al processo.
  • La verifica del volto è una verifica uno-a-uno, vantaggiosa per l'utente. Il riconoscimento dei volti è uno-a-molti. Il suo scopo principale è quello di aiutare le forze dell'ordine, ma non è consensuale: sta cercando di trovare un utente in un grande database.
  • Il ruolo della verifica facciale è quello di affermare l'identità, utilizzando il volto per dimostrare che l'utente è effettivamente tale. L'obiettivo è ridurre le frodi di identità, aumentare l'accuratezza e fornire una soluzione di verifica dell'identità inclusiva e sicura che protegga gli individui dalle crescenti minacce di crimini legati all'identità.

In definitiva, la distinzione tra verifica del volto e riconoscimento del volto è fondamentale per l'adozione e l'implementazione delle tecnologie di verifica facciale. iProov sottolinea da anni l'importanza di questa distinzione. Per saperne di più, consultate questo articolo.

Verifica del volto vs. riconoscimento del volto. Verifica del volto online con la biometria

Cosa rende la verifica biometrica del volto il gold standard per la verifica dell'identità a distanza?

Utilizzando la biometria facciale come parte di un processo completo di verifica dell'identità, è possibile garantire l'autenticità di un richiedente in modo equo e a basso rischio. Questo approccio riduce il valore delle informazioni di identificazione personale (PII) compromesse per i malintenzionati e offre una soluzione inclusiva che va ben oltre quanto possono offrire i metodi di verifica tradizionali.

La verifica facciale rappresenta un'alternativa alle soluzioni di verifica dell'identità tradizionali, che possono basarsi in larga misura sui dati creditizi, escludendo gli individui con una storia creditizia limitata o inesistente. Questo aspetto è particolarmente vantaggioso per raggiungere e verificare l'identità di persone che altrimenti incontrerebbero difficoltà nei processi di verifica dell'identità a distanza.

Per saperne di più sui vantaggi della biometria facciale, leggete qui.

Non tutte le soluzioni biometriche sono ugualmente efficaci

È essenziale scegliere una soluzione scientifica in grado di fornire i massimi livelli di garanzia dell'identità e di avere una comprovata esperienza con le organizzazioni attente alla sicurezza.

Esaminiamo alcuni dei criteri che costituiscono un solido sistema di verifica facciale:

  • Rilevamento della vivacità: Come spiega l'ITRC, le soluzioni migliori non solo verificano l'immagine catturata presentata, ma determinano anche la "vivacità" dell'individuo e il fatto che l'individuo sia reale e non un falso.
  • Biometria unica: La tecnologia biometrica one-time è essenziale. Verifica che un individuo si stia autenticando in tempo reale e che non si tratti di una foto o di una maschera, né di un attacco iniettato digitalmente utilizzando un replay di un'autenticazione precedente o un video sintetico (come un deepfake). Per saperne di più sulla tecnologia biometrica una tantum, cliccate qui.
  • Monitoraggio attivo delle minacce: Il rapporto sottolinea anche l'importanza del monitoraggio attivo: "Il monitoraggio in tempo reale o quasi reale può fornire un'individuazione precoce delle anomalie delle prestazioni e consentire un rimedio tempestivo". iProov fornisce questo servizio attraverso il nostro Security Operations Center (iSOC), che raccoglie informazioni sugli attacchi biometrici avanzati e costruisce la resilienza alle minacce in corso. Siamo l'unico fornitore di sistemi biometrici a condividere le nostre scoperte nei nostri rapporti annuali sull'intelligence delle minacce biometriche.

Inclusività e performance:

  • Valutare le certificazioni: Il rapporto riconosce che alcune soluzioni biometriche sono "più precise di altre" e che alcune "funzionano meglio di altre su una popolazione diversificata, comprese le persone con disabilità". Cercate soluzioni come quella di iProov, che è certificata dal National Institute of Standards and Technology (NIST) ed è uno dei pochi fornitori ad aver ottenuto la piena conformità alle WCAG 2.2. Il fornitore di sistemi biometrici deve tenersi aggiornato sull'evoluzione degli standard, delle certificazioni e della conformità.
  • Valutare le pratiche di attenuazione dei pregiudizi: non si tratta di un'attività una tantum, ma di un impegno costante. Trasparenza, diversità dei dati di formazione, test regolari e adattabilità sono componenti essenziali di una strategia solida. L'attenuazione dei pregiudizi non si limita all'età, al colore della pelle o al sesso; è necessario considerare anche altri impatti socio-demografici, come l'accesso a dispositivi dotati di telecamere.

Considerazioni sulla protezione della privacy:

  • Modello biometrico: Il fornitore dovrebbe memorizzare i dati biometrici solo in un formato anonimo, in modo da renderli inutili per un aggressore. Piuttosto che un'immagine memorizzata, un modello biometrico è una rappresentazione matematica dei dati biometrici che non può essere associata a una persona identificabile. In definitiva, questo rafforza la privacy degli utenti e la protezione dei dati. Per saperne di più sui modelli biometrici, cliccate qui.
  • Firewall per la privacy: Il fornitore dovrebbe utilizzare una tecnologia che utilizza un firewall per la privacy, in cui vi è una separazione strutturale tra l'identità dell'utente e i suoi dati biometrici. Tutte le informazioni personali vengono eliminate, lasciando solo il dato biometrico, che da solo è inutile se trapela o viene rubato. È molto efficace per salvaguardare la privacy dell'utente.
  • Autenticazione basata sul cloud: I vantaggi della sicurezza biometrica basata sul cloud sono molteplici. Uno dei principali è la protezione dei dati degli utenti: la sicurezza nel cloud è opaca per un attaccante e molto più difficile da decodificare.

Il rapporto raccomanda inoltre di trovare un fornitore che disponga di capacità di verifica in tempo reale e di tecniche di rilevamento passivo. iProov è unico nel settore dell'assicurazione dell'identità, soprattutto grazie alla sua capacità di confermare se un dispositivo sta condividendo informazioni corrette in tempo reale su un utente reale in questo momento.

Per saperne di più, consultate la nostra guida alla scelta di un fornitore biometrico .

Riflessioni conclusive

In definitiva, l'ITRC non raccomanda alcun fornitore in particolare, ma sottolinea che la verifica dell'identità basata sulla biometria è la "migliore speranza per ridurre i reati di impersonificazione nel breve e nel lungo termine" e che le organizzazioni dovrebbero cercare la "soluzione migliore per loro il prima possibile" per ridurre la grave e crescente minaccia dei reati di identità.

iProov offre le soluzioni biometriche facciali più convalidate al mondo, essendo state testate secondo gli standard di sicurezza nazionale dal Dipartimento della Sicurezza Nazionale degli Stati Uniti, dal Ministero dell'Interno del Regno Unito, dal Governo di Singapore e dal Governo australiano - spesso completando oltre un milione di verifiche al giorno con tassi di superamento superiori al 98%.

Scaricate qui il documento di discussione completo del gruppo di lavoro biometrico dell'ITRC.

La crescente importanza della verifica biometrica dell'identità nella lotta al furto d'identità e alle frodi Rapporto ITRC 1