Cryptogram, una newsletter sulla sicurezza

Questo è un post tecnico di 12 anni fa. Le istruzioni potrebbero non essere più valide.

La biometria negli aeroporti.

Bisogna ammettere che è un’idea che suona bene. Si mettono telecamere dappertutto negli aeroporti e negli altri luoghi pubblici e il software automatico di riconoscimento facciale fruga continuamente nella folla alla ricerca di presunti terroristi. Quando il software li trova, li segnala alle forze dell’ordine, che piombano addosso ai bastardi e li arrestano. Voilà, siamo di nuovo al sicuro.

La realtà è assai più complessa. Lo è sempre. La biometria è uno strumento di autenticazione efficace, e ne ho già parlato in altre occasioni. Ci sono tre tipi fondamentali di autenticazione: qualcosa che sai (una password, un PIN, una stretta di mano segreta), qualcosa che hai (la chiave della porta, un biglietto per un concerto, un anello con sigillo), e qualcosa che sei (la biometria). La buona sicurezza utilizza almeno due tipi diversi di autenticazione: una tessera Bancomat e il suo PIN, un accesso a un computer che richiede sia una password sia un lettore di impronte digitali, un tesserino di sicurezza che comprende una foto che viene esaminata da una guardia.

Se correttamente implementata, la biometria può essere un elemento efficace di un sistema di controllo degli accessi. Credo che sarebbe un’ottima aggiunta ai sistemi di sicurezza aeroportuali, per l’identificazione del personale delle compagnie aeree e dell’aeroporto (piloti, addetti alla manutenzione, eccetera). Questo è un problema che la biometria può davvero aiutare a risolvere. Invece usare la biometria per distinguere i terroristi in una folla è un altro paio di maniche.

Nel primo caso (identificazione di dipendenti), al sistema biometrico viene posto un problema semplice da risolvere: la persona è chi dichiara di essere? In altre parole, i dati biometrici che il sistema sta rilevando corrispondono a quelli di chi la persona rilevata dal sistema afferma di essere? Nel secondo caso (scovare terroristi in mezzo alle folle) il sistema deve risolvere un problema ben più difficile: i dati biometrici che il sistema sta rilevando appartengono per caso a una qualsiasi delle persone presenti in un grande database? La difficoltà di questo problema aumenta la complessità dell’identificazione e conduce a insuccessi.

L’impostazione del sistema è diversa per le due applicazioni. Nel primo caso, è possibile sapere senza incertezze che i dati biometrici di riferimento appartengono alla persona giusta. Nel secondo, occorre preoccuparsi continuamente dell’integrità del database di dati biometrici. Che succede se qualcuno viene incluso erroneamente nel database? Che diritto di appello avrà?

Anche la questione di come procurarsi i dati biometrici di riferimento è parecchio diversa. Nel primo caso è possibile inizializzare il sistema usando dati biometrici noti e di buona qualità. Se il dato biometrico è il riconoscimento facciale, si possono fare delle buone foto ai dipendenti quando vengono assunti e immetterle nel sistema. Per contro, è improbabile che i terroristi posino per delle foto.

Ci si potrebbe trovare ad avere soltanto una foto sgranata di un terrorista, scattata cinque anni prima da trecento metri di distanza, quando il terrorista portava la barba. Chiaramente non è un dato altrettanto utile.

Ma anche supponendo che d’incanto fossero risolti tutti questi problemi tecnici, è comunque molto difficile far funzionare un sistema di questo genere. Il guaio peggiore è costituito dai falsi allarmi. Come mai? Per spiegarlo devo aprire una parentesi di statistica e parlare della cosiddetta “base-rate fallacy” [la tendenza ad ignorare o stimare erroneamente, quando si devono prendere decisioni, la frequenza con cui si verificano gli eventi; tipici esempi sono il fatto che la gente gioca al lotto credendo di avere molte più probabilità di vincita di quante ne ha realmente, Ndt].

Supponiamo che questo prodigioso software di riconoscimento facciale sia preciso al 99,99%. In altre parole, se una certa persona è un terrorista, c’è un 99,99% di probabilità che il software indichi “terrorista”; se una certa persona non è un terrorista, c’è una probabilità del 99,99% che il software sentenzi “non terrorista”. Supponiamo che in media ci sia un terrorista ogni dieci milioni di passeggeri. Il software è valido?

No. Il software produrrà 1000 falsi allarmi per ogni vero terrorista. E ogni falso allarme comporta che tutto il personale di sicurezza deve svolgere tutte le proprie procedure di sicurezza. Dato che la popolazione dei non terroristi è enormemente maggiore di quella dei terroristi, il test è inutile. È un risultato contrario al buon senso e sorprendente, ma è esatto. I falsi allarmi che si verificano in questo tipo di sistema lo rendono in gran parte inutilizzabile. È la storiella dell'”al lupo, al lupo” moltiplicata per mille.

Ho detto “in gran parte inutilizzabile” perché qualche effetto positivo il sistema l’avrebbe: ogni tanto, il sistema indicherebbe correttamente un terrorista che vola spesso. Ma si tratta di un sistema dai costi enormi: spese di installazione, forza lavoro per farlo funzionare, disagi per i milioni di persone identificate erroneamente, liti legali condotte con successo da alcune di queste persone, e una continua erosione delle nostre libertà civili. Inoltre tutti i falsi allarmi inevitabilmente tenderebbero a indurre gli operatori del sistema a non fare affidamento sui suoi risultati, incoraggiandoli alla trascuratezza e a commettere errori potenzialmente costosi. La raccolta onnipresente di dati biometrici potrebbe sembrare una buona idea, ma non credo che ne valga la pena.

Link di approfondimento:

Pubblicato da Aldo

Aldo Latino usa con entusiasmo KDE neon, è un appassionato di WordPress e si diletta a giocare a scacchi. Ha anche una lista dei desideri. Per altre informazioni visita la sua .

2 risposte su “Cryptogram, una newsletter sulla sicurezza”

I commenti sono chiusi