Qualche anno fa autenticarsi online era banale: bastavano nome utente e password. Chi li conosceva poteva accedere a un account. Il popolo di Internet era piccolo, la connettività limitata, le minacce erano a basso rischio. Oggi nome utente e password non sono più un modo sicuro per autenticarsi.

A parte le disquisizioni su quanto debba essere complessa una password, la verità è che da sola non è sufficiente per garantire sicurezza. Per fronteggiare i problemi di cybersicurezza odierni occorre affidarsi alla biometria. Se la sicurezza è affidata a un processo binario (id utente e password) è semplice per i criminali informatici ottenere accesso ai dati. La maggior parte delle piattaforme consente più tentativi di accesso prima del blocco completo. Per i sistemi informatizzati non è così difficile azzeccare una password. Inoltre, non è vero che una password lunga è più difficile da indovinare di una corta. È la complessità di combinazione dei caratteri numerici, alfanumerici e speciali a determinare la sicurezza di una password. Pochi riescono a idearne e ricordarne a decine.
La soluzione è aggiungere un livello di difficoltà, sommando al processo binario la necessità di dimostrare la propria identità. Si può fare con l'autenticazione a due fattori o con la biometria. L'autenticazione a due fattori fonda la sua esistenza sull'unione di qualcosa che l'utente sa e qualcosa che l'utente possiede fisicamente. Rispettivamente la password e un dispositivo (smartphone, token RFID o altro). All'atto pratico, oltre a ID e password bisogna inserire anche un codice pervenuto via mail, SMS o creato da un'app apposita come Authenticator. Sembra un'idea solida, ma molti la trovano scomoda e non la usano.

Il riconoscimento biometrico

È qui che entra in gioco la biometria. In questo caso a quello che l'utente sa si unisce quello che l'utente è, tipicamente tramite impronta digitale o riconoscimento facciale.

Il primo vantaggio di questa soluzione è che è semplice. Non ci sono i tempi di attesa dell'SMS o la necessità di aprire un'app. Basta appoggiare il polpastrello sul sensore o piazzarsi a favore di fotocamera. Il secondo vantaggio è che quelle biometriche sono caratteristiche uniche di una persona. Non possono essere né rubate né modificate. Inoltre, sono sempre in possesso dell'individuo. Non serve ricordare password e PIN.

Non ultimo, la biometria agisce in tempo reale e consente un riconoscimento immediato. Per questo la verifica biometrica è utilizzata da quasi tutti i fornitori di servizi e dalle aziende per soddisfare elevati standard di sicurezza. Anche nell'ambito dei servizi KYC per la prevenzione e il rilevamento delle frodi.

Per portare avanti le attività illegali i cyber criminali hanno affinato tecniche di social engeneering. Se non possono rubare i dati, cercano di fare in modo che siano le vittime a fornirglieli. Confezionano mail di phishing o applicazioni truffa sui social media.

Per questo è fondamentale tenere un comportamento diffidente online. Se viene richiesto di inserire le proprie credenziali, meglio farlo digitando di persona l'Url del sito, non cliccando quello proposto in una mail. Se una mail ha un senso di urgenza, probabilmente nasconde una truffa. Se include minacce o ricatti è quasi certamente una truffa.

Frodi e furti di identità

Cosa fa un criminale informatico con i dati personali di un utente? Può usarli per perpetrare frodi digitali senza lasciare traccia. Per lo più si tratta di furti di identità, che servono per portare avanti frodi finanziarie, riciclaggio di denaro, acquisti fraudolenti e storni di addebito.

Qualcuno potrebbe pensare che con l'impronta digitale o il riconoscimento facciale la questione della cyber sicurezza sia chiusa. In realtà non è così, come ha sottolineato Kaspersky in un recente incontro con la stampa. Vladimir Dashchenko, Head of Vulnerabilities Research Group di Kaspersky, ha spiegato che i lettori fisici di impronte digitali possono essere sicuri. Non lo sono altrettanto i sistemi in cui vengono archiviati i dati biometrici. Fra luglio e settembre 2019, il 37% dei computer che memorizzano dati biometrici ha subito almeno un tentativo di infezione da malware.

La soluzione del produttore russo di prodotti per la sicurezza è la biometria artificiale. L'idea è curiosa e forse un po' provocatoria, il tempo dirà se è anche funzionale.