Gartner lancia l’allarme sul riconoscimento facciale: entro due anni le aziende potrebbero non considerarlo più affidabile a causa del deepfake. La società di analisi mette le mani avanti con un comunicato ufficiale di lancio del prossimo Gartner Security & Risk Management Summit, previsto a Dubai il 12 e il 13 febbraio prossimi.

“Le immagini generate artificialmente di volti di persone reali, note come deepfake, possono essere utilizzate da soggetti malintenzionati per indebolire l'autenticazione biometrica o renderla inefficiente - dichiara Akif Khan, VP Analyst di Gartner -. Di conseguenza, le organizzazioni potrebbero iniziare a mettere in discussione l'affidabilità delle soluzioni di verifica dell'identità e di autenticazione, poiché non saranno in grado di dire se il volto della persona da verificare è una persona reale o un deepfake”. E questo è un serio problema per il comparto delle soluzioni per l’autenticazione biometrica.

Sempre secondo l’analista di Gartner, i fornitori di questo tipo di soluzioni non sono ancora in grado di smascherare un deepfake. Questo nonostante i processi di verifica dell’identità e di autenticazione oggi si basino sull’approccio PAD (Presentation Attack Detection). Per definizione, un PAD prevede la misurazione e l'analisi delle caratteristiche anatomiche o delle reazioni involontarie o volontarie, proprio per determinare se davanti a un dispositivo in autenticazione c’è la persona in carne e ossa, e che sia quella che ci deve essere.

Una ricerca di Gartner ha dimostrato che quelli al PAD sono il vettore più comune per gli attacchi di tipo injection, aumentati del 200% nel 2023. Di conseguenza, il consiglio per i fornitori di soluzioni di riconoscimento biometrico è di proporre una combinazione di PAD, rilevamento degli attacchi injection (IAD) – quindi modifica del codice applicativo - e ispezione delle immagini grazie all’AI, in particolare machine learning e image recognition.

E non è la prima volta che Gartner alza la manina. Nella sua 2023 Gartner Market Guide for Identity Verification, la società di analisi concludeva: “L'approccio secondo cui ogni organizzazione esegue la verifica dell'identità dei propri utenti a ogni richiesta è inefficiente, costoso e dannoso per l'esperienza dell'utente. E la situazione non cambierà, poiché il numero di interazioni digitali aumenta continuamente. L’identità digitale deve essere sicura, semplice e, idealmente, portabile. Il mercato della verifica dell’identità sta entrando in un periodo di transizione, poiché una gamma ampia e diversificata di iniziative di identità digitale portatile maturano, entrano nel mercato o sono sottoposte a programmi pilota su larga scala”.

I 10 servizi biometrici più apprezzati

Eppure, il mercato specifico dei fornitori di servizi biometrici è florido e in ascesa. Secondo le stime, il valore economico dovrebbe raddoppiare in cinque anni. GRC Viewpoint, in cui GRC sta per Governance, Risk e Compliance, ha stilato la classifica delle 10 aziende più apprezzate in questo campo in base alle recensioni presenti sul proprio sito.

Nella lista si citano: 3M Cogent che fa parte di Thales, fornitore francese di sistemi di protezione e sicurezza con importanti commesse in ambito Difesa anche negli Stati Uniti; le americane Daon, BIO-key e Accu-Time Systems; la svizzera Spitch; l’inglese IrisGuard, la sudcoreana Suprema; la tedesca Cognitec; la giapponese Fujitsu e la slovacca Innovatrics.

Alcune di queste aziende non sono specializzate nel riconoscimento biometrico, ma hanno sviluppato una soluzione specifica da integrare in un’offerta più ad ampio spettro. Per esempio, la svizzera Spitch sviluppa una piattaforma omnicanale conversazionale per facilitare e supportare il dialogo tra azienda e clienti.

“Utilizziamo la biometria in tre scenari principali - afferma Alexey Popov, CEO e fondatore di Spitch -. Il primo prevede una verifica durante le conversazioni tra persone, ad esempio nell'ambito di un call center. Il secondo scenario riguarda l'implementazione della soluzione in un ‘IVR’ (Interactive Voice Response) o in un agente virtuale. In questo caso si possono utilizzare sia approcci basati sul testo che approcci ibridi al fine di autenticare il cliente durante la prima interazione. Infine, il terzo scenario applicativo utilizza la biometria vocale per distinguere gli individui all'interno di un gruppo per il rilevamento delle frodi”.

Ma c’è anche chi si è specializzato esclusivamente nel riconoscimento dell’iride (IrisGuard), chi lavora nel settore dal 1993 (BIO-key), chi si è fatto un nome nel campo dei lettori di presenze come Acc-Time Systems e fornitori di tecnologia a 360 gradi come Fujitsu.

Generalmente, chi realizza soluzioni biometriche per l’accesso ingloba in un unico prodotto il riconoscimento via impronta digitale, quello facciale, dell’iride o della retina. Si tratta dei sistemi più diffusi e anche più “facili” da sviluppare e rivendere. Ma, in verità, di parametri di riconoscimento biometrico ne esistono 16 secondo il Biometrics Institute, equivalenti a 16 caratteristiche uniche di una persona.

Si va dal DNA alla forma dell’orecchio, dal Canale di Schlemm presente nell'occhio alla geometria delle dita o della mano, dalla camminata al battito del cuore, dal modo in cui si digita sulla tastiera all’odore, dalla firma analogica alla disposizione delle vene della mano fino alla voce.

Di queste modalità di riconoscimento univoco poche sono (ancora) realmente falsificabili, ma preferirle rispetto a quelle più diffuse non è affatto scontato, soprattutto per una questione di costi di implementazione della tecnologia. E sarà il mercato a indirizzarne lo sviluppo, ma solo se ne vale la candela.

Ovvero, quanto è il valore strategico ed economico di un certo business affinché si giustifichi l’investimento aziendale in una tecnologia di autenticazione biometrica supersofisticata? Ciò che succede, proprio per compensare i limiti di alcune tecnologie come il riconoscimento facciale appunto, è di sviluppare sistemi di autenticazione mista a cascata. Ma anche qui, la posta in gioco deve valerne la spesa e, infine, come ha ricordato Gartner la user experience ne risente.