Le iniziative del CNIPA per l’impiego delle tecnologie

biometriche nella P.A.

Alessandro Alessandroni (alessandroni@cnipa.it)Responsabile Ufficio Osservatorio del mercato

Coordinatore Gdl e Cdc sulle tecnologie biometriche

Seminario di studio L’impiego della biometria nella PA: aspetti tecnologici, giuridici e sociali.venerdì 29 aprile 2005

Presupposti delle iniziative sulla biometria del CNIPA

Negli anni passati l’utilizzo della biometria nella PA era limitato: ambito investigativo/forense (sitemi AFIS) applicazioni finalizzate al controllo dell’accesso fisico

del personale a luoghi protetti (ad es. siti militari).

Negli ultimi anni si è manifestato un crescente interesse da parte di amministrazioni pubbliche per l’utilizzo di tecnologie biometriche, in ambiti diversi da quelli “storici” a seguito di diverse esigenze.

Esigenze e ambiti di applicazione emergenti

Esigenze di sicurezza per controllo territorio e frontiere, aree riservate: documenti di identificazione biometrici (passaporto, permesso di

soggiorno, documenti di identità, ecc.) sistemi di videosorveglianza con riconoscimento automatico del volto

(stazioni ferroviarie, stadi, ecc.) Sistemi di controllo accessi ad aree riservate (ad es. CED)

Esigenze di autenticazione di cittadini e dipendenti nell’ambito delle iniziative di e-government: il controllo dell’accesso logico del personale alla postazione di lavoro

e alle applicazioni informatiche critiche (in alternativa alla password) abilitazione all’utilizzo della smart card (in alternativa al pin)

per la firma digitale per il controllo dell’accesso dei cittadini ai servizi disponibili in rete (CNS)

Squilibrio domanda/offerta di soluzioni biometriche

DOMANDA• Esigenza di

maggiore sicurezza (fisica e logica)

• Elevate aspettative su benefici biometria

• Accelerazione applicazioni su larga scala

OFFERTA• Soluzioni

biometriche in generale non mature per uso su larga scala (eccezione AFIS )

• Scarsa conoscenza e attenzione alle criticità

Il gruppo di lavoro per la redazione di linee guida sulle tecnologie biometriche; attività a tempo: 1° documento entro luglio 2004 2° documento entro maggio 2005

Il centro di competenza sulla biometria (da novembre 2003); attività continuativa: Supporto diretto ai progetti della PA Condivisione di best practice Laboratorio per la verifica di metodologie di test Osservatorio tecnologico e normativo

Referente: Claudio Manganelli, Componente del Collegio CNIPA

Iniziative CNIPA

Il gruppo di lavoro per le linee guida

CNIPA

PAC: Ministeri Difesa, Giustizia e Interno

Associazioni fornitori: Anasin, Anie, Assinform, Assintel, Assocertificatori, Federcomin

Esperti Univ.Bologna e Napoli

Garante per la protezione dei dati personali (assiste ai lavori)

Linee guida:obiettivi e destinatari

1° documento (luglio 2004) Fornire indicazioni di carattere generale a supporto delle

amministrazioni pubbliche che intendano valutare l’opportunità o abbiano già deciso di avviare progetti con l’utilizzo di tecnologie biometriche

Offrire una panoramica delle tecnologie disponibili e dei campi di applicazione esaminando sia gli aspetti tecnologici che quelli sociali e normativi con particolare riferimento alla tutela dei dati personali

Fornire elementi per la progettazione e realizzazione di sistemi basati su soluzioni biometriche

2° documento (maggio 2005) Fornire indicazioni operative per la realizzazione dei progetti di

maggiore interesse della PA

Linee guida: contenuti 1° documento

Obiettivi e destinari del documento (cap.1) Definizioni, il processo biometrico, le tecnologie biometriche

(cap.2-3)

I campi di applicazione (cap.4)

Aspetti non tecnici: normativi (privacy) e sociali (cap.5-6)

Elementi per la progettazione e realizzazione (cap.7)

Esempi di realizzazioni in Italia e all’estero (cap.8)

Appendici (cap.9): Gli standard Approfondimenti tecnici (teoria degli errori, valutazione comparativa

e benchmarking) Glossario

Pubblicato nel n.9 dei Quaderni CNIPA e nel sito www.cnipa.it

Linee guidaCap. 2 – Il processo biometrico

Concetti base:

Biometria fisica e comportamentale

Biometria interattiva e passiva

Le fasi del processo biometrico

Verifica ed identificazione Identificazione positiva e

negativa Accesso fisico e accesso

logico

Acquisizione

Estrazione caratteristiche

Confronto (N)

N template

Identificazione

Identità dell’utente o “utente non identificato”

Acquisizione

PIN

Controllo qualità

Estrazione caratteristiche

Supporto memorizzazione

nome template

Registrazione

Aquisizione

PIN

Estrazione caratteristiche

Confronto (1)

1 template

Verifica di identità

Vero/Falso

identità dichiarata

Supporto memorizzazione

Supporto memorizzazione

Linee guidaCap. 3 – Le tecnologie biometriche

1. Impronte digitali

2. Riconoscimento

biometrico del volto

3. Geometria della mano

4. Riconoscimento dell'iride

5. Riconoscimento

biometrico della voce

6. Riconoscimento

biometrico della firma

• Descrizione• Punti di forza e debolezza• Campi di applicazione• Il mercato• Dimensioni del template ed elementi di costo• Approfondimenti (opzionale)

Linee guidaCap. 4 – Applicazioni delle tecnologie biometriche

aree di applicazioni di interesse per la PA:

accesso fisico: rilevazione accesso e/o presenza in aree riservate

accesso logico: autenticazione per l’accesso a transazioni mediante un sistema informatico

documenti di identificazione: passaporto elettronico

Linee guidaCap. 4 – Applicazioni delle tecnologie biometriche

Accesso fisico con dato biometrico applicazioni nella PA

aeroporti, stazioni ferroviarie, porti, luoghi ad alta frequentazione (ad es.: passaporto elettronico)

sedi governative aree riservate all’interno di sedi

governative

Linee guidaCap. 4 – Applicazioni delle tecnologie biometriche

Accesso logico con dato biometrico applicazioni nella PA

particolarmente importante nella operatività dell’e-government come supporto all’autenticazione

in atto o di prossima attivazione presso alcune Amministrazioni

Linee guidaCap. 4 – Applicazioni delle tecnologie biometriche

Accesso logico con dato biometrico applicazioni nella PA

utilizzato come mezzo di autenticazione per l’accesso a transazioni (anche come supporto a sistemi di single sign on)

utilizzabile anche come mezzo di attuazione dell’autenticazione per le misure minime di sicurezza (D.Lvo 196/2003)

documenti di identificazione:PE, PSE, CIE, CMD

Linee guidaCap. 5 – Aspetti normativi delle soluzioni biometriche

L’elemento biometrico non ha una puntuale definizione nella legislazione vigente

In mancanza di tale definizione, si può adottare quella del Gruppo dei Garanti Europei, che definisce il dato biometrico come “informazione, riferita ad una persona fisica, concernete dati che forniscono per loro natura informazioni circa una determinata persona”

Linee guidaCap. 5 – Aspetti normativi delle soluzioni biometriche

La problematica giuridica riguarda la fase del prelievo del dato biometrico, la conservazione del dato, l’uso del dato

L’aspetto decisamente più rilevante è quello del rispetto delle norme sulla privacy

Anche quando è prevista la possibilità di prelievo coattivo del dato biometrico resta l’obbligo del rispetto delle norme sulla privacy del dato stesso

Linee guidaCap. 5 – Aspetti normativi delle soluzioni biometriche

In sintesi, mentre l’orientamento del Garante mostra disponibilità per l’uso di dati biometrici a fini di verifica (tale uso è persino previsto come mezzo per l’autenticazione nelle misure minime di sicurezza relative al trattamento dei dati personali), il Garante limita la liceità dell’uso per l’identificazione della persona a casi di provata necessità, proporzionalità e finalità, come una banca dati realizzata per fini investigativi istituzionali

A fini di verifica va scelta la registrazione del dato biometrico su supporto custodito dall’individuo anziché su banca dati centralizzata

Linee guidaCap. 6 – Aspetti non tecnici della biometria

Oltre alle considerazioni giuridiche e normative, non vanno trascurati gli aspetti di impatto sociale, medico e psicologico:

aspetti sociali: preoccupazioni per l’accessibilità e l’uso discriminatorio del dato biometrico

aspetti medici: preoccupazioni per l’uso di apparati biometrici (contatto con superfici per il rilevamento delle impronte, esposizione all’irraggiamento IR)

aspetti psicologici: “cessione” di un proprio dato biologico

Queste preoccupazioni sono prevedibilmente destinate a scomparire o ad attenuarsi col diffondersi della biometria

Linee guidaCap. 7 – Elementi per la progettazione e la realizzazione di

una soluzione biometrica

Verifica necessità biometria

Valutazione e scelta delle tecnologie (parametri di valutazione)

Localizzazione dell’identificatore biometrico (individuo/banca dati)

Componenti di un sistema biometrico

Costi/benefici

Sicurezza dei dati e dei sistemi biometrici

Linee guidaCap. 7 – Elementi per la progettazione e la realizzazione di

una soluzione biometrica

Parametri di valutazione: sicurezza (accuratezza, resistenza a tentativi di

inganno e manomissione)

robustezza (rispetto all’ambiente, al tempo, alla popolazione, ecc.)

usabilità (per l’utente e per l’amministratore)

accettabilità

varie (costo, ingombro, dimensione template, aderenza standard, integrabilità e adattabilità)

Linee guidaCap. 7 – Elementi per la progettazione e la realizzazione di

una soluzione biometrica

impronte geometria della mano

iride viso voce firma

accuratezza alta medio/alta molto alta media medio/bassa medio/bassa

accettabilità medio/alta medio/alta media alta alta alta

usabilità medio/alta alta medio/alta alta alta alta

stabilità nel tempo della caratteristica fisico/comp.

alta media alta medio/bassa media medio/bassa

costo del sensore

basso medio basso/alto medio/alto basso medio

dimensioni del template

800 – 1500 byte

10 byte 512 byte 1000 – 2000 byte

2000 – 10000 byte

1500 byte

maggiori cause di errore

aria troppo seccascarsa accettazionepolpastrello sporco e/o rovinato

lesioni traumatiche della mano

condizioni di illuminazionedanneggiamento dell’occhio

condizioni di illuminazione

rumori di fondo

Com

para

zione t

ecn

olo

gie

Linee guidaCap. 7 – Elementi per la progettazione e la realizzazione di

una soluzione biometrica

impronte digitali

geometria della mano

iride viso voce firma

accesso fisico di massa

buono ottimo buono buono / medio

- -

accesso fisico a zone sensibili

buono buono/medio

ottimo buono / medio

- -

accesso logico ottimo - medio buono/ medio

medio -

documenti ottimo - buono ottimo - -

transazioni economiche/e-government

buono - medio/buono

medio/buono

buono buono

sorveglianza - - - buono - -

Tecn

olo

gie

/ap

plic

azi

on

i

Il centro di competenza sulla biometria

Componenti: CNIPA:Alessandro Alessandroni (coordinatore),

Giovanni Manca, Giovanni Rellini Lerz, Stefano Venanzi,Valeria Mirabella

CNR: Mario Savastano (consulente scientifico) Ministero Interno: Stefano Petecchia

(Laboratorio)

Il centro di competenza sulla biometria:attività svolte

Supporto alle amministrazioni con iniziative biometriche in corso;

Analisi dell’evoluzione del mercato delle tecnologie biometriche anche attraverso contatti con fornitori presenti sul mercato nazionale e internazionale;

Articolo “Le tecnologie biometriche nella Pubblica Amministrazione” pubblicato sul numero di giugno 2004 della rivista ICT Security;

Gestione e aggiornamento dei contenuti pubblicati sul sito del CNIPA;

Partecipazione al Biometrics Summit della Commissione Europea svoltosi a Dublino il 14/15 Giugno 2004.

Interventi a: Convegno OMAT – Roma, 10 novembre 2004 “Tecniche e strumenti per la sicurezza e la privacy dei dati”- Milano, 18

novembre 2004

Organizzazione del convegno “La Biometria entra nell'e-government”, 23 novembre 2004 – Atti in corso di pubblicazione nei quaderni CNIPA.

Laboratorio di test

Il CNIPA ed il Ministero dell’Interno stanno definendo un accordo di collaborazione per eseguire una sperimentazione congiunta sui sistemi di riconoscimento biometrici più diffusi (impronte digitali e volto) al fine di verificare le prestazioni e la interoperabilità delle

soluzioni presenti sul mercato, definire requisiti, modalità di test e valori di soglia che

possano poi essere utilizzati dall’intero comparto pubblico.