Immagina la scena: stai correndo per prendere il tuo volo, cercando disperatamente di accedere alla carta d’imbarco sul telefono. Il tuo password manager si blocca, hai dimenticato la (lunghissima) recovery phrase e i minuti scorrono mentre ti confronti con requisiti di autenticazione sempre più complessi.
Ora immagina la stessa situazione, ma il tuo telefono riconosce il tuo volto in una frazione di secondo. Questo passaggio, dalla frizione delle password tradizionali alla fluidità dell’autenticazione biometrica, rappresenta uno dei cambiamenti più significativi nella sicurezza digitale degli ultimi anni.
Quali sono le sfide intrinseche di un sistema basato sulle password?
Yann Guégan: Il problema delle password è che devono essere ricordate. Con i progressi tecnologici, password troppo semplici possono letteralmente essere violate in 2,5 secondi. Devono quindi diventare sempre più complesse, e questo genera stress mnemonico. Gli utenti finiscono per aggirare la logica, annotando la password su un post-it o in un file. Il che, naturalmente, è fortemente sconsigliato!
Questa criticità diventa ancora più rilevante in un contesto professionale. Nell’uso quotidiano, provo ansia ogni volta che la mia password scade, soprattutto quando il sito mi impone di non riutilizzare le stesse per 3 o 5 anni.
In che modo la biometria risolve il paradosso tra sicurezza e facilità d’uso?
Yann Guégan: La biometria elimina il problema alla radice: non c’è nulla da ricordare, sei tu la tua chiave. Che si tratti di un’impronta digitale, del volto o dell’iride, non esiste alcuno stress mnemonico. In termini di friction, avviene esattamente l’opposto di ciò che accade con le password. I tuoi dati biometrici vengono conservati esclusivamente sul tuo dispositivo. Il sistema cattura il volto o l’impronta, genera delle keys trasparenti per l’utente, e sono queste keys a essere trasmesse, non il dato biometrico in sé. È esattamente l’approccio integrato nelle soluzioni che implementiamo.
Etienne Loth: Oggi è diventata una forma di comodità, quasi scontata nell’uso quotidiano. È un acceleratore estremamente efficace, molto più rapido dei sistemi di two-factor authentication (inserire una password, ricevere un SMS, digitare il codice). È anche più sicura, perché molto meno condivisibile rispetto a un codice.
Detto questo, questa evoluzione porta con sé nuove sfide. Introduce nuovi rischi: l’algoritmo verifica correttamente che la persona sia viva e non un’immagine piatta? Esistono già casi di maschere iper-realistiche utilizzate per aggirare i controlli. Ma questi rischi restano marginali rispetto al furto quotidiano di password o di interi database.
Si osservano ancora resistenze nell’adozione della biometria?
Yann Guégan: Esiste un evidente divario generazionale. Chi è nato con lo smartphone accetta la biometria in modo naturale. Lo smartphone è il vero motore di questa trasformazione. Le preoccupazioni legate alla biometria riguardano soprattutto la videosorveglianza, perché percepita come invasiva. Quando invece sono io a scegliere di usare i miei dati biometrici per semplificarmi la vita, l’approccio cambia completamente.
Etienne Loth: Questa accettazione progressiva si riflette in implementazioni molto concrete. La digital identity ne è un esempio chiaro: un programma con requisiti biometrici rigorosi, basato su smartphone, che permette di accedere a patente di guida, immatricolazione dei veicoli e tessera sanitaria. Oggi ci sono più di 2 milioni di identità digitali attive. Un metodo biometrico viene adottato quando il suo scopo è chiaro e risponde a un bisogno reale.
In questo contesto, Sopra Steria sviluppa soluzioni come Capitole, che consente l’autenticazione biometrica utilizzando le informazioni contenute nel chip del passaporto, e sistemi AFIS come Unify, ampiamente implementati nei Paesi dell’Europa del Nord.
In che modo l’autenticazione biometrica può rispondere alle sfide dell’inclusività?
Yann Guégan: Le complessità emergono soprattutto nell’identificazione facciale, cioè nel riconoscere una persona tra molte. Nell’autenticazione, invece, confrontiamo un volto o un’impronta catturata con un insieme limitato di dati. Con le impronte digitali, più una persona invecchia, più diventa difficile catturarle a causa della secchezza della pelle. Questo non vale per il riconoscimento facciale. Per questo è essenziale prevedere opzioni di backup e procedure di re-enrollment.
L’innovazione, però, apre nuove prospettive. Stanno emergendo promettenti forme di «hidden biometrics», come il riconoscimento delle vene. Non può essere rubato e non si degrada nel tempo. In Sudafrica, i minatori con impronte ormai inutilizzabili si autenticano grazie alla mappatura delle vene per ricevere lo stipendio. Arriva anche l’autenticazione multimodale: impronta e volto, oppure volto e iride, utilizzati simultaneamente in un unico gesto.
L’intelligenza artificiale può creare nuovi rischi per l’autenticazione biometrica?
Etienne Loth: L’AI ha effettivamente due facce. Da un lato, può generare rapidamente immagini o persino maschere stampate in 3D. Ciò che prima era difficile da ottenere è ora molto più accessibile. L’AI accelera gli attacchi: chi vuole mettere fuori uso un servizio può generare in massa immagini facciali e usarle per attacchi denial-of-service.
Dall’altro lato, l’AI offre opportunità in termini di rapidità di confronto e capacità di archiviazione. Oggi un volto è rappresentato da un certo numero di punti di riconoscimento. Con una capacità maggiore, possiamo normalizzarne molti di più, permettendo confronti più completi ed esaustivi.
La password scomparirà definitivamente?
Yann Guégan: Credo di sì. È una convinzione profonda, anche perché è nell’interesse commerciale delle aziende fare in modo che il login non rappresenti una barriera per i potenziali clienti. Questo cambiamento sembra inevitabile, soprattutto mentre le falle dell’attuale sistema continuano a moltiplicarsi.
Etienne Loth: Le password diventeranno strumenti di backup, da usare solo quando necessario. Il primo istinto, di fronte a password complesse, è salvarle nel browser. Oggi questi vault contengono decine di password: quando vengono compromessi, tutti i tuoi account diventano vulnerabili.
Eventi recenti confermano queste preoccupazioni, come la scoperta di una fuga di 16 miliardi di password che coinvolge piattaforme come Apple, Facebook e Google, un episodio che evidenzia i limiti dei password manager integrati nei browser. Il riconoscimento facciale è la parte visibile, ma la vera sfida è sviluppare strumenti capaci di eliminare le frodi basate su fotografie.
Quali sono le sfide strategiche per l’Europa in questo ambito?
Etienne Loth: La Francia possiede una vera expertise in diverse tecnologie biometriche, come il battito cardiaco, i sistemi venosi e la voce. È un punto di forza del nostro ecosistema, composto da start-up, centri di ricerca e attori industriali. L’unico rischio è quello di non dar loro l’opportunità di sperimentare e crescere. Altri Paesi investono massicciamente, permettendo test e sperimentazioni. Con regolamentazioni non adeguate, rischiamo di soffocare l’ecosistema francese ed europeo.
Contenuto originale pubblicato il 18 Ottobre 2025: From password to biometrics: What future for authentication?
____________________________________________________