Roma – L’Organizzazione per il progresso degli standard informativi strutturati (OASIS), un consorzio no profit costituito dalle maggiori aziende hardware e software a livello mondiale, ha presentato di recente la versione preliminare di un linguaggio standard XML che dovrebbe consentire ai vari sistemi biometrici di “dialogare” e di scambiarsi le informazioni registrate nei singoli database.
L’OASIS ha sviluppato una serie di specifiche, scritte secondo lo standard XML (un linguaggio utilizzato per scrivere numerosi programmi, soprattutto per la gestione di database), che intendono consentire lo scambio di informazioni fra sistemi biometrici cosi’ da facilitare la visualizzazione, la registrazione e l’interrogazione di banche dati contenenti informazioni biometriche. I due standard attualmente utilizzati per le applicazioni di tipo biometrico non prevedono specifiche XML, ossia non prevedono definizioni univoche dei vari tipi di informazioni rilevate, in linguaggio “machine-readable”, cosi’ da facilitare ricerche incrociate e scambi di dati fra sistemi diversi.
Questo nuovo standard, denominato “XML Common Biometric Format 1.0” (XCBF 1.0) intende ovviare al problema; secondo la tabella di marcia di OASIS, la versione definitiva sara’ rilasciata nel mese di novembre 2003.
Davvero interessanti i risultati ottenuti dalla ricerca dell’OASIS che pero’ rischiano di naufragare contro le osservazioni ed in special modo le critiche formulate da Epic, uno degli organismi piu’ attivi nella tutela della privacy e dei diritti civili, che ha immediatamente sottolineato la scarsa attenzione del sistema elaborato dall’OASIS rispetto alle problematiche di privacy, soprattutto alla luce dei rischi potenzialmente associati alla maggiore facilita’ di interazione fra sistemi biometrici utilizzati nei contesti piu’ diversi.
Marc Rotenberg, direttore di Epic, ha sottolineato che non si tratta di un protocollo tale da garantire il rispetto della privacy.
Di fatto, lo standard elaborato si concentra esclusivamente sugli aspetti di sicurezza (garantire l’integrita’ dei dati, impedire accessi non autorizzati) al fine di promuovere l’interoperabilita’ dei sistemi biometrici e favorire la creazione e l’analisi di database contenenti informazioni biometriche, mentre non sembra considerare, a detta di Epic, i problemi derivanti dall’uso di un linguaggio ampiamente diffuso come XML che facilita l’accumulo e l’aggregazione di dati provenienti dalle banche dati piu’ diverse.
In effetti, come e’ noto, la scienza biometrica si basa sull’utilizzo delle caratteristiche fisiche di una persona per la sua identificazione.
A differenza dei badge, delle key cards o delle password, la biometrica non puo’ andare persa, non puo’ essere utilizzata da piu’ persone ne’ venire contraffatta e fornisce una identificazione assoluta e certa. Tutti i sistemi biometrici prevedono una fase iniziale di registrazione durante la quale vengono analizzate le caratteristiche fisiche dell’utente, in modo da memorizzare un codice che verra’ poi ogni volta confrontato con quello ottenuto al momento del tentativo di accesso.
Questa scienza ha assunto una particolare notorieta’ e rilevanza grazie all’elaborazione di particolari mezzi di accesso che confrontano le caratteristiche fisiche dell’utente con quelle memorizzate dal sistema (i cd. sistemi biometrici).
Si tratta della ricerca piu’ avanzata in tema di sicurezza degli accessi informatici. Alcune caratteristiche fisiche dell’utente autorizzato all’accesso, vengono memorizzate dal computer e confrontate con quelle della persona che accede.
Tra i sistemi biometrici si ricordano:
1. le impronte digitali e le impronte palmari;
2. il riconoscimento della voce (difettoso in caso di malattie da raffreddamento);
3. il reticolo venoso della retina dell’occhio;
4. il controllo dinamico della firma (con riferimento anche alla sua velocita’ di esecuzione).
Naturalmente, il fatto stesso che tali sistemi siano strettamente collegati alle caratteristiche fisiche di un utente crea indubbi problemi di privacy rispetto ai quali il Garante non puo’ prescinderne e difatti in una recente decisione che aveva come oggetto la liceita’ dell’utilizzo di sistemi di protezione biometrici da parte delle banche, lo stesso Garante ha manifestato le proprie perplessita’ suggerendo, dopo aver escluso che l’utilizzazione dei sistemi di rilevazione cifrata delle impronte digitali possa essere generalizzata e possa dar luogo a “schedature†o a privazioni di liberta’, un utilizzo di tali strumenti in chiave subordinata rispetto ai normali strumenti di controllo delle Banche qualora sorga la necessita’.
Difatti il principio fondamentale e’ che il ricorso a tali sistemi particolarmente evoluti debba essere soggetto al consenso dell’interessato (v. art. 11 della legge n. 675/96), al quale non puo’ essere imposto un trattamento cosi’ invasivo.
Considerata, quindi, la delicatezza della materia appaiono piuttosto pertinenti le osservazioni della Epic in quanto il ricorso ad un linguaggio di marcatura come l’XML (extensible markup language), che offre la possibilita’ di definire strutture per classi omogenee di documenti e che si sta progressivamente affermando come standard nell’ambito della rete Internet, non costituisce indubbiamente il massimo della sicurezza.
Il linguaggio XML risulta particolarmente efficace nell’ambito della Rete poiche’ consente di specificare vincoli di correttezza strutturale su una classe di documenti attraverso un formalismo di definizione di regole, denominato document type definition (DTD): ogni insieme di documenti che presenta caratteristiche uniformi puo’ essere descritto con uno specifico DTD.
In altri termini al DTD si fa ricorso per definire una metodologia di marcatura: per ogni tipologia di documenti si descrivono diverse componenti, e si da’ un nome ad ogni componente, che puo’ a sua volta essere ulteriormente scomposta in piu’ sottoparti.
Ad esempio componenti di una sentenza potrebbero essere: l’intestazione, l’autorita’, il collegio, le parti, l’oggetto, l’esposizione dei fatti, la motivazione, la decisione, la sottoscrizione.
Tale metodologia propria dei sistemi per la redazione assistita (programmi che, diversamente dai tradizionali word processing, consentono di aggregare ai documenti le informazioni sul contenuto) si fonda sulla distinzione fra tipi o classi di documenti e documenti/istanza, ed in parallelo, fra il modello di documento, che e’ un metadocumento, e il documento finale: nel primo c’e’ conoscenza su come il documento deve essere, nel secondo su come effettivamente e’ (TISCORNIA).
Questa versatilita’ dell’XML se da un lato, quindi, offre grandi vantaggi nello scambio di informazioni e nel dialogo fra banche dati, dall’altro presenta il rovescio della medaglia di un’insufficiente affidabilita’ in tema di sicurezza.
Scritto da
Commenta!