Le tue impronte digitali. Quelle vere e quelle che non sai di lasciare

Ogni mattina, miliardi di persone sbloccano il proprio telefono con un gesto rapido e quasi inconscio: un dito appoggiato su un sensore, mezzo secondo, e il dispositivo si apre.

Non ci pensiamo, è diventato automatico quanto respirare, ma quel gesto nasconde più di quanto sembri, a partire da una serie di malintesi sul funzionamento reale della biometria e da lì fino al tipo di impronte che lasciamo ogni giorno senza accorgercene.

Il tuo pollice non va da nessuna parte

Il primo e più diffuso equivoco riguarda cosa succede esattamente quando registriamo un’impronta sul nostro smartphone.
L’idea comune è che il telefono fotografi il polpastrello e conservi quell’immagine da qualche parte, pronta a essere trasmessa o trafugata, non è così.

Quando si registra un’impronta, il sistema non conserva l’immagine del dito: genera una rappresentazione matematica, una serie di coordinate e valori numerici estratti dalla mappa papillare, e da quei dati non è possibile risalire all’impronta originale.

È come se qualcuno, invece di fotocopiarti il documento, scrivesse su un foglio solo alcune misure ricavate da quel documento: può verificare che sei tu, ma da quel foglio non può ricostruire niente. In pratica un insieme di numeri che permette il riconoscimento ma da cui l’impronta originale non si ricava.

Lo sblocco successivo funziona per confronto tra quella rappresentazione e ciò che il sensore rileva al momento: se i valori coincidono entro una certa soglia, il telefono si apre.

Questa analisi utilizza la mappatura angolare del disegno papillare dello strato sottocutaneo del dito, un processo che scarta i dettagli particolari che sarebbero necessari per ricostruire l’impronta reale.

Tutto avviene all’interno di un’area protetta del processore, chiamata Secure Enclave su iPhone o con nomi equivalenti su Android, progettata per essere inaccessibile al resto del sistema anche in caso di compromissione del dispositivo.

Quando un’app richiede la verifica dell’impronta, riceve soltanto una risposta binaria, autorizzato o non autorizzato, senza accedere ad alcun dato sottostante.

Ogni produttore parla la sua lingua

Le impronte registrate su un dispositivo non sono trasferibili su nessun altro e la ragione non è commerciale ma tecnica.

Ogni produttore sviluppa il proprio algoritmo di rilevamento e la propria architettura di sicurezza.
Il modo in cui Apple calcola la rappresentazione matematica dell’impronta è diverso da quello di Samsung, che è diverso da quello di un dispositivo Android di fascia media con sensore ottico sotto-schermo.

I formati non sono compatibili, i chip non parlano tra loro, e anche se fosse teoricamente possibile estrarre il template matematico da un dispositivo, quel dato sarebbe illeggibile e inutilizzabile su qualsiasi altro sistema.

È come una chiave forgiata su misura: cambia la serratura, e non apre più niente.

Le garanzie sulla conservazione dei dati seguono la stessa logica frammentata.
Apple è esplicita nella propria documentazione: i dati biometrici non lasciano il dispositivo, non vengono inclusi nei backup e non sono accessibili nemmeno all’azienda stessa.
Nell’ecosistema Android la situazione dipende dal produttore e dalla qualità del chip adottato: sui dispositivi di punta le garanzie sono comparabili a quelle di Apple, su quelli di fascia media o bassa molto meno.

La grande paura che queste rappresentazioni matematiche dei nostri polpastrelli finiscano su qualche server è dunque infondata per chi usa dispositivi di fascia alta con architetture documentate, mentre su dispositivi che di quella documentazione non dispongono un po’ di cautela è giustificata.

Vulnerabile, sì, ma quanto?

Chiarito il funzionamento, va aggiunto che il sistema non è infallibile.
Una ricerca condotta dal Talos Security Group ha dimostrato che impronte artificiali possono ingannare i sensori di diversi dispositivi, con un tasso di successo che in alcuni casi raggiunge l’80% dei tentativi su venti prove condotte. Già nel 2013, poco dopo il lancio dell’iPhone 5S con Touch ID, i ricercatori avevano dimostrato che la tecnologia poteva essere aggirata fotografando un’impronta su una superficie di vetro e usando quel calco per creare uno stampo fisico.

Tecniche più sofisticate esistono, alcune richiedono materiali accessibili, altre sono decisamente più elaborate.

Il contesto conta, perché questi attacchi richiedono accesso fisico al dispositivo, tempo, risorse e spesso la collaborazione involontaria della vittima, e non sono attacchi da remoto.
Il rischio reale per l’utente medio è molto più basso di quanto i titoli da laboratorio suggeriscano, e resta di gran lunga inferiore al pericolo di usare un PIN a quattro cifre scelto male, che per metà degli utenti fa rima con “1234”.

La biometria non è un sistema perfetto, ma confrontata con i comportamenti reali delle persone in materia di password, regge abbastanza bene.

C’è però una situazione che merita attenzione: in alcuni paesi con garanzie giuridiche inferiori alle nostre, un sospettato può essere obbligato a sbloccare il proprio dispositivo con impronta digitale o riconoscimento facciale, anche in aeroporto durante i controlli di frontiera.

In quei contesti è consigliabile disattivare temporaneamente il riconoscimento biometrico prima di attraversare certi confini, un PIN non si può estrarre con una pressione sul dito.

Le impronte che non sai di lasciare

Fin qui abbiamo parlato del pollice sul sensore, ma c’è un’altra categoria di impronte digitali, quella che dà il vero significato al titolo di questo articolo, e che riguarda tutti, indipendentemente da come si sblocca il telefono.

Si chiama browser fingerprinting, che potremmo tradurre letteralmente come “impronta digitale del browser”, e il collegamento con l’impronta fisica non è casuale né poetico, è proprio lo stesso principio.

Come ogni persona ha solchi papillari unici sul polpastrello, ogni browser installato su ogni dispositivo produce una combinazione di caratteristiche tecniche che lo rende identificabile in modo univoco.
Non serve registrarsi da nessuna parte, non serve fare nulla di sbagliato: basta navigare.

Il meccanismo funziona raccogliendo informazioni passive sul dispositivo: la versione del browser, il sistema operativo, la risoluzione dello schermo, i font installati, le impostazioni grafiche, la scheda audio, il fuso orario. Prese singolarmente, queste informazioni sembrano banali, combinate insieme, generano un identificatore unico, o quasi, per ciascun dispositivo, stabile nel tempo e che, a differenza di un cookie, non si cancella svuotando la cronologia.

Questo meccanismo non è legato a un account, non richiede che l’utente sia loggato da qualche parte, e opera su qualsiasi dispositivo che utilizzi un browser per navigare, dal telefono al laptop al tablet della scrivania.

Il browser in modalità privata o incognito offre una protezione parziale, perché non salva la cronologia localmente ma non nasconde la configurazione tecnica del dispositivo al sito che si sta visitando. In certi casi, persino quella modalità non è sufficiente a impedire che la combinazione di caratteristiche tecniche risulti identificabile.

A differenza dei cookie, che sono localizzabili, gestibili e soggetti a consenso, le impronte digitali del browser raccolgono informazioni passive per creare identificatori persistenti e difficili da eliminare.

Questi dati non restano sul dispositivo come accade con le impronte biometriche: vengono trasmessi in tempo reale ai server delle piattaforme ogni volta che si carica una pagina che incorpora script di tracciamento di terze parti, attraverso processi invisibili che operano in background senza che l’utente veda o senta nulla.

Chi vuole farsi un’idea concreta di quanto sia pervasivo questo sistema può partire da un esercizio semplice: guardare l’indirizzo di un link ricevuto via email o copiato da un social network.
Se dopo il nome del sito compare un punto interrogativo seguito da sigle come fbclid, gclid o utm_source, si sta leggendo la firma digitale di quel clic, un codice che registra da dove si viene, attraverso quale campagna, su quale dispositivo, in quale momento.

Quando si condivide un link da Facebook, la piattaforma aggiunge automaticamente il proprio identificatore, un codice che traccia il clic all’interno del suo ecosistema; lo stesso accade con Google, Microsoft e decine di altre piattaforme pubblicitarie, ciascuna con il proprio parametro.

Non è ancora il fingerprinting in senso tecnico, che opera a un livello più profondo e silenzioso, ma è la sua superficie visibile, la parte del tracciamento che si può leggere e che già, da sola, racconta molto su come siamo seguiti mentre navighiamo.

Poi ci sono i comportamenti: ogni ricerca fatta, ogni prodotto sfiorato con lo sguardo su un sito, ogni video guardato a metà, ogni notifica ignorata, il tempo trascorso su una pagina prima di abbandonarla, l’orario in cui si naviga, tutto questo produce segnali.

Alcune piattaforme rilevano persino il momento in cui un utente sta considerando di disdire un abbonamento, leggendo sequenze di clic che per l’essere umano sembrano casuali ma che per l’algoritmo hanno una forma riconoscibile.

Il problema non è il sensore sul telefono

Tutto questo ci porta a una riflessione che non è di natura tecnica ma di postura culturale.

Il dibattito pubblico sulla privacy digitale si concentra spesso sulle cose visibili: il consenso ai cookie, il banner che appare all’ingresso di un sito, la scelta se condividere la posizione con un’app.

Sono scelte reali, che contano, ma lasciano fuori dalla discussione il meccanismo più profondo e meno consapevole, quello che opera silenziosamente attraverso il modo in cui navighiamo, consumiamo contenuti, interagiamo con i servizi digitali.

Il dato biometrico che il chip del telefono tiene al sicuro è uno dei pochi dati su di noi custodito con rigore tecnico reale, in un settore che quella trasparenza raramente la pratica.

Le impronte che lasciamo ogni giorno navigando, acquistando, cliccando e soprattutto esitando costruiscono profili di una precisione che la nostra impronta fisica non raggiungerà mai.

Il Regolamento europeo sulla protezione dei dati classifica i dati biometrici come categoria particolare, soggetta a protezioni rafforzate, perché il legislatore ha compreso che da essi si ricavano informazioni inalienabili sulla persona.

Ma la profilazione comportamentale che avviene ogni giorno, legalmente, con consenso cliccato distrattamente su un banner, costruisce una mappa di noi stessi altrettanto intima e, nella pratica, molto più difficile da contestare.

Il nostro profilo digitale non è fatto solo di dati che cediamo esplicitamente, è fatto soprattutto di tracce che lasciamo senza accorgercene, in quella zona grigia tra il consenso formale e la consapevolezza reale.

Il sensore sul telefono, paradossalmente, è il punto dove i nostri dati sono più al sicuro.

Il problema è tutto il resto.