PSD2, intelligenza artificiale e identità

Il 14 settembre è entrata in vigore la normativa PSD2 che inserisce cambiamenti significativi nella gestione delle operazioni di internet banking. In particolare introduce un nuovo standard di autenticazione SCA (Strong Customer Authentication), volto ad aumentare i livelli di sicurezza. l’SCA porta alla sostituzione delle le vecchie “chiavette” che siamo soliti utilizzare, con lo smartphone. Il cambiamento del mezzo (oltre a sancire, di fatto, l’obbligatorietà al possesso di uno smartphone evoluto) è interessante non tanto per il cambio dello strumento in se, quanto per quella che implica in termini di riconoscimento della identità personale. Alla base dei nuovi metodi di riconoscimento ci saranno: il riconoscimento dell’impronta digitale o del volto, entrambi basati sull’utilizzo dell’intelligenza artificiale.

Se da un lato questo sancisce e ufficializza la maturità tecnologica di questi strumenti, dall’altro apre interrogativi sulla gestione della identità digitale (intesa come una certificazione che siamo noi a operare quando siamo nel web).

Proviamo a capire. Io inserisco sul mio smartphone (a prescindere dal fatto che userò l’APP del conto corrente) la mia impronta digitale o l’immagine del mio volto. Questo permette allo smartphone di riconoscermi e di sancire che lo sto usando proprio io.

Poi apro la APP della mia Banca. Al posto di inserire un codice che la mia banca mi ha fornito (tramite la chiavetta), la APP chiede allo smartphone se sono proprio io che sto usando la APP. Il sistema è molto comodo e veloce, oggi si direbbe “user friendly”.

Chi certifica la mia identità? Non la banca, ma il produttore del telefono.

Quindi la verifica iniziale dell’identità del soggetto (per impronta digitale o visiva) viene effettuata dal dispositivo. Si tratta del riconoscimento dell’utilizzatore del dispositivo, in modo disgiunto rispetto al riconoscimento della titolarità (o delega a operare sul conto corrente).

La consegna delle informazioni digitalizzate delle impronte digitali e dei tratti del viso non viene più nei confronti dell’operatore bancario, bensì all’operatore privato che gestisce l’hardware e che detiene l’onere del riconoscimento. Questo operatore potrebbe decidere di impedire l’accesso, sospenderlo, essere vittima di attacchi informatici o malfunzionamenti, portando a sospensioni anche importanti della operatività bancaria.

Questa separazione fra l’operatore bancario e il produttore del dispositivo dovrà essere risolta (e non dal punto di vista della tecnologia, ma del processo). Manca il concetto di identità digitale on-line e della definizione di una entità (nazionale, sovranazionale, privata) che la certifichi.

La SCA, di fatto, indica in chi produce smartphone (e il relativo software) come soggetto emettitore (privato) di un di “passaporto digitale” accettato dagli operatori bancari e non univoco.

E’ quindi necessario chiarire una zona d’ombra, definendo la identità di una persona nello spazio digitale e chi è titolato a farlo. Su questo tema manca ancora a livello politico una riflessione che, inevitabilmente, dovrà superare la competenza della identità ora detenuta dagli stati nazionali.