Progetto SeCRI

Descrizione del progetto

L’iniziativa intercetta un fabbisogno crescente che deriva da una generale richiesta di maggiore sicurezza ed affidabilità delle transazioni online, dal ruolo più critico significativo che ha assunto l’identità digitale, dalla presenza di un contesto normativo emergente, e dal crescente fenomeno delle false identità e dell’impersonation.

Il progetto SeCRI effettua il tentativo di incapsulare ed automatizzare all’interno di un processo applicativo diversi approcci tipicamente operanti in maniera indipendente, quali quelli tipici dell’autenticazione, quelli convenzionali dell’identificazione e della verifica dei documenti di identità, quelli del riconoscimento e quelli propri dell’intelligence basata su dati accessibili pubblicamente (OSINT).

Il Progetto SeCRI si propone anche di utilizzare informazioni disponibili su Internet (Social Network e web data) per sperimentare una metodologia di “Social-trust” dell’identità della persona. Tale metodologia si avvarrà di informazioni disponibili sulle fonti aperte reperibili su Internet, sfruttando possibili tracce che il soggetto da identificare lascia sul Web (i social network sono certamente la fonte principale) incluse le immagini.

L’obiettivo è quello di cablare all’interno della metodologia di Progetto un’attività assimilabile ad una vera e propria investigazione di tipo OSINT, costruendo un modello di trust che permette di misurare l’affidabilità delle informazioni (eventualmente georeferenziate) reperite sul web e che si può avvalere della organizzazione a grafo fornita dalle relazioni di amicizia, che può pertanto costruire una base per ragionamenti di tipo “transitivo”, permettendo cioè la propagazione del trust.

Le deduzioni derivanti dalla componente social della metodologia sono in genere combinate con le metodologie prima citate e il risultato finale deve essere sempre pensato come uno strumento di supporto che, ove non vi siano restrizioni normative, può essere adottato in maniera esclusiva.

In tutti gli altri casi, il processo/servizio proposto nel progetto non preclude in alcun modo l’adozione delle procedure tradizionali o che potrebbero richiedere la presenza di persone con specifici ruoli o funzioni, come i casi in cui l’identificazione ex-lege debba essere fatta da pubblico ufficiale. In altri termini, è da rimarcare che il modello di funzionamento del processo/servizio proposto nel progetto non prevede alcuna modifica normativa.

È importante osservare che, sebbene il progetto riguardi in maniera specifica il problema dell’identificazione degli utenti, i risultati del progetto potranno servire anche per valutare se i processi di identificazione remota, in casi in cui il livello di assurance richiesto è alto, possano essere adottati al fine di implementare strategie di verifica dell’autenticazione in combinazione con approcci di behavioral anomaly detection.

Pilastro del progetto è la dimostrazione concettuale e pratica della possibilità di identificare in via automatica un determinato soggetto (persona fisica) partendo dai seguenti elementi:

  • la persona
  • il documento di identità
  • il terminale
  • i social network

 

structure-light-led-movement-158826-(1080-x-1000

Registrazione

Dopo avere fatto il download dell’applicazione l’utente si registra sul sito del servizio da sottoscrivere, che per gli obiettivi progettuali sarà una pagina di servizio, mentre nello scenario applicativo potrà fare riferimento a qualsiasi tipologia di servizio (conto corrente bancario, richiesta credenziali SPID, richiesta certificati digitali, acquisti online) e al termine della registrazione visualizza su una determinata pagina un qr code personale univoco.

Avvio del processo di identificazione

L’utente apre l’app precedentemente installata e inquadra il qr code: se il qr code è riconosciuto avviene l’enrollment del dispositivo e viene attivato il processo di identificazione che è governato dalla app e dal suo back end. N.B.: lo step 1 potrebbe essere embedded nello step 3.

Acquisizione dell’immagine del documento

Il sistema SeCRI attraverso l’app, richiede all’utente di inquadrare con la telecamera posteriore il documento di identità. L’idea è di realizzare dei template relativi ai documenti in circolazione (C.I., Patente, Passaporto) e di fare in modo che, così come avviene per i qr code, sia l’intelligenza cablata nell’ app a determinare l’inquadratura e lo scatto della foto, controllando anche alcuni parametri quali le condizioni di luce, la messa a fuoco, etc.

Acquisizione dell’immagine del volto

Questo step appare più complesso in quanto le telecamere anteriori installate su gran parte dei terminali in circolazione non sono dotate di altissime risoluzioni o focali, cosa che sta creando non pochi problemi ai pionieri dell’identificazione remota che sono attualmente confinati all’interno del classico “Selfie”. Il progetto SeCRI intende bypassare il problema ricorrendo non ad un singolo scatto ma bensì ad una breve ripresa video del volto dell’utente.

Check 1 – Confronto delle due evidenze e prima validazione dell’identità

In questo step il back-end di SeCRI mette a confronto l’immagine presente sul documento di identità con il flusso video catturato dalla mobile app restituendo un rating percentuale della corrispondenza.

Check 2 – Controllo del documento

In questa fase, sfruttando la tecnologia, verrà analizzata l’intera immagine del documento di identità ed utilizzando template predefiniti con specifici ancoraggi e riferimenti, verranno estratti i dati riportati sul documento (ente emittente, scadenza, dati anagrafici, timbri, bolli etc).

Check 3 – Verifica e controllo incrociato dei dati raccolti

Si tratta di una fase molto importante nella quale gli algoritmi sviluppati determinano in base a policy predefinite, variabili a seconda delle necessità del contesto operativo, il livello finale di trust dell’identità del soggetto esaminato. In questa fase potranno essere attivati (se la policy applicata lo richiede) ulteriori controlli “Antifrode” utilizzando elementi quali la georeferenziazione dell’utente, l’interfacciamento con il sistema SCIPAFI oppure ricorrendo alla metodologia del “Social-Trust”.

clem-onojeghuo-180152-(1080-x-720)

Negata identificazione dell’utente

Di seguito alcuni esempi in cui potrebbe essere negata l’identificazione dell’utente:

Questi sta eseguendo la procedura lontano dall’indirizzo indicato in fase di registrazione (residenza, domicilio) oppure si trovi in quel momento fuori dai confini nazionali.

I dati raccolti in maniera automatica dal documento di identità non combaciano con quelli inseriti in fase di registrazione oppure nel caso che il codice fiscale inserito non trovi riscontro negli stessi.

I dati raccolti in maniera automatica dal documento non trovano riscontro sulla banca dati ed incrociando le informazioni presenti nelle varie basi di dati disponibili; in caso di incongruenze potrebbe scattare un campanello di allarme che segnala un probabile tentativo di frode.

Il soggetto al momento dell’identificazione risulti georeferenziato al punto “A” in coordinate non compatibili con i limiti spazio-temporali di una attività “social” geo-referenziabile al punto “B”, oppure laddove non si riesca ad ottenere alcuna conferma indiretta della sua identità sui dati presenti nei social network.

Il progetto prevede, infine, la sperimentazione della soluzione proposta su casi d’uso di particolare interesse ed attualità, il tutto nell’ottica di validare sul campo i risultati della ricerca, e al tempo stesso di identificare già durante l’esecuzione del progetto, plausibili contesti che giustificano la proposta dal punto di vista industriale e quindi dei potenziali clienti.

Obiettivo generale

Dimostrare che l’identificazione remota automatica di una persona è possibile ed è in grado di eguagliare se non superare l’attendibilità oggi raggiunta dalla identificazione “de visu”. Questo obiettivo può essere raggiunto sfruttando le potenzialità delle nuove tecnologie e definendo una innovativa metodologia di correlazione delle diverse informazioni per arrivare a stabilire l’attendibilità dell’identificazione.

Obiettivi specifici

1 – Definire il contesto normativo e la validità legale

In un contesto normativo in evoluzione, legato alla diffusione dei servizi digitali avanzati, dove la tutela della privacy è oggi oggetto della massima attenzione, occorre analizzare e definire tutti i vincoli, ed i limiti dell’attuale legislazione Nazionale ed Europea rispetto all’obiettivo principale. Obiettivo che pur essendo inquadrato in una iniziativa prevalentemente di ricerca industriale dovrà necessariamente individuare, laddove presenti, lacune normative ed eventualmente anche le necessità di operare in deroga.

2 – Definire un framework tecnologico di riferimento

Le tecnologie di base necessarie allo sviluppo del progetto sono state individuate solo in parte, e laddove non sono state ancora identificate ne sono stati definiti i requisiti fondamentali (disponibilità, interoperabilità, adattabilità, applicabilità). Nel corso del progetto verrà sostanzialmente costruito un framework tecnologico di riferimento che completato dalla documentazione analitica andrà a costituire una sorta di SDK (Software development Kit) della soluzione.

3 – Definire il processo attuativo

Una volta definito il contesto tecnologico e normativo, il progetto ha come ulteriore obiettivo quello di definire il processo attuativo visto come il diagramma funzionale dell’identificazione remota. In particolare bisognerà disegnare il processo ed i suoi step operativi calandoli all’interno di reali casi d’uso, tenendo come riferimento principale il dominio di sperimentazione di Poste Italiane ed eventualmente quello di Lottomatica SpA (in fase di conferma).

4 – Ottenere un prototipo sperimentabile in contesti “real-life”

Per poter attuare la sperimentazione il progetto realizzerà una “verticalizzazione” destinata a supportare il processo di identificazione effettuato dagli addetti di Poste Italiane all’atto del rilascio di identità SPID e, laddove venisse manifestato formalmente interesse, anche per Lottomatica SpA dove l’identificazione sarà finalizzata al rilascio di certificati digitali da parte di una Certification Authority interna.

security-265130_1920-(1080-x-720)2

Con il successo del progetto, la verifica in merito all’identità dei soggetti richiedenti servizi o transazioni on line risulterebbe altrettanto sicura di una identificazione tradizionale “de visu”, di più agile e rapida esecuzione rispetto ai sistemi attuali, e porterebbe immediati benefici a tutti i settori coinvolti.

Il risultato finale del progetto sarà costituito da un servizio in grado di ricevere in ingresso una richiesta di identificazione remota e produrre come output le informazioni utili a supportare l’identificazione rispetto ad un livello di assurance (LOA) prescelto.

Il contesto nazionale ha subito un’accelerazione improvvisa sul tema della identificazione remota grazie anche al Sistema Pubblico di Identità Digitale (SPID) il quale prevede che la fase di registrazione/identificazione iniziale possa avvenire anche da remoto.

L’esistenza del fabbisogno è stata rilevata da una approfondita analisi dei trend di mercato in ambito Security, confermata da una rilevazione di interesse da parte dei principali clienti della capofila.

Siamo di fronte alla possibilità di poter pionieristicamente costituire un nuovo settore di mercato, quello relativo ai servizi di Identificazione Remota. Il progetto darà la possibilità di immettere sul mercato un servizio innovativo, unico nel suo genere, a disposizione di tutto il sistema-paese. Istituti di credito, compagnie assicurative, provider di servizi (utility, telecomunicazioni, etc.), pubblica amministrazione, potranno avere maggiori possibilità di acquisire nuovi clienti o erogare servizi digitali innovativi attraverso i canali digitali già presenti, senza obbligare l’utente a recarsi fisicamente in un punto di riconoscimento fisico. I vantaggi sono evidenti sia dal punto di vista economico, sia dal punto di vista logistico/gestionale. L’interesse del mercato è d’altronde dimostrato dalla roadmap dei grandi colossi dell’e-commerce e anche dalla levatura dei soggetti sperimentatori del progetto SeCRI.

Dal punto di vista della sostenibilità ambientale, il successo del progetto SeCRI renderà obsoleto l’utilizzo dei contratti cartacei e contribuirà a ridurre gli spostamenti dei cittadini con conseguente risparmio sulle emissioni CO2. Da non sottovalutare, infine, i vantaggi legati all’internazionalizzazione: una banca od uno sportello pubblico potrà essere presente in altri Paesi senza possedere una singola agenzia fisica, ma solo tramite assistenza remota.

impronta-digitale1
nasa-53884-(1080-x-719)2

Il progetto SeCRI, prevedendo una eventuale integrazione del sistema con il controllo degli accessi fisici alle Infrastrutture Critiche, potrebbe rappresentare il punto di partenza di una proposta progettuale su scala europea, da inquadrare ad esempio all’interno di una iniziativa H2020, per indirizzare le esigenze di protezione delle infrastrutture critiche grazie all’adozione dell’identificazione automatica degli utenti ai varchi di ingresso delle stesse.

regione-calabria-logo

Il progetto SeCRI persegue la Strategia di Specializzazione Intelligente della Calabria (S3 Calabria) all’interno del driver relativo all’Area di innovazione “ICT e Terziario Innovativo” seguendo la traiettoria tecnologica: proteggere i servizi digitali attraverso strumenti avanzati di cyber-security, anche nell’ambito di Internet of Things.

La traiettoria tecnologica si sviluppa attraverso:

  • sicurezza dei sistemi di erogazione di servizi digitali
  • protezione dell’utente finale nell’interazione con la rete e i social network
  • processi di dematerializzazione con garanzia di sicurezza e privatezza

L’iniziativa persegue lo sviluppo dei servizi per l’ammodernamento della PA, per i cittadini e per le imprese e sarà in grado di favorire lo sviluppo dei servizi on-line avanzati, nel cui ambito l’identificazione remota del richiedente rappresenta di fatto il primario fattore abilitante in grado di rafforzare la fiducia e la sicurezza nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche.

EMAIL

info@secri.it

SEDE LEGALE

INNOVERY – Via Creta, 78 – 25124 Brescia

SEDE OPERATIVA

INNOVERY – Via Marconi, 32 – 87036 Rende

TELEFONO

+39 06 51963439

CUP di progetto: J88C17000150006