Quindici milioni di persone all’anno vanno e vengono dagli USA, per turismo e affari. Il terrorismo dilaga, il colore dell’allerta è di un giallo preoccupante, a sentire la Home Security statunitense, e si sono introdotte delle misure volte ad incentivare il diffondersi dei (teoricamente) più sicuri documenti elettronici dotati di tecnologia RFID.
Dal 26 ottobre, per entrare negli States senza doversi imbarcare in travagliate procedure per ottenere un visto, per i 27 paesi che aderiscono al Visa Waiver Program (il programma “viaggio senza visto”) sarà necessario dotarsi di passaporto elettronico , conforme agli standard delineati dalla International Civil Aviation Organization (ICAO) . Oppure si deve essere in possesso di un passaporto con foto digitale o di un passaporto a lettura ottica rilasciato o rinnovato prima del 26 ottobre 2005.
Il passaporto elettronico rilasciato dal 26 ottobre anche in Italia è contrassegnato dall’apposito simbolo e contiene un chip che immagazzina le informazioni personali: oltre ai dati che erano contenuti nei documenti tradizionali è presente un’immagine digitale del portatore, il tutto protetto da tecniche che dovrebbero prevenire l’accesso alla data-immagine del portatore e lo skimming , la clonazione del chip.
L’avvio del Program era stato inizialmente stabilito da Washington per il 26 ottobre dello scorso anno: è stato posticipato di un anno per evidenti problemi di adeguamento nei tempi stabiliti da parte di diversi paesi dell’Unione Europea. Solo tre dei 27 paesi coinvolti dal programma, Liechtenstein, Andorra e Brunei, non hanno rispettato la scadenza, e non forniscono ai loro cittadini passaporti in linea con le normative dettate dalla ICAO.
“L’introduzione dei passaporti elettronici è un significativo passo avanti nel prevenire l’uso di documenti persi o rubati da parte dei terroristi” afferma Michael Chertoff, segretario della Home Security. ” I passaporti elettronici sono più difficili da falsificare e consentono di identificare meglio il portatore “. I viaggiatori presentano il loro documento all’addetto, che, oltre a controllarne i dati, può confrontare l’immagine riprodotta sul computer a partire da quella immagazzinata nel chip, con quella riprodotta sul documento e con lo stesso portatore.
La ICAO ha deciso nel 2003 di sviluppare e implementare l’identificazione basata sul viso, piuttosto che lo scanning dell’iride, o dell’impronta digitale, perché al momento della scelta era la tecnologia più diffusa e abbordabile. Non è escluso, però, che i dati biometrici contenuti negli ePassport si moltiplichino. L’Unione Europea, infatti, ha stabilito che, entro il 2009, nei documenti sia inclusa anche l’impronta digitale, il che comporterebbe l’avvento di una seconda generazione di documenti, con i problemi di compatibilità che due tecnologie differenti potrebbero generare.
Sono in molti, però, coloro che auspicano l’avvento di documenti che contengano più identificativi biometrici , al fine di poterli incrociare, e assicurarsi che il portatore sia effettivamente l’assegnatario del documento.
La tecnologia RFID è parte integrante del passaporto elettronico, nonostante sia spesso stata messa sotto accusa, oltre che per la facile tracciabilità degli oggetti in cui è inclusa, per la possibilità che offrirebbe ai malintenzionati di operare furti di identità , di curiosare nella data-immagine dei possessori e di utilizzare i loro dati , senza parlare di altre conseguenze esplosive, come l’individuazione di target mirati che facciano da detonatore. È stato rilevato, in una recente consultazione pubblica, che gli europei chiedono rassicurazioni riguardo alla tecnologia RFID e alle sue applicazioni, e la UE e sembra intenzionata ed agire.
Il governo statunitense tende a tranquillizzare i cittadini e a sfatare le preoccupazioni, assicurando che i documenti sono dotati di misure sufficienti ad impedire l’accesso non autorizzato ai dati contenuti nel chip: la custodia del documento dovrebbe garantire l’inviolabilità dei dati, ma agisce da schermo solo a passaporto chiuso. Inoltre, in Irlanda non ne è nemmeno prevista l’introduzione.
Sono stati condotti numerosi esperimenti per accertare, con risultati scoraggianti, la sicurezza di carte di credito e documenti. Ad esempio, alla RSA Conference di San Jose, il criptografo Adi Shamir ha dimostrato come crackare i tag RFID: basta monitorarne i consumi energetici. Relativamente ai documenti , in un programma tv olandese, Nieuwslicht , è stata dimostrata da Riscure la crackabilità del sistema di protezione, dovuta all’algoritmo che fornisce una password prevedibilissima di accesso ai dati. La clonabilità dei passaporti è stata dimostrata anche su Wired da Lukas Grunwald, esperto di sicurezza e RFID. E gli standard crackati rientrano pienamente nelle specifiche previste dall’ICAO .
Bruce Schneier, chief technology officer di Counterpane Internet Security , dal suo blog , a metà settembre consigliava a tutti, per la sicurezza della propria data-immagine , di richiedere il passaporto prima della data spartiacque 26 ottobre. “L’adozione dei passaporti elettronici è una pessima notizia per la privacy dei cittadini”, afferma Bruce Schneier, “il rischio a cui si è esposti con i documenti contenenti la tecnologia RFID è l’accesso non autorizzato, e le misure messe in atto dai differenti stati sono diverse negli scopi e nella effettiva sicurezza”.
“Se possibile, coloro che viaggiano con questi documenti, ne usino una fotocopia nei casi in cui è concesso, e conservino il documento in un involucro di carta stagnola “, suggerisce il celebre guru della sicurezza. Una misura che può sembrare empirica e anche un po’ raffazzonata, ma che potrebbe rappresentare una degna armatura per la data-immagine . Non temano però le fashion-victim : portafogli e portadocumenti schermati sono l’ultimo grido.
Gaia Bottà