La cybersecurity sta attraversando una transizione che merita più attenzione di quella che riceve. La domanda fondamentale dell'autenticazione online si sta spostando: non più "cosa sai?" (password, PIN), non più "cosa possiedi?" (token, smartphone), non più "come appari?" (impronta digitale, riconoscimento facciale), ma "come ti comporti?"
L'idea è elegante, e il paper che la sostiene è solido. Un recente articolo di Brandon Janes su Towards Data Science, intitolato "Behavior is the New Credential", racconta come i sistemi di biometria comportamentale stiano diventando lo standard nel settore bancario. Il punto di partenza è uno studio del 2012 dell'Università di Berkeley, "Touchalytics", che dimostrò come bastassero undici scroll su uno smartphone per identificare un utente specifico all'interno di un gruppo di quarantuno persone, senza errori. Trenta caratteristiche comportamentali uniche: lunghezza del gesto, velocità, curvatura, traiettoria, tempo tra uno scroll e l'altro, persino l'area del dito utilizzata.
La teoria sottostante è quella del controllo motorio computazionale, un campo interdisciplinare tra neuroscienza, biomeccanica e informatica. Le correzioni inconsce che il nostro cervello opera durante ogni gesto, quei microaggiustamenti che avvengono nell'ordine dei millisecondi, sono talmente individuali da rendere il profilo comportamentale di una persona quasi impossibile da replicare. Paradossalmente, è proprio ciò che consideriamo "robotico" (queste correzioni neurali automatiche) a rendere ciascuno di noi irriproducibilmente umano.
Perché le vecchie difese non bastano più #
Il contesto che rende necessaria questa transizione è concreto e documentato. Il malware moderno ha raggiunto capacità che rendono obsoleti i meccanismi tradizionali di verifica. Strumenti come ProKYC, un tool deepfake utilizzato nel cybercrimine, permettono di superare l'autenticazione a due fattori, il riconoscimento facciale e persino le verifiche video in tempo reale. BingoMod, un trojan di accesso remoto distribuito via SMS di phishing, si maschera da antivirus su Android e consente a un attaccante remoto di intercettare credenziali, messaggi e codici OTP, fino a eseguire trasferimenti di denaro dal dispositivo infettato.
Quando il dispositivo è compromesso, dal punto di vista della banca tutto appare normale: il fingerprint del device è corretto, l'indirizzo IP è quello giusto, i codici MFA tornano. La verifica tradizionale, che opera in un singolo istante nel tempo (il login), non è più sufficiente. Il perimetro di sicurezza non è più il cancello d'ingresso. È la sessione intera.
Qui entra la biometria comportamentale, che opera come autenticazione continua. I modelli di anomaly detection costruiti sul profilo specifico di ciascun utente monitorano la sessione dall'inizio alla fine. Quando i segnali di rischio aumentano, il sistema può richiedere verifiche aggiuntive o bloccare la transazione. Quando il comportamento è coerente con il profilo stabilito, la sessione prosegue senza interruzioni. Il risultato, ironicamente, è un'esperienza utente migliore: meno OTP, meno interruzioni, più fluidità. Sicurezza passiva al posto di sicurezza attiva.
Il lato oscuro della medaglia #
Fin qui il racconto dell'industria della cybersecurity. È un racconto che funziona, tecnicamente fondato e operativamente efficace. Ma è anche un racconto che evita sistematicamente una domanda: cosa significa, dal punto di vista dei diritti fondamentali, trasformare il comportamento umano in una credenziale?
Partiamo da un dato normativo che l'articolo di Janes non menziona. Il GDPR, all'articolo 4(14), definisce i dati biometrici come "dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca". La parola chiave è "comportamentali". Il legislatore europeo ha incluso esplicitamente i dati comportamentali nella definizione di dato biometrico. L'articolo 9 classifica poi i dati biometrici come "categoria particolare" di dati personali, il cui trattamento è in linea generale vietato, salvo eccezioni specifiche: consenso esplicito, interesse pubblico sostanziale, protezione di interessi vitali.
Questo significa che ogni sistema di biometria comportamentale che opera nell'Unione Europea sta trattando dati di categoria speciale. Non dati personali generici. Dati che richiedono consenso esplicito, una valutazione d'impatto sulla protezione dei dati (DPIA), limitazione delle finalità, minimizzazione del trattamento e diritto alla cancellazione.
La domanda che nessun vendor di cybersecurity ama affrontare è: come si concilia il diritto alla cancellazione con un profilo comportamentale costruito attraverso l'analisi continua di migliaia di microinterazioni? Puoi cancellare un profilo, certamente. Ma puoi cancellare la conoscenza derivata da quel profilo, una volta che è stata utilizzata per addestrare un modello? Il GDPR pone domande specifiche sulla minimizzazione dei dati e sulla limitazione delle finalità quando i dati sono stati utilizzati per l'addestramento di modelli di intelligenza artificiale.
Il doppio vincolo dell'AI Act #
Il quadro si complica ulteriormente con l'AI Act, il cui impianto regolatorio per i sistemi ad alto rischio si applica pienamente dal agosto 2026. L'intersezione tra GDPR e AI Act crea un framework normativo stratificato per le tecnologie biometriche.
L'AI Act distingue tra diverse tipologie di sistemi biometrici. I sistemi di identificazione biometrica remota in tempo reale sono vietati per le forze dell'ordine, con eccezioni limitate. Tutti gli altri sistemi di identificazione biometrica remota sono classificati come ad alto rischio. I sistemi di categorizzazione biometrica che inferiscono attributi sensibili (razza, opinioni politiche, appartenenza sindacale, orientamento sessuale) sono vietati. I sistemi di riconoscimento delle emozioni sono vietati nei luoghi di lavoro e nelle scuole, e classificati come ad alto rischio negli altri contesti.
Dove si colloca la biometria comportamentale bancaria in questa tassonomia? L'AI Act esclude esplicitamente dalla definizione di identificazione biometrica remota gli strumenti di verifica biometrica che confermano che una persona è chi dichiara di essere, purché richiedano la partecipazione attiva dell'individuo. Ma la biometria comportamentale, per definizione, è passiva. L'utente non "partecipa attivamente" alla propria autenticazione comportamentale. Il sistema lo osserva mentre fa altro. Questa zona grigia tra verifica attiva e sorveglianza passiva è precisamente il territorio in cui i diritti fondamentali iniziano a scricchiolare.
C'è un elemento aggiuntivo. L'AI Act vieta i sistemi di AI che classificano le persone sulla base del loro comportamento sociale, quando tale classificazione produce un trattamento sfavorevole in contesti non correlati al contesto originale di raccolta dei dati, o un trattamento sproporzionato rispetto alla gravità del comportamento. La linea tra "autenticazione comportamentale per prevenire la frode" e "profilazione comportamentale per classificare gli utenti" non è così netta come l'industria vorrebbe far credere.
Function creep: il rischio strutturale #
La storia della tecnologia ci insegna che i sistemi costruiti per uno scopo specifico tendono a espandere il proprio raggio d'azione nel tempo. Questo fenomeno, noto come function creep, è particolarmente insidioso nel campo della biometria comportamentale.
Un sistema che oggi analizza come scorri una pagina per verificare che tu sia tu, domani potrebbe utilizzare gli stessi dati per inferire il tuo stato emotivo, il tuo livello di attenzione, la tua condizione cognitiva, la tua propensione al rischio finanziario. I dati comportamentali sono straordinariamente ricchi di informazioni implicite. Il ritmo con cui digiti può rivelare ansia o fatica. La velocità di scrolling può indicare interesse o noia. La pressione del tocco può suggerire irritazione o calma.
Le banche, che oggi utilizzano questi dati per la prevenzione delle frodi, siedono su un patrimonio informativo che ha un valore potenziale enormemente superiore alla sicurezza delle transazioni. La tentazione di monetizzare questi dati, o di utilizzarli per finalità commerciali (personalizzazione dei servizi, scoring creditizio, profilazione per prodotti assicurativi), è una forza economica che le sole policy interne difficilmente riusciranno a contenere nel lungo periodo.
In Australia, un database biometrico progettato per prevenire la criminalità transfrontaliera è stato successivamente utilizzato per identificare persone che avevano perso i documenti negli incendi. In quel caso l'uso esteso aveva un intento benevolo. Ma il precedente era stabilito: una volta che il dato esiste e il sistema è operativo, le finalità si espandono.
Il corpo informatizzato #
C'è una dimensione più profonda, che va oltre il diritto e tocca l'antropologia della tecnologia. La biometria comportamentale trasforma il modo in cui interagiamo con i nostri dispositivi in un dato di identificazione permanente. Il National Research Council degli Stati Uniti ha descritto questo processo come la creazione di un "corpo informatizzato": un corpo che non è più rappresentato dalle sue caratteristiche anatomiche osservabili dall'occhio umano, ma dalle informazioni digitali sul corpo conservate nei database.
Quando il tuo modo di scorrere una pagina diventa una credenziale, il tuo gesto inconscio diventa un dato. La spontaneità del tuo movimento viene catturata, analizzata, modellata, archiviata. Non stai fornendo attivamente un'informazione, come quando digiti una password. Stai semplicemente vivendo, e il sistema estrae valore dalla tua esistenza ordinaria.
Shoshana Zuboff ha descritto questa dinamica come la caratteristica fondamentale del capitalismo della sorveglianza: l'appropriazione dell'esperienza personale e la sua trasformazione in dati comportamentali, utilizzati poi per predire e modificare il comportamento stesso. La biometria comportamentale per la cybersecurity è, in un certo senso, la versione "buona" di questo meccanismo. Ma il meccanismo è lo stesso. E la distanza tra la versione buona e le versioni meno buone è solo una questione di finalità dichiarate, che possono cambiare.
L'asimmetria del consenso #
Un aspetto particolarmente problematico riguarda la natura del consenso in questi sistemi. Il GDPR richiede che il consenso sia "libero, specifico, informato e inequivocabile", con un onere ancora maggiore quando si tratta di categorie speciali di dati. Ma come può essere realmente libero il consenso a un sistema di biometria comportamentale nella tua app bancaria, quando l'alternativa è non poter accedere al tuo conto corrente?
Le autorità di protezione dei dati europee hanno già affrontato questa questione in contesti analoghi. L'autorità olandese ha sanzionato un'azienda per 725.000 euro perché i dipendenti percepivano la scansione delle impronte digitali come un obbligo, rendendo il consenso non libero. L'autorità svedese ha sanzionato una scuola per l'uso del riconoscimento facciale per monitorare le presenze, rilevando lo squilibrio di potere tra l'istituzione e gli studenti.
Nel caso della biometria comportamentale bancaria, lo squilibrio è analogo. Il servizio bancario non è opzionale nella società contemporanea. Se la banca implementa l'autenticazione comportamentale, il cliente non ha una reale alternativa al consenso. La dinamica assomiglia più a una condizione imposta che a una scelta informata.
Il paradosso dell'irrevocabilità #
A differenza di una password compromessa, che può essere cambiata in pochi secondi, un profilo comportamentale compromesso presenta un problema strutturale: non puoi cambiare il modo in cui scorri una pagina o digiti sulla tastiera con la stessa facilità con cui cambi una stringa di caratteri. I tuoi pattern comportamentali sono intrinsecamente legati alla tua fisiologia e alla tua neurologia. Sono, in un senso molto concreto, te stesso.
Questo introduce un rischio di lungo periodo che il settore tende a minimizzare. Se un database di profili comportamentali viene compromesso, i dati esfiltrati non diventano obsoleti con una rotazione delle credenziali. Rimangono utilizzabili fino a quando le caratteristiche biometriche dell'individuo non cambiano significativamente, il che, nella maggior parte dei casi, avviene solo con l'invecchiamento o in seguito a eventi traumatici.
I fornitori di questi sistemi sottolineano che i profili vengono tipicamente processati localmente e che viene trasmesso solo un punteggio di rischio, non i dati grezzi. È una mitigazione reale, ma non elimina il problema fondamentale: da qualche parte, in qualche forma, una rappresentazione del tuo comportamento inconscio esiste come dato digitale.
Discriminazione algoritmica e bias comportamentali #
Un ulteriore aspetto critico riguarda il potenziale discriminatorio dei sistemi di biometria comportamentale. I pattern di interazione con i dispositivi non sono universali. Variano in base all'età, alle condizioni fisiche, alle disabilità motorie, alle differenze culturali nell'uso della tecnologia, al tipo di dispositivo utilizzato.
Un utente anziano con artrite alle mani avrà pattern di scroll e digitazione significativamente diversi da un ventenne. Un utente con un dispositivo economico di fascia bassa produrrà dati sensoriali diversi da uno con l'ultimo modello di smartphone. Un utente che alterna tra mano destra e mano sinistra, o che utilizza tecnologie assistive, genererà profili atipici.
Se il modello di anomaly detection è stato addestrato prevalentemente su profili di utenti normodotati di fascia media, gli utenti che si discostano da questo profilo medio saranno sottoposti più frequentemente a verifiche aggiuntive, blocchi di sessione, richieste di step-up authentication. In altre parole, la sicurezza "passiva" che l'industria pubblicizza come migliore esperienza utente potrebbe tradursi in un'esperienza sistematicamente peggiore per le categorie più vulnerabili.
L'European Accessibility Act (EAA), pienamente applicabile dal giugno 2025, impone che i prodotti e servizi digitali siano accessibili alle persone con disabilità. Un sistema di autenticazione comportamentale che penalizza sistematicamente gli utenti con disabilità motorie o cognitive solleva questioni di conformità non solo rispetto al GDPR e all'AI Act, ma anche rispetto alla normativa sull'accessibilità.
Il dovere di guardare oltre la soluzione tecnica #
Niente di quanto scritto sopra significa che la biometria comportamentale sia una cattiva idea. Il problema della cybersecurity è reale, le perdite sono enormi (l'FBI Internet Crime Report documenta miliardi di dollari di perdite annuali), e le difese tradizionali sono effettivamente inadeguate contro le minacce attuali. L'autenticazione continua è probabilmente il futuro della sicurezza digitale.
Ma il modo in cui l'industria racconta questa transizione è incompleto in maniera non accidentale. L'articolo di Janes, come la maggior parte della letteratura tecnica sul tema, presenta la biometria comportamentale esclusivamente dal punto di vista dell'efficacia operativa. Il sottotesto è: funziona meglio, è più sicuro, l'esperienza utente migliora. Tutto vero. Ma non è tutto.
Per chi opera nel settore ICT europeo, la responsabilità è doppia. Da un lato, implementare queste tecnologie dove sono necessarie e dove creano valore reale. Dall'altro, farlo con una consapevolezza normativa e etica che il mercato americano, da cui proviene la maggior parte dell'innovazione in questo campo, non ha la stessa urgenza di sviluppare.
L'Europa, con il suo framework regolatorio stratificato (GDPR, AI Act, EAA, NIS2), non sta rendendo la vita difficile a chi lavora con la tecnologia. Sta ponendo le domande che il mercato, da solo, non pone. Domande come: chi possiede il tuo modo di muovere il dito su uno schermo? Che diritti hai su un gesto inconscio trasformato in dato? Cosa succede quando il tuo corpo informatizzato diventa una merce?
Sono domande scomode. Ma nel momento in cui il comportamento diventa credenziale, non abbiamo il lusso di ignorarle.