C’è un’illusione che accompagna ogni generazione tecnologica: pensare di avere finalmente costruito la serratura perfetta. Una cassaforte senza combinazione, una porta senza chiave, un caveau scavato nella roccia. Passa qualche anno e scopriamo che quella roccia era gesso, che la combinazione era prevedibile, che la chiave si poteva duplicare. La storia della crittografia è una lunga sequenza di trionfi provvisori.
Non esiste sistema inviolabile, esiste solo sistema non ancora violato. Dalla macchina nazista Enigma alle più sofisticate cifrature moderne, il copione è sempre lo stesso: un equilibrio temporaneo tra chi costruisce e chi tenta di forzare. Oggi ci raccontiamo che gli algoritmi attuali sono solidi, matematicamente robusti, praticamente inattaccabili, ma se alziamo lo sguardo vediamo profilarsi all’orizzonte la computazione quantistica, con la sua promessa o minaccia di ridurre in polvere molte delle certezze su cui abbiamo costruito la sicurezza digitale degli ultimi trent’anni.
In questo scenario si insinua una domanda che somiglia più a un dubbio esistenziale che a un problema tecnico: siamo sicuri che affidare la nostra identità a un dato biometrico sia stata una grande idea?
La password è un segreto convenzionale: può essere rubata, indovinata, carpita con l’inganno, ma ha la virtù straordinaria di essere sostituibile. Se qualcuno la scopre, la cambiamo, come una serratura compromessa che sostituiamo con un’altra. La biometria invece è un pezzo di noi. L’impronta digitale, il volto, l’iride non sono chiavi che possediamo: siamo noi. Oggi quei dati sono protetti da sistemi crittografici che li rendono, almeno così ci dicono, inutilizzabili senza autorizzazione. Tuttavia, se domani quegli stessi sistemi fossero aggirati? Se un algoritmo quantistico riuscisse a scardinare ciò che oggi consideriamo sicuro? A differenza di una password, il volto non si resetta e non esiste un aggiornamento software per la faccia.
Il punto non è demonizzare la biometria. È comoda, rapida, spesso più sicura delle cattive abitudini umane, come la sindrome da “123456” o il post-it attaccato al monitor. Il punto è comprendere la natura del rischio, perché quando trasformiamo il corpo in credenziale, stiamo spostando il baricentro della sicurezza dal “cosa so” o “cosa possiedo” al “cosa sono” e il salto concettuale è enorme.
In un mondo analogico, l’impronta digitale era una traccia lasciata su un bicchiere, mentre in quello digitale è una stringa, replicabile all’infinito, trasferibile in millisecondi, archiviabile in database globali. Se quella stringa viene sottratta, non perdiamo solo un dato: perdiamo l’esclusività di un tratto identitario e non c’è autorità che possa restituircelo nella sua unicità.
La vera questione, allora, non è se la biometria sia buona o cattiva, piuttosto se abbiamo costruito attorno a essa un sistema di governance adeguato alla sua irreversibilità. Stiamo prevedendo scenari di lungo periodo o ci stiamo limitando a inseguire la comodità del presente? Perché la storia della sicurezza ci insegna che ogni comodità ha un costo differito.
Forse la soluzione non è rinunciare alla biometria, ma trattarla per ciò che è: un fattore tra altri, non il fondamento ultimo dell’identità digitale. Diversificare, segmentare, ridurre la concentrazione del rischio; in altre parole, evitare di mettere tutte le nostre “facce” nello stesso paniere crittografico. La tecnologia corre, la matematica evolve, i computer quantistici promettono rivoluzioni, la costante rimane una: la fragilità dei sistemi costruiti dall’uomo. La sicurezza non è mai una destinazione, è un equilibrio instabile. Una password si cambia. Un volto no. Quando la chiave coincide con ciò che siamo, smettere di sottovalutare il rischio non è paranoia; è prudenza.