Scopri iMars, soluzioni di Morphing Attack Detection, protocolli di valutazione e linee guida operative

Una serie di interviste dedicate all’innovazione tecnologica e al pensiero progettuale: esploriamo le storie dietro invenzioni e soluzioni che rispondono a sfide reali. Un’occasione per approfondire processi creativi, approcci metodologici e impatti concreti sul mercato e sulla società.

L'articolo è di Francesca Montuschi, del Settore della comunicazione e informazione del dipartimento.

Il morphing è una tecnica digitale per creare effetti visivi mescolando informazioni di due o più immagini; se applicato ai volti consente la trasformazione fluida, graduale tra le immagini di due volti, generandone uno nuovo, che conserva tratti somatici di entrambi i soggetti originali. Trova applicazione in svariati ambiti, in primis nel settore cinematografico; nella genetica computazionale viene impiegata per prevedere le caratteristiche facciali dei discendenti sulla base dei tratti somatici dei progenitori.  

Quando usata in modo malevolo, questa tecnologia rappresenta una delle minacce più sofisticate contro i sistemi biometrici per la verifica di identità. Un’immagine morphed può essere utilizzata, infatti, per ingannare i sistemi di riconoscimento facciale FRS (Facial Recognition Systems), presenti ad esempio in molti aeroporti, consentendo a due soggetti di condividere lo stesso documento.

La falla nei protocolli di sicurezza fu messa in evidenza nel 2014 da uno studio del gruppo di ricerca guidato dal professore Davide Maltoni del Dipartimento di Informatica – Scienza e Ingegneria. A quel primo studio hanno fatto seguito numerose ulteriori ricerche con l'intento di mettere a punto metodi efficaci per rilevare e prevenire l’uso fraudolento di tali immagini. Più in particolare il progetto di ricerca, sviluppato da Maltoni con la collaborazione di Annalisa Franco e Matteo Ferrara, ha avuto l’obiettivo di studiare soluzioni per il rilevamento di attacchi di morphing e manipolazione delle immagini, e di conseguenza per la valutazione e la verifica dell’autenticità dei documenti di identità e il rilevamento di frodi. Grazie ai risultati raggiunti è stato possibile procedere anche alla redazione di veri e propri protocolli di valutazione e alla stesura di linee guida operative.

Un face morphing attack consiste nel creare un'immagine del volto morphed che fonde i dati biometrici di due o più persone, tipicamente il richiedente del legittimo documento e un suo complice. Il passaporto regolarmente emesso può essere quindi utilizzato da entrambi i soggetti, superando i controlli portali di tipo Automated Border Control (ABC). Dov'è il punto debole del sistema?

Il punto di vulnerabilità è alla radice del processo di emissione dei passaporti: in molti Paesi è infatti possibile per un cittadino portare personalmente una fotografia del proprio volto, che poi viene scansionata dalle autorità competenti per il rilascio del documento. Questa prassi consente la presa ufficiale in consegna di immagini nelle quali le fattezze possono essere alterate, anche se il tutto non è rilevabile visivamente dagli incaricati preposti. I sistemi FRS negli aeroporti sono vulnerabili da questo punto di vista, perché l’immagine morphed è sufficientemente simile ai modelli biometrici delle persone coinvolte al punto da essere accettata come una corrispondenza valida.

Il complice e il malintenzionato devono essere somiglianti affinché un face morphing attack sia efficace?

No. E non è necessario neppure che siano dello stesso genere. Nel 2018 ha fatto piuttosto scalpore la provocazione, andata a buon fine, di un'attivista tedesca che utilizzò un’immagine manipolata di Federica Mogherini (al tempo Alto Rappresentante dell’Unione Europea per gli Affari esteri e la Politica di sicurezza) per ottenere in Germania un passaporto intestato a Federica Mogherini, ma utilizzabile ai varchi aeroportuali anche dall’attivista stessa.

Avete sviluppato anche algoritmi di Morphing Attack Detection (MAD) basati sull'impiego di reti neurali profonde.

La probabilità di successo di un attacco di face morphing dipende da due elementi chiave: l’immagine morphed deve corrispondere con successo a entrambi i soggetti coinvolti e deve presentare un’alta qualità visiva, evitando qualsiasi artefatto, visibile o non visibile, generato durante il processo di morphing. Il sistema MAD riceve in input una singola immagine e la valuta come autentica (accettata) o morphed (rifiutata). Abbiamo sviluppato di conseguenza algoritmi che classificano una foto nelle tre possibili modalità di genuina, morphed o sospetta. Se l'esito della verifica è di caso sospetto, ai controlli si passa, in gergo, in seconda linea per essere sottoposti a verifiche ulteriori.

Nei controlli portali ABC le informazioni facciali del viaggiatore vengono utilizzate per verificare l’identità, confrontando un’immagine acquisita in tempo reale con quella memorizzata nell’electronic Machine Readable Travel Document (eMRTD), attraverso algoritmi di face verification. L’efficacia degli attacchi di face morphing dipende anche dalla tolleranza ampia di questi algoritmi?

La tolleranza è necessaria per evitare il manifestarsi di esiti falsi negativi, perché nel corso del tempo una persona può mutare un po' nell’aspetto, per esempio ingrassare o invecchiare.

Avete stilato anche linee guida per l’uso dei sistemi di rilevamento.

Esattamente, sono due gli approcci possibili. Il primo è denominato Single-Image Morph Attack Detection e consiste nell’analisi di una singola foto sospetta, tipico caso che si presenta nelle richieste di rilascio di passaporto. Se il sistema è addestrato sullo stesso software usato per creare il morph, si può arrivare a un tasso di rilevamento del 100%, con una quota di falsi positivi pari all’1%. Ma, se gli approcci di creazione dei morph sono diversi da quelli utilizzati per addestrare i MAD, l’accuratezza può scendere significativamente (anche al di sotto del 90%). Il secondo approccio, noto come Differential Morph Attack Detection, confronta invece la foto sospetta con una immagine certa della persona, ad esempio quella scattata in zona di transito aeroportuale o valico di frontiera. In questo caso l’accuratezza è maggiore (generalmente oltre al 95%), con risultati più stabili.

Quando si parla di ricerche su morphing i deliverable sono secretati?

Le contromisure, gli antidoti sono aperti; le ricerche sullo sviluppo di una maggiore efficacia del morhing sono protette, per ovvi motivi di sicurezza. La ricetta per fare l'arma pericolosa non la dai. Quando andiamo a Bruxelles a rendicontare progetti, siamo chiusi in una stanza senza telefoni e PC.

Riproduzione riservata © copyright