En les pròximes setmanes molts de nosaltres transitarem per algun aeroport per viatjar durant les tan desitjades vacances d’estiu. I a molts ens oferiran simplificar els tràmits de facturació, control de seguretat o embarcament mitjançant algun sistema que incorpori mecanismes de reconeixement facial.
Quasi segur que haurem de fer-nos una selfie, potser amb una app instal·lada al nostre telèfon mòbil, potser amb un dispositiu del mateix aeroport. És probable que sigui requisit mostrar o escanejar la fotografia del nostre passaport, o escanejar el xip que incorpora a molts països.
El nostre objectiu serà, probablement, evitar les enutjoses cues que es formen en les hores punta dels dies assenyalats. Però, és bona idea utilitzar aquest tipus de solucions basades en reconeixement facial? Poden tornar-se contra nosaltres en algun moment?
La cara com a atribut per verificar identitats
L’exemple de l’aeroport és només un dels molts que trobem a les nostres vides personals i professionals. Aquell gest que simplifica verificar la nostra identitat mitjançant una selfie és cada vegada més comú, i el realitzem cada vegada de manera més inconscient. El que al principi ens podia resultar exòtic, cridaner o inclús incòmode, ara és un gest quotidià.
Emprem la nostra cara per desbloquejar el telèfon mòbil, per obrir una porta, per demostrar que som qui diem ser mentre fem un examen o per contractar un compte bancari en remot. També per pagar una compra o per menjar el menú a la cafeteria de la feina.
Totes aquestes solucions dissenyades en principi per fer les nostres vides més senzilles i segures, es basen en tècniques de reconeixement facial. És a dir, comparen la cara que es captura amb la selfie amb una precarregada en el sistema que es pot recuperar d'una base de dades externa o que es proporciona en temps real des del xip d'una targeta o document d'identitat. L'objectiu sempre és el mateix: determinar si la cara que és i la que hauria de ser s'assemblen prou.
En aquest cas, la identitat d'aquesta persona es dona per verificada i té permís per fer allò que havia sol·licitat. Per contra, si les dues cares no s'assemblen prou, aquest permís és denegat.
En un món en el qual les contrasenyes s'han convertit en un enfarfec (qui recorda el centenar que hauria de fer servir cada dia?) i, al mateix temps, en un problema de seguretat (perquè es deixen en blanc, es reutilitzen, es comparteixen, s'endevinen), el reconeixement facial sembla la solució ideal.
Els riscos que implica el reconeixement facial
No obstant això, no tot és perfecte quan usem aquest sistema. Utilitzar un atribut biomètric, com pot ser la nostra cara, per realitzar processos de verificació d'identitat, implica riscos. El primer té a veure amb la naturalesa de les dades que es processen per fer la verificació d'identitat.
Com ja s'ha esmentat, es tracta de dades biomètriques molt sensibles que poden identificar-nos, és a dir, permetre que un tercer esbrini la nostra identitat real (tasca senzilla avui dia a partir d'una cara i amb un simple cercador d'internet). També permeten lligar la nostra cara a les nostres activitats, i associar, a més, metadades tan crítiques com la geolocalització, una adreça IP, les característiques úniques d'un dispositiu determinat (el nostre mòbil, per exemple). És possible també que no permetin que neguem haver executat una activitat o haver estat en un lloc concret a una hora concreta.
El segon risc té a veure amb el desequilibri de poder. Normalment, qui realitza el procés de verificació d'identitat (una aerolínia, un banc, un operador de telecomunicacions) no ofereix altres alternatives per realitzar-lo: o és mitjançant reconeixement facial o no és. I això fa que el consentiment que proporciona el subjecte no sigui lliure: vol agafar el seu vol a temps, necessita obrir-se aquest compte bancari. I, en molts casos, ni tan sols és informat, ja que no es comprèn bé ni quines dades es processen exactament ni per a què. Es queden guardats? Quant temps? S'usen per a alguna cosa més? Es comparteixen amb uns altres?
El tercer risc té a veure amb l'ús de bases de dades centralitzades. Gairebé tots aquests processos de verificació d'identitat es basen a emmagatzemar, a un únic repositori, identitats de subjectes i les dades de les seves cares, per poder fer les comprovacions oportunes, les verificacions. I si aquesta base de dades no es protegeix adequadament? Qui pot accedir a ella? Amb quins permisos? I si un atacant la roba?
Multitud de proveïdors i algorismes imperfectes
El quart risc té a veure amb la col·laboració d'una gran quantitat d'entitats diferents en aquests processos. Normalment, qui opera el sistema (l'aerolínia, el banc) confia en proveïdors especialitzats per realitzar la captura de les dades, per preprocessar-los, per realitzar el reconeixement facial, per emmagatzemar aquestes bases de dades centralitzades amb tota la informació. Cadascuna d'aquestes entitats té les seves pròpies polítiques de seguretat i privacitat, està afectada per una normativa o legislació diferent, etc. Qui assumeix cada responsabilitat? Tots saben què s'espera d'ells i com han de protegir les dades?
I el cinquè i últim risc té a veure amb el rendiment d'aquests processos. Què ocorre amb un fals positiu? Que algú pot suplantar a una altra persona, té permís per fer el que ha sol·licitat en el seu nom perquè el sistema reconeix la seva cara com l'associada a una identitat que no és la seva realment. I amb un fals negatiu? Què ocorre si per usar ulleres o maquillatge o pels nostres trets o per una cicatriu el sistema no ens reconeix? Se'ns denega el permís per fer allò que necessitem. La qual cosa, com a mínim, implicarà un retard, una cua, o molèsties addicionals. Això últim acostuma a passar, sobretot, amb dones o amb persones la raça de les quals és diferent de la caucàsica perquè els sistemes solen entrenar-se majoritàriament per reconèixer les cares d'homes blancs.
Faci's preguntes
Què fem llavors? Selfie o no selfie? En aquesta vida tot implica un risc, així que no es tracta d'evitar aquests processos costi el que costi, en tots els escenaris (el que avui dia seria a més, amb tota seguretat, una quimera).
El més assenyat seria, preguntar-nos, en cada cas, si el benefici que obtenim per usar el reconeixement facial compensa els riscos que correm per fer-lo servir. Tinc altres alternatives per passar el control de seguretat i agafar el meu vol a temps? Puc desbloquejar el mòbil d'una altra forma o autoritzar el pagament sense utilitzar la meva cara? M'implica moltes molèsties? Altres riscos addicionals? Només fent-nos aquest tipus de preguntes podrem arribar a un equilibri i gestionar els riscos adequadament. Perquè una cosa és segura: canviar de cara és molt complicat.
Aquesta notícia és una traducció de l’article publicat originalment en castellà al portal TheConversation.com.