Un passaporto biometrico è un passaporto cartaceo tradizionale integrato con un chip microprocessore e un’antenna che contiene informazioni biometriche utilizzate per identificare il titolare. La combinazione di chip del microprocessore e antenna è solitamente un chip di identificazione a radiofrequenza (RFID) e utilizza le onde radio per scambiare informazioni con un lettore. Il chip RFID in un passaporto biometrico contiene in genere tutte le informazioni stampate sul documento fisico e un’immagine facciale digitale. Si ritiene che questo tipo di passaporto prevenga la contraffazione e renda più rapido e sicuro per i viaggiatori spostarsi da un paese all’altro, ma alcuni sostengono che l’uso di chip RFID viola le libertà civili.
Lo sviluppo e l’implementazione dei passaporti biometrici sono iniziati all’incirca nel 2003. In quell’anno, l’Organizzazione dell’aviazione civile internazionale ha adottato un piano per lanciare passaporti a lettura ottica con chip RFID. Tutti i 188 paesi membri, inclusi gli Stati Uniti, erano vincolati dal piano. Il primo passaporto biometrico americano è stato rilasciato nel 2005.
È difficile e costoso a partire dal 2011 falsificare il chip incorporato in un passaporto biometrico perché l’infrastruttura a chiave pubblica è il sistema di autenticazione dei dati in uso. Oltre a un’immagine facciale digitale, i chip RFID possono contenere anche impronte digitali e informazioni sull’iride. Queste immagini memorizzate sul chip vengono confrontate con le caratteristiche della persona che si dichiara titolare durante le procedure di identificazione alle frontiere o in dogana.
A causa di problemi di contraffazione, tutte le informazioni contenute nel chip RFID di un passaporto biometrico non sono pubbliche. Generalmente, il chip include un numero di identificazione stampato sulla sua superficie e una firma digitale. Questi due numeri sono memorizzati in un database e associati alle informazioni personali del titolare del passaporto. Le informazioni memorizzate nel chip RFID non possono essere modificate; se i dati del titolare cambiano, avrà bisogno di un nuovo passaporto e potrebbe dover pagare una tassa di elaborazione.
Il chip in un passaporto biometrico è dotato di alcune protezioni per scoraggiare la falsificazione. Ad alcuni chip vengono assegnati identificatori di chip casuali per impedire la tracciabilità. Il controllo di accesso di base richiede che il lettore fornisca una chiave prima di poter accedere ai dati del chip, mentre l’autenticazione passiva impedisce la modifica dei dati. La clonazione del chip è scoraggiata con l’autenticazione attiva. Se il chip include i dati dell’impronta digitale e dell’iride, verrà utilizzato il controllo di accesso esteso (EAC) per la sua crittografia avanzata; EAC è diventato obbligatorio nell’Unione Europea nel giugno 2009.
Nonostante queste protezioni, sono state dimostrate diverse vulnerabilità nei chip dei passaporti biometrici. Marc Witteman ha rivelato nel 2005 che alcuni numeri di documenti del passaporto sono prevedibili, rendendo più semplice indovinare la chiave di crittografia del chip. EAC, autenticazione passiva e autenticazione attiva sono stati anche gli obiettivi di attacchi riusciti in Gran Bretagna e in altre nazioni.
Alcune organizzazioni sostengono che i chip possono essere letti in modalità wireless a distanza da chiunque disponga dell’attrezzatura adeguata. Tali vulnerabilità hanno portato gli attivisti per la privacy a sostenere che le carte di contatto dovrebbero essere emesse al posto dei passaporti biometrici. Una carta di contatto viene letta facendola scorrere attraverso un lettore come una carta di credito, eliminando così la possibilità che qualcuno legga le informazioni del chip da lontano. Altre nazioni hanno adottato la tecnologia delle smart card contactless piuttosto che il chip RFID.
Un passaporto biometrico rilasciato nell’Unione Europea ha informazioni sull’imaging digitale e sulla scansione delle impronte digitali sul chip a partire dal 2011, con alcune eccezioni per i singoli Stati membri. Molte altre nazioni ora rilasciano passaporti biometrici, tra cui Canada, Svizzera e Singapore. Le nazioni prive della capacità tecnologica e delle infrastrutture necessarie ritarderanno necessariamente l’attuazione.