Face Recognition and morphing

Riconoscimento facciale e morphing

a cura di Raffaella Aghemo

In un momento in cui sta realmente preoccupando il sempre maggiore ricorso all’utilizzo di tecniche di riconoscimento facciale, mi sono interessata a questo bel lavoro di alcuni ricercatori dell’Università di Losanna, in Svizzera, sulle tecniche di morphing e su come possano minacciare la face recognition. Il titolo del paper è appunto “Are Gan-based Morphs threatening face recognition?”, a cura di Eklavya Sarkar, Pavel Korshunov, Laurent Colbois, and Sebastien Marcel.

Gli attacchi di morphing sono una minaccia per i sistemi biometrici in cui il riferimento biometrico in un documento di identità può essere alterato. Questa forma di attacco presenta un problema importante nelle applicazioni che si basano su documenti di identità, come la sicurezza delle frontiere o il controllo degli accessi. Il loro dispiegamento, in varchi di controllo di frontiera automatizzati, svolge un ruolo cruciale nell’autenticazione accurata dei documenti e nella riduzione dei flussi di viaggiatori, nelle zone di confine congestionate. La proliferazione di tali sistemi è ulteriormente stimolata dall’avvento dei dispositivi portatili.

I moderni sistemi biometrici fanno largo utilizzo di quelli che vengono definiti “identificatori biologici”, estratti da dito, palmo, iride, voce, andatura, i quali possono fornire una vasta gamma di informazioni sull’identità di una persona. La biometria facciale, in particolare, rappresenta un problema pratico impegnativo, per la visione artificiale, a causa di cambiamenti dinamici, dovuti a fattori quali l’illuminazione, la posa, le espressioni facciali, l’invecchiamento, eventuali accessori di abbigliamento e altri cambiamenti delle caratteristiche facciali come tatuaggi, cicatrici, rughe e piercing. A questo, va aggiunta la vasta disponibilità online di immagini di volti, per esempio, sui social media, per cui diviene relativamente facile acquisire e riprodurre l’immagine di una persona senza il suo consenso. Il “Presentation Attack Detection (PAD)” noto anche come “anti-spoofing” consente di rilevare tutti i tentativi di spoofing dei sistemi biometrici.

La vulnerabilità dello stato-dell-arte (SOTA-state of the art) dei sistemi di riconoscimento facciale (FR) e la minaccia che rappresentano, per i sistemi di sicurezza basati su tecnologie di riconoscimento, hanno portato all’esplosione del lavoro di ricerca in questo settore.

La maggior parte del lavoro relativo agli attacchi morphing (Morphing Attack MA) si concentra sul loro rilevamento. Le tecniche recentemente proposte per il rilevamento degli attacchi di morphing (MAD morphing attack detection) includono metodi basati su approcci classici.

Il National Institute of Standards and Technology (NIST) sta ora conducendo valutazioni indipendenti delle tecnologie MAD, ma la ricerca soffre della mancanza di set di dati, protocolli di valutazione e una chiara comprensione del fatto che i più recenti sistemi di riconoscimento facciale siano vulnerabili sia agli attacchi di morphing “classici” che a quelli basati sull’ultimo tipo di attacco GAN (Generative Adversarial Network). Le cosiddette tecniche di morphing basate sui punti di riferimento “classiche” sono ampiamente disponibili, ma quelle moderne sono raramente rilasciate pubblicamente. I nuovi metodi sono spesso proprietari.

Questo lavoro fa un doppio upgrade nello studio:

in primis, andando oltre i dataset aperti conosciuti, fornendo uno strumento di morphing open source, riesce a fornire nuovi dati disponibili per la ricerca,

in secundis valuta due scenari:

I) quando i morph attaccano il processo di registrazione e

II) quando vengono utilizzati per attaccare il processo di verifica, che è simile a un attacco di presentazione (presentation attack).

«Gli attacchi di base alla presentazione del volto sono spesso:

a) volto stampato su un foglio di carta (a volte un volto stampato viene mostrato con gli occhi ritagliati in modo che appaiano gli occhi dell’impostore).

b) volto digitale visualizzato su uno schermo da tablet, smartphone e laptop. Questo tipo di attacchi alla presentazione del volto può essere statico o video. Negli attacchi video i movimenti del viso, il battito delle palpebre, i movimenti della bocca e delle labbra o le espressioni sono solitamente simulati attraverso una breve sequenza video.

c) Una maschera 3D (carta, silicone, calco, gomma, ecc.) modellata specificamente per un volto specifico.

Inoltre, gli impostori possono tentare di falsificare l’identità utilizzando tecniche più sofisticate di alterazione dell’aspetto o loro combinazioni:

1) occhiali correttivi o meno e/o lenti a contatto con possibile cambio di colore.

2) Acconciatura, cambio di colore, taglio, extension, ecc.

3) Trucco o finte cicatrici facciali.

4) Peli del viso veri e/o finti.

5) Protesi facciali e/o chirurgia plastica[1]

Senza entrare nei dettagli di ricerca che si addentrano in linguaggi squisitamente tecnici, emerge lo scopo di questa metodologia che permette di aumentare il rilevamento di attacchi morphing non solo classici ma anche, per cosi dire, più evoluti.

In un processo di verifica, l’utente che tenta di autenticarsi presenta una rilevazione biometrica e un’identità dichiarata e può essere classificato in una delle seguenti 3 categorie.

A) Utente autentico (Genuine user): la rilevazione e l’identità rivendicata appartengono entrambe correttamente all’utente.

B) Impostore senza sforzo (Zero-effort impostor): la rilevazione appartiene all’utente, ma l’identità dichiarata corrisponde a un diverso utente registrato.

C) Impostore di attacco con metamorfosi (Morph attack impostor): la rilevazione corrisponde all’identità dichiarata ma non corrisponde all’utente.

Le performance di verifica vengono tipicamente valutate con le seguenti metriche.

- Tasso di corrispondenza falsa (FMR): percentuale di impostori a sforzo zero che vengono falsamente autenticati.

- False Non-Match Rate (FNMR): percentuale di utenti autentici che vengono falsamente rifiutati.

- Mated Morph Presentation Match Rate (MMPMR): proporzione di attacchi morfologici di impostori accettati dal sistema di riconoscimento facciale.

Pertanto esistono due scenari possibili di valutazione:

- uno scenario in buona fede (Bona Fide) in cui sia le immagini di riferimento che quelle delle sonde sono autentiche, per cui non ci sono attacchi e si presume che il sistema funzioni nelle condizioni per cui è stato progettato; e

- lo scenario di attacco morphing (MA) quando i morph vengono introdotti nel riconoscimento facciale con l’intento dannoso di falsificare il riconoscimento.

«I risultati dimostrano che i morph “classici” sono ancora la più alta minaccia al riconoscimento facciale mentre i morph basati su GAN, nonostante il loro maggiore appeal visivo, non rappresentano una barriera per il sistema automatizzato. Notiamo anche che i sistemi di riconoscimento facciale che sono migliori nel riconoscimento, sono anche più vulnerabili agli attacchi di morphing.»

In questa valutazione di ricerca, che richiama scenari a dir poco distopici, ancora di più lascia interdetti la notizia di qualche giorno fa, sul “primato” della Cina proprio nel delicato campo della face recognition: le aziende cinesi, infatti, dominano le classifiche del Face Recognition Vendor Test del National Institute of Standards and Technology (NIST), considerato lo standard accettato per giudicare l’accuratezza di questi sistemi.

David Yang, assistente professore di economia ad Harvard, in un recente documento di lavoro del National Bureau of Economic Research, con altri suoi colleghi hanno scoperto che gli stati autoritari come la Cina possono avere un vantaggio intrinseco e decisivo rispetto alle democrazie liberali nell’innovazione del riconoscimento facciale, grazie al flusso di enormi quantità di dati di sorveglianza da parte di società private di intelligenza artificiale, che sviluppano software di riconoscimento facciale, per i dipartimenti di polizia locali. Del resto i sistemi AI migliorano con l’allenamento e le minori barriere normative e d etiche in questi paesi agevola l’autoapprendimento dei sistemi che migliorano sepre di più, a discapito delle economie occidentali. Pertanto Yang suggerisce, al fine di non perdere in competitività, che «i responsabili politici in Occidente inizino a considerare i compromessi economici che derivano da una forte protezione dei dati personali piuttosto che concentrarsi esclusivamente sul valore della privacy».

Yang, dalla sua analisi suggerisce di trovare un giusto compromesso tra le libertà individuali e la crescita della tecnologia che non avrebbe, come dimostrato dal suo lavoro, solo declinazioni governative e di controllo, ma anche di tipo industriale e con applicazioni concrete.

Riproduzione Riservata

Avv. Raffaella Aghemo

[1] https://www.frontiersin.org/articles/10.3389/fncom.2019.00034/full

--

--

Innovative Lawyer and consultant for AI and blockchain, IP, copyright, communication, likes movies and books, writes legal features and books reviews

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store