SPID, se il documento è falso: i problemi di sicurezza

L’adozione di SPID da parte delle amministrazioni richiede la massima attenzione per il rischio che le banche dati potrebbero essere modificate per errore o per dolo. Un problema facilmente gestibile se l’identità del possessore di SPID è certa ma che può diventare un grosso problema se l’identità è falsa. Il recente caso di Anis Amri, l’attentatore di Berlino ucciso a Sesto S. Giovanni ha riproposto all’attenzione il mercato dei documenti falsi di identità

Pubblicato il 05 Gen 2017

Paolino Madotto

manager esperto di innovazione, blogger e autore del podcast Radio Innovazione

italy-fake-national-170104234024

In una recente intervista sul Corriere delle Comunicazioni Roberto Baldoni, direttore Cyber Intelligence and information Security Center dell’Università “Sapienza”, riconosce i limiti del processo di identificazione presentando soluzioni che tuttavia contengono limiti di privacy che consentirebbero, in fase di identificazione, ad un operatore privato di possedere informazioni delicate sul fronte della privacy. A mio avviso la strada maestra rimane la certificazione presso le forze dell’ordine., tuttavia sarebbe opportuno che si sviluppasse un tavolo di lavoro dal nuovo Governo coinvolgendo esperti ed interessati. La notizia relativa al furto di identità di cui Yahoo! è stata oggetto dovrebbe tutti quanti far riflettere sull’importanza di agire con attenzione senza tuttavia fermare i servizi online e le loro potenzialità. E’ di questi giorni la notizia che l’attentatore di Berlino ucciso a Sesto S. Giovanni disponesse di numerosi documenti falsi di identificazione procurati in Italia. D’altra parte è bastata una piccola ricerca su Google per trovare un sito che propone documenti “fake” degli originali. Questo ripropone il problema di come effettuare l’accreditamento delle identità SPID.

Un altro punto critico dell’attuale sistema messo in piedi dalle regole tecniche di SPID è ciò che accade per le amministrazioni come “service provider”.

Posto che ormai risulta evidente che le identità SPID emesse fino ad ora ed in corso di emissione potrebero essere tutte o in parte false (nessuno è in grado di dirlo con certezza) per gli ormai ben noti problemi di identificazione, è necessario valutare gli impatti che possono esserci per le amministrazioni che hanno lo hanno adottato o lo stanno per fare.

Qualora l’identità SPID venga adottata da un’amministrazione per consentire ai cittadini la modifica dei propri dati, l’inserimento di una domanda e in generale qualsiasi operazione “dispositiva” questo può provocare, nel tempo, errori nelle banche dati.

Gli “errori” che possono essere provocati nelle banche dati sono sia di carattere involontario (ad esempio un cittadino che inserisce degli dati errati nella via di residenza o nei campi messi a disposizione per la modifica) sia dati criminalmente sbagliati inseriti da false identità SPID emesse a seguito del problematico processo di emissione di cui si è parlato ampliamanete negli articoli precedenti.

In tutti e due i casi, involontario o criminalmente sbagliati, vengono modificate le banche dati con dati non veritieri. Queste modifiche potrebbero ripetersi nel tempo e, soprattutto nel caso di dati criminalmente sbagliati, possono non essere notificate all’interessato rendendo impossibile richiederne il ripristino corretto.

Le banche dati, con il passare del tempo, rischiano di diventare sempre più inaffidabili e i cittadini interessati rischiano di essere coinvolti in spiacevoli situazioni dovute a questa mancanza di congruità dei dati. E’ evidente che se le banche dati della PA diventano inaffidabili ne abbiamo un danno sistemico rilevante per tutto il Paese, le modifiche debbono essere considerate con particolare attenzione.

Ad esempio un cittadino potrebbe essere coinvolto nella denuncia falsa di un incidente automobilistico (attività criminale sin troppo diffusa ultimamente), un contratto di affitto mai fatto (con il rischio che i beneficiari possano essere latitanti o organizzazioni criminali), un cambio di residenza mai richiesto, ecc.

Questa mancanza di integrità delle banche dati rischia di costringere un numero molto alto di cittadini a richiedere modifiche dei propri dati all’amministrazione, probabilmente direttamente allo sportello generando degli extracosti imprevisti e disagi inimmaginabili ai cittadini.

Un sistema che è nato per eliminare la burocrazia potrebbe trasformarsi in un vero incubo burocratico con cittadini che inseguono le amministrazioni per il ripristino dei dati corretti e amministrazioni che non sono in grado di essere certe che non vi siano cittadini che ne approfittino per cambiare i dati a loro vantaggio.

E’ vero che le amministrazioni mantengono i dati di log delle modifiche nei database rendendo così semplice inseguire eventuali errori o manomissioni ma questi dati dopo un certo numero di anni potrebbero essere cancellati. E’ dunque auspicabile che le amministrazioni che vogliano utilizzare SPID si facciano carico dei problemi che potrebbero incontrare, disegnando l’uso di SPID tenendo in considerazione modalità che tutelino esse e il cittadino.

E’ auspicabile che l’adozione di SPID venga fatta attraverso una analisi di impatto, casi d’uso e lo studio di meccanismi specifici che consentano “rollback” anche dopo molti anni.

Sarebbe consigliabile anche prendere in esame i meccanismi adottati dai diversi identity provider per valutare che tipo di garanzie vengono offerte e prendere eventuali contromisure a protezione dei dati o valutare quali operazioni rendere disponibili via SPID (anche livello di sicurezza SPID elevati possono soffrire di questo problema).

Il processo di adozione di SPID per un’amministrazione impone alcuni step come costruire una “mappa” delle banche dati interessate da eventuali servizi dispositivi o informativi considerando l’impatto di modifiche non corrette o volutamente fallaci; considerare la privacy dei dati coinvolti; considerare il processo necessario al ripristino dei dati corretti in caso di errore o dati falsi; considerare eventuali rivalse sugli Identity provider o terzi che per negligenza abbiano creato le condizioni di modifiche errate; considerare meccanismi per evidenziare modifiche “a rischio” tramite specifici “trigger”.

E’ anche opportuno individuare le operazioni consentite e quelle non consentite attraverso SPID e un congruo processo di test che consenta di evitare che le interfacce di connessione ai servizi SPID possano essere oggetto di errori tecnici.

Infine è necessario che venga istituito un processo di controllo e “rollback” adeguato che riduca notevolmente i casi di errore. Da questo punto di vista può essere utile anche impiegare meccanismi di machine learning che consentano di automatizzare il controllo rilevando in modo automatico le anomalie e segnalandole per tempo.

Lungi dall’essere una cosa semplice, l’adozione di SPID, può contenere numerose insidie per le amministrazioni che intendono avvalersene.

In attesa che l’AgID e il Governo mettano in atto accorgimenti per garantire la necessaria sicurezza di SPID procedere con cautela e coscienziosità può essere la strategia consigliata per evitare problemi ai cittadini e costi all’amministrazione. Esiste la necessità di tenere insieme la necessaria e urgente digitalizzazione del Paese con la altrettanto necessaria sicurezza e privacy dei cittadini e dello Stato. La fiducia è il principale driver di diffusione e garanzia per i servizi online, ognuno di noi è chiamato a lavorare per aumentarla.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2