E’ emersa sul campo (con un articolo del Fatto Quotidiano) una falla del sistema dell’identità digitale Spid, una delle tante che ho illustrato in un articolo pubblicato su Agenda digitale.eu il 20 aprile 2016.
Basta un documento falso per ottenere una identità digitale verificata e valida. Laddove in passato il truffatore sarebbe stato costretto ad affrontare continui rischi di verifica del documento falso, adesso con Spid è sufficiente esporsi una sola volta al controllo. Il fatto che si possa usare una webcam per avere Spid aggiunge solo ulteriore facilità alla contraffazione.
L’errore di fondo è dare questo potere- trasformare un documento potenzialmente falso in una certificazione valida sempre- ad autenticatori privati senza la mediazione di un pubblico ufficiale che verifichi il documento iniziale.
Non ritorno sulle potenziali falle del sistema, vorrei invece riprendere alcuni indicazioni che consentirebbero di mettere parziale sicurezza ail sistema.
Anzitutto va detto che il sistema SPID è composto dai processi e dalle tecnologie, le due componenti formano un sistema unico che non è possibile separare. Non è accettabile la considerazione che le tecnologie sono sicure ma i processi no (anche perché perfino dal punto tecnologico esistono diversi problemi di cui ho parlato nell’articolo “SPID, ecco le falle della tecnologia usata: necessarie nuove misure di sicurezza”), tecnologie, processi e persone(in questo caso i cittadini) sono insieme parte costituente del sistema SPID.
Il principale problema di SPID è dato dai meccanismi di identificazione delegati a soggetti esterni che non sono in grado di accertare l’identità del cittadino. Non sono in grado di accertare l’identità perché è difficile distinguere un documento falso da uno vero, è difficile accertare l’identità attraverso una webcam (negli articoli citati ho presentato dei casi nei quali le immagini possono essere modificate in tempo reale da soggetti terzi), non è possibile essere certi che a richiedere l’identità digitale sia il soggetto proprietario nemmeno con la firma digitale (e ho presentato un caso di cronaca presentato dal Sole 24 ore nel 2012).
A questa difficoltà di identificazione si aggiunge che, secondo SPID, ogni cittadino può avere più identità digitali acquistate da identity provider diversi. Il cittadino non ha modo di conoscere quante identità a suo carico sono state attivate e dove, in che momento.
Il cittadino non può tutelarsi impedendo che vengano attivate identità a suo nome, per cui non ci sono armi di difesa.
È vero che con il sistema su carta attuale questa incertezza è comunque presente ma nonsi tiene conto del fatto che mentre con la carta di identità fisica il soggetto deve essere presente di persona e sottoporre a verifica il proprio documento da molti soggetti con il rischio che qualcuno riconosca il falso, nel sistema SPID è previsto che un cittadino possa accedere ai dati personali, fare atti di compravendita, cambi di residenza e quant’altro da casa senza nessun controllo se non da parte di sistemi automatici che, una volta in possesso di una identità SPID, non controlla altro. I rischi sono incommensurabili rispetto alla carta. Con la carta per molte operazioni devo passare per un notaio o un pubblico ufficiale che in ogni momento possono bloccarmi.
Come risolvere il problema?
Anzitutto facendo in modo che l’identificazione del soggetto sia separata dall’identità digitale. Il processo di identificazione deve essere fatto da una autorità giudiziaria che è in grado di riconoscere un documento falso, accede alla banca dati del ministero degli Interni dove risiedono informazioni confidenziali su ognuno di noi (se il cittadino richiedente è sotto indagine o “attenzionato”, se ci sono impedimenti di qualche tipo) o altre che ne consentono facilmente e sicuramente la certificazione del cittadino, quale sia il numero di telefono cellulare vero (verificandolo presso i provider telefonici) o la mail (quando apriamo un account di posta viene sempre associato un codice fiscale o un indirizzo email già certificato). In questo modo i dati di identità divengono completi, univoci e certi.
Bisognerebbe fare in modo che non sia possibile attivare una identità Spid senza prima aver comunicato questa intenzione presso l’autorità giudiziaria e aversi fatto identificare certamente da quest’ultima. Ci vorrebbe un sistema centrale presso il ministero degli interni che consenta di bloccare il rilascio delle identitá di un cittadino a meno che quest’ultimo non lo “sblocchi” e impedisca che si possano attivare più identità nello stesso momento, un sistema di “orchestrazione”.
Una volta che l’identificazione è fatta da un pubblico ufficiale giudiziario il cittadino può andare a comprare lo SPID da un provider di suo piacimento. A questo punto è auspicabile che non venga dato un certificato al cittadino ma venga fatta da una parte una comunicazione diretta autorità giudiziaria-provider fornendo anche la foto e gli elementi identificativi, dall’altra al cittadino un numero identificativo (anche tramite sms) con il quale assicurare il provider che è il soggetto stesso.
In questo modo l’identity provider non correrebbe il rischio di identificare soggetti falsi e dunque incorrere in denunce da parte del cittadino leso, il cittadino di vedersi rubare l’identità. In più nel tempo l’identificazione di ogni cittadino italiano sarebbe molto più affidabile e certa eliminando il rischio di d’identità false che oggi favoriscono la criminalità e il terrorismo. Questo riduce notevolmente il rischio e i costi di una contesa giudiziaria, i costi assicurativi, i contenziosi che inevitabilmente si attiveranno con il sistema attuale. Tornando all’articolo del Fatto Quotidiano, il giornalista a cui hanno rubato l’identità grazie ad una falla nel sistema di identificazione potrebbe fare causa all’identity provider per negligenza. Se anziché un giornalista del Fatto Quotidiano ci fosse Bruno Vespa o il presidente Mattarella il contenzioso e la richiesta danni sarebbe notevolmente più complicata e gravosa e così via. Per questo la fase di identificazione deve essere fatta nel modo più sicuro possibile.
Una volta che il cittadino ha la prima SPID è necessario che divenga una “master spid” alla quale vengono associate eventuali altre SPID che il cittadino voglia attivare in seguito.
Attraverso la “master SPID” è necessario che si possa accedere ad un portale presso il ministero degli interni nel quale ogni cittadino può bloccare eventuali attivazioni di altre SPID, verificare se vi siano altre SPID attivate a suo nome e nel caso denunciarle e bloccarle.
Fare questo renderebbe il sistema più sicuro ma non sicuro. Rimangono gli aspetti relativi alla soluzione tecnologica di cui ho parlato ampiamente nell’articolo citato sopra. Tali aspetti rappresentano un rischio ma possono essere “mitigati” attraverso azioni in parte riportate nell’articolo.
Cambiare il processo di identificazione di SPID significa cambiare massicciamente tutto il decreto istitutivo del sistema, significa rimettere in discussione la delega alla identificazione verso i privati soggetti che svolgono l’attività di identity provider.
L’identificazione deve essere rinnovata nel tempo come funziona un documento di identità ma allora avrebbe senso che SPID sia parte del sistema più ampio della Carta di Identità Elettronica che il governo ha deciso di dispiegare riprendendo il lavoro fatto ormai da più di un decennio tra mille problemi tecnici e non tecnici.
Questo darebbe il senso di un sistema unico di identità che copra sia lo spazio dell’identità fisica, la CIE, sia quello dell’identità digitale, SPID, in modo certo, sicuro, affidabile. Oggi nessuno può escludere con certezza che venga emessa una carta di identitá falsa da un impiegato infedele dell’anagrafe, spostando l’identificazione come descritto sopra il rischio sarebbe notevolmente più basso.
È evidente che ci sarebbe un aggravio di attività presso le stazioni di polizia, guardia di finanza, carabinieri e in generale delle FF.OO. ma questo è quello che accade in paesi come la Spagna senza grossi problemi. Farsi identificare ogni dieci anni non avrebbe poi un grande costo in tempo e in denaro.
Sarebbe opportuno costituire un tavolo che si occupi di rivedere il sistema, sarebbe opportuno dare massima importanza a questo primo caso emerso perché in un mondo in cui il rischio cybersecurity è diventato sempre più grande e le vulnerabilità sempre più evidenti è necessario proteggere una delle principali “infrastrutture critiche nazionali”: l’identità dei cittadini e il loro diritto alla privacy e ai propri diritti individuali. Una infrastruttura critica dalle quali dipende la convivenza civile della Nazione, il buon funzionamento delle istituzioni, il buon funzionamento delle regole civili e di mercato.
