E’ di questi giorni l’emergere di alcune polemiche e rilievi intorno a SPID fino alla sentenza del Consiglio di Stato sul ricorso di Assoprovider.
Non entrerò in questo profilo di considerazioni per porre l’attenzione su aspetti più meramente tecnici che a mio avviso non hanno avuto la dovuta attenzione.
Personalmente ho posto alcune segnalazioni relative a SPID sin dall’inizio del suo iter, prima che venisse emanato il decreto e si cominciasse a mettere a punto il sistema, colgo l’occasione per riprenderle. Altre considerazioni più tecnologiche sono più complicate da affrontare in questa sede e le tralascierò.
Partiamo dall’art.6 del “Regolamento Spid (articolo 4, comma 2, DPCM 24 ottobre 2014)”:
“Al ricevimento della richiesta, il gestore dell’identità digitale procede all’identificazione del soggetto richiedente, che consiste nell’accertamento delle informazioni sufficienti a identificare il soggetto richiedente sulla base di documenti forniti dallo stesso. Tale processo è effettuato da personale qualificato e opportunamente formato”
Dire “personale qualificato e opportunamente formato” non ha un significato chiaro e si presa a diverse interpretazioni.
Non è chiaro il tipo di formazione che deve avere questo personale (su quali tipologie di documenti, con quale aggiornamento). Non è affatto semplice riconoscere un documento falso dal vero sia per la sofisticazione a cui sono arrivati i falsari, sia perché il documento in sé non fornisce riscontri(tralasciando la CIE o simili). Sarebbe infatti necessario che ogni documento da riconoscere fosse riscontrato con la banca dati delle FF.OO. che in tempo reale segnala anomalie come denunce di furto o altro.
Non è chiaro nemmeno come deve essere effettuata l’identificazione, quali sono le informazioni da raccogliere e soprattutto il profilo della persona che attesta che l’identificazione sia valida. Se questa persona è un dipendente pubblico opportunamente formato e responsabilizzato possiamo contare sul fatto che non possa avere incentivi di produzione sulla quantità di SPID consegnate e dunque abbia tutto l’interesse a verificare con scrupolo. Ovviamente si può obiettare che i casi di corruzione nella PA non sono rari ma questo è un ragionamento che metterebbe in discussione qualsiasi attività la PA debba fare.
Infine, nel caso dei gestori di identità, non è chiaro nemmeno su chi è il responsabile se l’identificazione è falsa ovvero se il responsabile è l’impiegato che identifica o una figura aziendale apicale. I regolamenti emanati richiamano la responsabilità della figura apicale, tuttavia ritengo che sarà molto complesso risalire alle colpe nei tre gradi di giudizio.
Il tema dell’identificazione è centrale in un sistema di identificazione elettronico. Tutto il sistema si regge sulla fiducia, se esistono punti deboli tutto il sistema diventa inaffidabile.
Il problema è centrale in un sistema di identificazione che permette poi di accedere in modo automatico a servizi pubblici e privati di ogni genere la cui identità è considerata affidabile proprio in virtù di questo processo di identificazione.
E’ chiaro che se un solo gestore di identità dimostra di avere dei buchi, tutto il sistema viene rimesso in discussione con gravi danni di reputazione e per chi viene direttamente penalizzato.
Non è nemmeno chiaro se il personale che identifica deve essere della società gestore dell’identità digitale oppure può essere di una società esterna a lei affiliata (ad esempio lavoratori in somministrazione). In tal caso la responsabilità sulla identificazione errata non è chiaro su chi ricada e, infine, non è chiaro a che titolo una società affiliata del gestore dell’identità debba poter gestire dati personali così delicati degli utenti.
Poi abbiamo degli operatori di aziende private che potrebbero non essere dipendenti della stessa (ad esempio i negozi di una catena di franchising) che potrebbero essere pagati a percentuale su quante identità “vendono” oppure premiati in base alle identità consegnate.
Saper riconoscere un documento falso non è un processo banale, richiede un elevato grado di conoscenza ed esperienza.
Certo anche per richiedere una SIM telefonica si procede all’identificazione e può esserci un errore, infatti è un fenomeno noto quello delle SIM intestate a false persone. Come qualsiasi professionista commercialista vi potrà dire che molti clienti lasciano la firma digitale da lui in modo che possa procedere più velocemente nelle pratiche burocratiche.
Il documento cartaceo non garantisce maggiore sicurezza tuttavia, dovendo presentare il documento in presenza della persona ogni volta che si richiede un servizio si aumenta il rischio di essere scoperti. Nel caso dell’identità digitale, una volta ottenuta l’identità in modo fraudolento, essa non passa più per nessun controllo e i sistemi informatici la accettano come perfettamente valida.
Oltre a questo ogni cittadino può dotarsi (o gli può essere trafugata) di una o più identità digitali e non ha modo di sapere se esistono identità digitali a suo nome, non è previsto infatti nessun sistema consultabile dal cittadino presso il Ministero degli Interni ad esempio. Così come anche l’indirizzo di mail e il telefono che si fornisce in fase di acquisto l’identità non è prescritto che debbano essere intestate a lui e dunque potrebbero essere di altri e dunque utilizzate a sua insaputa e utilizzate per ingannare il gestore.
Altro caso è il riconoscimento in video (previsto tramite webcam), si trovano in giro su internet video di studenti universitari che con una webcam e un software riescono a far muovere la bocca a loro piacimento al presidente Obama o Putin. Infine anche il riconoscimento tramite firma elettronica o posta certificata potrebbe avere qualche problema, è solo di poco tempo fa il caso del commercialista che con la firma elettronica ha potuto intestare ad un terzo le quote societarie di un cliente ad esempio (26 marzo 2012 Il Sole 24 Ore).
Il sistema si presta a possibili furti di identità, vedremo più avanti come. Rubare l’identità ad un cittadino significa un danno molto grave, consente infatti di accedere ai suoi dati riservati oppure intestare la bolletta della luce o l’affitto di una casa affittata da terroristi con l’identità di un ignaro cittadino che potrebbe per anni non sapere nulla. Salvo poi dover spiegare come mai è un pericoloso complice di qualche cellula islamica o famiglia mafiosa. Per non parlare di firma di contratti, cessione di beni all’insaputa del titolare e così via.
Esiste poi il caso nel quale non vi sia un furto ma un caso di una persona che si presta a identità di comodo(la così detta “testa di legno”). Ovvero un soggetto che si presta per coprire l’identità di qualcuno che ha interessi criminali di varia natura e ha bisogno di copertura. L’identità elettronica in tal caso è lo strumento migliore perché una volta ottenuta non serve più portare il prestanome in giro con il rischio di destare sospetti affiancandolo con due emissari. In tal caso basta prendere l’identità e semplicemente procedere nelle attività.
Ma il Sistema di Identità Pubblico si presta anche come un meccanismo che deresponsabilizza i fornitori di servizi in rete. Poiché il processo di identificazione viene svolto da un soggetto terzo è chiaro che il provider di servizi non può rispondere del danno che un furto di identità può causare ad un cliente. Lo SPID consente infatti al fornitore del servizio di ovviare alle disposizioni dell’art. 17 della legge 70/03 che recita:
“Art. 17 (Assenza dell’obbligo generale di sorveglianza)
1. Nella prestazione dei servizi di cui agli articoli 14, 15 e 16, il prestatore non e’ assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, ne’ ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attivita’ illecite.
2. Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore e’ comunque tenuto:
a) ad informare senza indugio l’autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell’informazione;
b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l’identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.
3. Il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall’autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l’accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l’accesso, non ha provveduto ad informarne l’autorità competente.”
Il fornitore di servizi può dunque tralasciare di controllare operazioni sospette e l’identity provider potrebbe non essere in grado di controllarle in modo compiuto, creandosi così un’area grigia che peserebbe sull’utente. Ad esempio una serie di movimenti bancari insoliti per l’utente sarebbero perfettamente leciti, mentre oggi la banca verifica con attenzione e traccia ogni singolo movimento per esempio con una autorizzazione aggiuntiva che nel caso di SPID non è detto sia necessaria.
Se pensiamo al caso delle banche oggi esse avrebbero un enorme danno di immagine su vi fosse un caso di accesso non autorizzato dovuto al sistema di controllo debole. Così le banche devono garantire la sicurezza dei conti online e proteggere in modo adeguato i loro clienti. Addirittura sarebbe più conveniente farsi carico di coprire incidenti pur di non renderli pubblici rischiando di generare il panico tra i clienti. Con lo SPID i rischi sono gestiti più facilmente e sono a carico degli Identity Provider. E dunque se avviene un furto tramite l’account online di un utente il problema sarà di quell’utente che dovrà districarsi tra le responsabilità dell’Identity Provider e quelle della banca. Considerato che eventuali processi per danni o responsabilità impiegano molto tempo e sono a rischio prescrizione e avrebbero da una parte gli avvocati degli identity provider (ad ora Tim, Poste Italiane e Infocert) o quelli delle banche e dall’altra un cittadino sembra difficile che qualcuno possa far rivalere i propri diritti.
Si dice che o SPID apra tantissime opportunità ai cittadini che ne faranno uso. A mio modo di vedere non si è descritto con compiutezza il mondo di rischi che questo può comportare.
L’identità di un cittadino è infatti il sistema con il quale esso si presenta agli altri e allo Stato con assoluta certezza. Chiunque può presentarsi a mio nome nei fatti può compiere su di me qualsiasi azione. Ora è vero che con la legge sull’autocertificazione molte volte l’identificazione è stata trasformata in una fotocopia di un documento e un foglio di carta firmato ma questo non giustifica a proseguire in questa direzione. L’autocertificazione nasce dalla volontà della politica di assecondare visioni semplicistiche dello Stato. Ad ora questo sistema molto lasco ha consentito a molti cittadini di ottenere benefici dichiarando il falso ed è difficile perseguire un numero di illeciti molto alto. Attraverso l’autocertificazione il legislatore si è deresponsabilizzato nei confronti del cittadino, per evitare di chiedere certificati al cittadino non bisognava mettere l’autocertificazione ma interconnettere i sistemi informativi affinché lo Stato potesse parlare tra i suoi enti senza chiedere nulla al cittadino o produrre “certificati” online da inviare a terze parti.
La mia identità mi consente di poter esercitare la mia cittadinanza sia come soggetto pubblico (per esempio se vi fosse un sistema di consultazione o voto online) sia come libero cittadino nei miei rapporti con lo Stato o nelle transazioni commerciali o altro. E’ evidente che il furto di identità è la cosa più dirompente possa accadere ad un cittadino.
Il costo di questo furto è molto alto per chi lo subisce. E’ anche un costo molto diverso a seconda del ruolo sociale del cittadino, della sua professione, della sua notorietà.
Rubare i raggi X del menisco a Francesco Totti per rivenderla alla stampa o ad una squadra avversaria ha un impatto economico infinitamente più alto del furto dei raggi X al menisco di mia madre. Detto questo diventa anche un problema assicurare un Identity Provider dal rischio.
Qui possiamo immaginare due tipi di furti, il primo dovuto a personale non formato e un processo di acquisizione delle identità inefficace. In tal caso la responsabilità potrebbe essere attribuita a diverse figure, sarebbe in particolare abbastanza facile per le figure apicali dell’identity provider farla franca.
Nel secondo ad un furto massivo portato avanti da hacker. Vi sono stati diversi casi in passato su fornitori di accesso o identità. In tal caso andrebbero risarciti tutti i cittadini e in misura diversa a secondo del valore della loro identità. E’ chiaro che è difficile immaginare l’impatto economico di tale richiesta economica, potrebbe perfino essere più conveniente far fallire la società dell’identitity provider perché sarebbe più economico che sostenere il costo del risarcimento. Una materia che apre praterie di controversie per la gioia degli avvocati esperti del settore.
A questo riguardo sarebbe utile ricordare il caso della Diginotar, una società privata di Authority di certificati, di proprietà della multinazionale USA VASCO International, che il 3 settembre del 2011 ha scoperto di essere obiettivo di accesso fraudolento a certificati https (il protocollo sicuro del web). Non spiegherò in dettaglio la dinamica del problema ma questo ha provocato il blocco dei servizi di e-government del governo olandese per alcuni giorni, l’aggiornamento dei più diffusi browser e molti problemi agli utenti. A causa di questo incidente la Diginotar è stata chiamata a pagare i danni ma è stata fatta fallire dalla capogruppo. Va anche detto che tale incidente è stato possibile per incuria e mancanza di aggiornamento dei sistemi utilizzati dall’azienda, un tema, questo dei controlli, che è al centro anche di SPID. Cosa succederebbe se questo accadesse ad un Identity Provider, come sarebbero tutelati gli utenti o i principali servizi dello Stato?
Fossi un Identity Provider chiederei con forza allo Stato di verificare lui l’identità del cittadino lasciando a me la sua gestione corrente. In tal modo ridurrei notevolmente il mio rischio allorché in caso di incidente risponderei solo di una parte della catena.
Detto tutto questo, è utile porsi la domanda se è possibile rendere il sistema sicuro ovvero aumentarne la sicurezza.
Anzitutto un sistema sicuro non esiste. Possiamo considerare sicuro solo un sistema il cui tempo per entrare è talmente grande da permettere una controffensiva all’attacco e la sconfitta degli intrusi. Per questo avere tante chiavi nel mazzo rende meno vulnerabile una porta, se andassi in giro con 100 chiavi di cui molte false allungherei così tanto i tempi del ladro che dovesse essersi appropriato delle mie chiavi da esporlo alla cattura.
E’ proprio per questo che il processo di identificazione del cittadino sarebbe dovuto essere di massima affidabilità, per esempio mandando il cittadino ad identificarsi dalle FF.OO. Infatti le FF.OO. sono in grado di riconoscere un documento falso, hanno un database in grado di capire se ci sono stati furti di documenti o di carta valori, di confrontare i dati presenti nel documento con l’anagrafe della popolazione residente (ANPR). Ma sono anche in grado di capire se l’immagine del portatore corrisponde ad una persona con precedenti o segnalata, oppure come dice il Presidente Renzi “taggata”. Sono in grado di sapere con certezza a chi corrisponde il numero di cellulare fornito durante l’identificazione e se è oggetto di indagine, di conoscere se l’indirizzo di emal è valido e a chi corrisponde. Insomma di identificare la persona. Passato tale processo di identificazione si ha certezza di identità.
Soprattutto è importante che ogni cittadino con identità digitale abbia un numero di cellulare nel quale inviare notifiche di quello che la sua identità fa, perché solo un monitoraggio di questo può aiutare a mantenere sicuro il tutto. Questo numero deve essere certificato a sua volta come di sua proprietà, raggiungibile, non disattivabile dal gestore telefonico nel caso la ricarica telefonica o l’abbonamento risultino scaduti, ovvero in tal caso bloccare anche l’identità digitale.
Certo sarà pure più “burocratico” di andare al negozio sotto casa ma garantisce sia il cittadino che la richiede, sia la collettività.
Sarebbe utile anche che vi fosse un portale del cittadino nel quale ci si può collegare per sapere se qualcuno ha chiesto una identità digitale a nostro nome, ovvero se ne esista una a nostra insaputa. Magari fare in modo che si possa richiedere una identità digitale solo dopo che se ne è fatta richiesta alle FF.OO. ed esse abbiano provveduto a “sbloccare” i gestori al rilascio dell’identità. I mezzi, anche semplici, ci sono.
Anche gli operatori dell’anagrafe sono in grado di riconoscere un documento di un cittadino, anche se non sono in grado di fare i controlli che la polizia giudiziaria è in grado di fare.
E’ necessario soprattutto garantire ad ogni cittadino il diritto a non avere una identità digitale ma tante password diverse, un po’ come l’arta millenaria delle serrature insegna. A chi verrebbe mai in mente di avere una sola chiave con la quale aprire la casa, l’automobile, la casa al mare, il cassetto dell’ufficio, la cassaforte e così via? L’idea di avere chiavi diverse e mazzi diversi è il frutto millenario della sapienza contro i ladri. L’idea che nel digitale questo possa essere sostituito da un “PIN unico” rischia di essere pericolosa e insicura.
Tralasciamo le considerazioni sui costi che lo SPID ha generato nelle strutture pubbliche coinvolte, tali costi per la legge che lo istituisce non sarebbero dovuti esserci.
Infine non si capisce l’utilità di lanciare in tutta fretta lo SPID quando bastava prima lanciare la carta di Identità Elettronica che è un supporto molto più affidabile e consente una migliore identificazione potendo basarsi su sistemi biometrici. E non è un caso se si usano proprio meccanismi biometrici per aumentare l’affidabilità in fase di identificazione.
