Identità digitale: tutti i dubbi chiariti

Il Sistema pubblico di identità digitale, voluto dal Governo, è in fase di avvio, ma crescono dubbi su sicurezza e privacy. Uno dei co-autori della normativa Spid spiega perché invece renderà più sicuri i servizi digitali. Alcuni aspetti sono poco noti, per esempio l’uso di Spid in modalità di pseudo-anonimato

Pubblicato il 04 Feb 2015

Andrea Rigoni

Intellium

identità-140222002401

Nelle ultime settimane si sono compiuti passi importanti per l’avviamento di Spid, il Sistema pubblico dell’identità digitale. La pubblicazione del decreto a dicembre, la produzione del primo draft del regolamento tecnico e l’avviamento della fase pilota sono passi fondamentali per consentire al sistema Spid di decollare in tempi brevi. Il Ministro per la Funzione Pubblica ha più volte annunciato la disponibilità di Spid per aprile 2015, con 10 milioni di italiani già serviti per il 2016. Altri rappresentanti del Governo hanno più volte illustrato l’importanza dell’iniziativa.

I numerosi annunci sono stati accompagnati anche da critiche e dubbi sugli aspetti di sicurezza e privacy di Spid. Ritengo pertanto utile fornire qualche chiarimento in più su alcuni di questi aspetti.

Spid e privacy: in molti hanno segnalato che Spid potrà creare problemi di Privacy. Qualche giornalista si è persino domandato se Spid non sia un tentativo del governo di controllare maggiormente i cittadini. Nulla di più falso, scritto da chi non ha capito nulla di come funziona Internet. Già oggi i cittadini Italiani posseggono decine se non centinaia di Identità Digitali: queste sono gestite senza regole e nonostante la legge sulla privacy, vengono utilizzate per fare raccolta e uso di informazioni personali. Basti pensare ai Social Network. Spid porterà a una maggiore tutela della Privacy. Gli Identity Provider dovranno rispondere a criteri e regole che sono ancora più stringenti rispetto alla normativa sulla Privacy. La stessa Autorità Garante per la Privacy ha espresso parere positivo sul Decreto Spid. Non solo: i dati non saranno centralizzati, ma distribuiti su più Identity Providers, evitando la concentrazione di dati in un unico archivio. Inoltre, gli Identity Providers non potranno assolutamente disporre in modo arbitrario delle informazioni dei cittadini. Sarà il cittadino a consentire all’Identity Provider di condividere degli attributi personali ad un Gestore di Servizi. Ad esempio, per consentire l’accesso ad un proprio servizio, il Gestore di Servizi potrebbe richiedere all’Identity Provider il numero di telefono, oppure la data di nascita: l’identity Provider passerà il dato del cittadino solo se questo acconsentirà esplicitamente alla sua condivisione. Paragonato alle pratiche correnti sui servizi Internet, SPID offre evidentemente un grado di protezione dei dati personali più elevato. Infine, nel giro di qualche anno disporremo di tecnologie che permetteranno al cittadino di cifrare i propri dati custoditi presso l’Identity Provider e di renderli leggibili solo tramite sistemi di autenticazione avanzati, portando il livello di protezione dei dati personali a livelli impensabili fino a qualche anno fa.

Spid e la CNS: i due sistemi non sono in competizione, poiché profondamente diversi. La CNS potrà essere utilizzata per richiedere una Identità Digitale, evitando al cittadino di doversi ripresentare per la verifica de-visu. Questo sarà possibile solamente se la CNS ha il certificato attivo, ovvero al cittadino sono state rilasciate le credenziali per l’accesso al certificato. Purtroppo il numero di CNS attive è estremamente basso. La CNS potrà anche essere utilizzata come sistema di autenticazione abilitato a Spid. Personalmente prevedo un uso estremamente limitato di questo sistema, poiché poco pratico e legato alla presenza di un lettore di Smart Card. I cittadini preferiranno sistemi molto più flessibili come sistemi di One Time Password, APP per SmartPhone o sistemi di autenticazioni biometrici.

Spid e sicurezza: alcuni hanno scritto che Spid è un sistema non sicuro. Spid di per se è un framework di interoperabilità e quindi non è ne sicuro, ne insicuro. La sicurezza di Spid riguarderà due aspetti operativi: 1) La sicurezza degli attributi gestiti dagli Identity Providers 2) La sicurezza dei sistemi di autenticazione. Relativamente alla sicurezza degli attributi, gli Identity Providers sono chiamati non solo al rispetto della legge sulla protezione dei dati personali, ma anche ai requisiti tecnici e operativi dettati sia dal decreto, che dal regolamento tecnico. Si tratta di requisiti molto stringenti, superiori agli standard medi di protezione dei servizi digitali. Molto importante sarà l’attività di vigilanza a cura dell’Agenzia per l’Italia Digitale. Relativamente alla sicurezza dei sistemi di autenticazione, SPID erediterà la forze e i limiti di ciascun sistema implementato dagli Identity Providers. La password, ad esempio, è un sistema estremamente vulnerabile. Spid consentirà agli Identity Providers di utilizzare la Password, accreditandola però al livello più basso. Sistemi più evoluti, quali i sistemi basati su crittografia e chiavi, saranno accreditati ai livelli più alti. Sarà il gestore di servizio ad indicare il livello minimo per poter accedere ai propri servizi. Su questo punto, Spid ha un limite ereditato dallo standard internazionale preso anche come riferimento dal regolamento Eidas: il livello 2 potrà spaziare da una One Time Password inviata tramite SMS a una App su smartphone che fa uso di avanzati sistemi di crittografia/firma/hashing con sistemi a chiave pubblica/privata. Si tratta di una differenza enorme e sarebbe corretto permettere ai Gestori di Identità Digitale e ai Gestori di Servizi di poter distinguere i due livelli.

Ritengo che lavorando sul regolamento tecnico si possa introdurre un livello 2.1 (Otp) e un livello 2.9 con l’uso di app a chiave pubblica/privata, offrendo quindi standard di sicurezza più elevati. Infine, ci sono usi di Spid che non sono scritti in maniera esplicita nel decreto, ma che sono stati pensati in fase di disegno del quadro di riferimento e che sarebbe importante riprendere nelle indicazioni tecniche. Cito ad esempio l’uso di Spid in modalità di “Pseudonimity”. Poiché Spid opera secondo il principio di condivisione minima degli attributi, è possibile che un Gestore di Servizio utilizzi Spid esclusivamente per gestire in modo sicuro l’accesso ad un profilo, senza alcun interesse a qualsiasi attributo del cittadino. Ad esempio, un sito di eCommerce potrebbe essere interessato a Spid esclusivamente per consentire agli utenti Spid di accedere senza doversi registrare e senza dover richiedere nuove credenziali, semplicemente utilizzando gli strumenti di autenticazione forniti da Spid. In questo caso, al momento del primo accesso, Spid non comunicherà alcuna informazione personale al Gestore di Servizio, all’infuori di un numero identificativo. Questo numero identificativo potrà essere ulteriormente protetto attraverso tecniche di hashing che rendono quel numero unico per quel gestore di Servizio, rendendo quindi impossibile qualsiasi ricostruzione del profilo del cittadino. Questa modalità non è descritta nel decreto, ma è consentita. Auspico che aspetti come questi vengano inseriti nel regolamento tecnico e vengano compresi dagli operatori, in quanto aprono nuove opportunità, in particolare per il settore privato.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2