Nelle ultime settimane si sono compiuti passi importanti per l’avviamento di Spid, il Sistema pubblico dell’identità digitale. La pubblicazione del decreto a dicembre, la produzione del primo draft del regolamento tecnico e l’avviamento della fase pilota sono passi fondamentali per consentire al sistema Spid di decollare in tempi brevi. Il Ministro per la Funzione Pubblica ha più volte annunciato la disponibilità di Spid per aprile 2015, con 10 milioni di italiani già serviti per il 2016. Altri rappresentanti del Governo hanno più volte illustrato l’importanza dell’iniziativa.
I numerosi annunci sono stati accompagnati anche da critiche e dubbi sugli aspetti di sicurezza e privacy di Spid. Ritengo pertanto utile fornire qualche chiarimento in più su alcuni di questi aspetti.
Spid e privacy: in molti hanno segnalato che Spid potrà creare problemi di Privacy. Qualche giornalista si è persino domandato se Spid non sia un tentativo del governo di controllare maggiormente i cittadini. Nulla di più falso, scritto da chi non ha capito nulla di come funziona Internet. Già oggi i cittadini Italiani posseggono decine se non centinaia di Identità Digitali: queste sono gestite senza regole e nonostante la legge sulla privacy, vengono utilizzate per fare raccolta e uso di informazioni personali. Basti pensare ai Social Network. Spid porterà a una maggiore tutela della Privacy. Gli Identity Provider dovranno rispondere a criteri e regole che sono ancora più stringenti rispetto alla normativa sulla Privacy. La stessa Autorità Garante per la Privacy ha espresso parere positivo sul Decreto Spid. Non solo: i dati non saranno centralizzati, ma distribuiti su più Identity Providers, evitando la concentrazione di dati in un unico archivio. Inoltre, gli Identity Providers non potranno assolutamente disporre in modo arbitrario delle informazioni dei cittadini. Sarà il cittadino a consentire all’Identity Provider di condividere degli attributi personali ad un Gestore di Servizi. Ad esempio, per consentire l’accesso ad un proprio servizio, il Gestore di Servizi potrebbe richiedere all’Identity Provider il numero di telefono, oppure la data di nascita: l’identity Provider passerà il dato del cittadino solo se questo acconsentirà esplicitamente alla sua condivisione. Paragonato alle pratiche correnti sui servizi Internet, SPID offre evidentemente un grado di protezione dei dati personali più elevato. Infine, nel giro di qualche anno disporremo di tecnologie che permetteranno al cittadino di cifrare i propri dati custoditi presso l’Identity Provider e di renderli leggibili solo tramite sistemi di autenticazione avanzati, portando il livello di protezione dei dati personali a livelli impensabili fino a qualche anno fa.
Spid e la CNS: i due sistemi non sono in competizione, poiché profondamente diversi. La CNS potrà essere utilizzata per richiedere una Identità Digitale, evitando al cittadino di doversi ripresentare per la verifica de-visu. Questo sarà possibile solamente se la CNS ha il certificato attivo, ovvero al cittadino sono state rilasciate le credenziali per l’accesso al certificato. Purtroppo il numero di CNS attive è estremamente basso. La CNS potrà anche essere utilizzata come sistema di autenticazione abilitato a Spid. Personalmente prevedo un uso estremamente limitato di questo sistema, poiché poco pratico e legato alla presenza di un lettore di Smart Card. I cittadini preferiranno sistemi molto più flessibili come sistemi di One Time Password, APP per SmartPhone o sistemi di autenticazioni biometrici.
Spid e sicurezza: alcuni hanno scritto che Spid è un sistema non sicuro. Spid di per se è un framework di interoperabilità e quindi non è ne sicuro, ne insicuro. La sicurezza di Spid riguarderà due aspetti operativi: 1) La sicurezza degli attributi gestiti dagli Identity Providers 2) La sicurezza dei sistemi di autenticazione. Relativamente alla sicurezza degli attributi, gli Identity Providers sono chiamati non solo al rispetto della legge sulla protezione dei dati personali, ma anche ai requisiti tecnici e operativi dettati sia dal decreto, che dal regolamento tecnico. Si tratta di requisiti molto stringenti, superiori agli standard medi di protezione dei servizi digitali. Molto importante sarà l’attività di vigilanza a cura dell’Agenzia per l’Italia Digitale. Relativamente alla sicurezza dei sistemi di autenticazione, SPID erediterà la forze e i limiti di ciascun sistema implementato dagli Identity Providers. La password, ad esempio, è un sistema estremamente vulnerabile. Spid consentirà agli Identity Providers di utilizzare la Password, accreditandola però al livello più basso. Sistemi più evoluti, quali i sistemi basati su crittografia e chiavi, saranno accreditati ai livelli più alti. Sarà il gestore di servizio ad indicare il livello minimo per poter accedere ai propri servizi. Su questo punto, Spid ha un limite ereditato dallo standard internazionale preso anche come riferimento dal regolamento Eidas: il livello 2 potrà spaziare da una One Time Password inviata tramite SMS a una App su smartphone che fa uso di avanzati sistemi di crittografia/firma/hashing con sistemi a chiave pubblica/privata. Si tratta di una differenza enorme e sarebbe corretto permettere ai Gestori di Identità Digitale e ai Gestori di Servizi di poter distinguere i due livelli.
Ritengo che lavorando sul regolamento tecnico si possa introdurre un livello 2.1 (Otp) e un livello 2.9 con l’uso di app a chiave pubblica/privata, offrendo quindi standard di sicurezza più elevati. Infine, ci sono usi di Spid che non sono scritti in maniera esplicita nel decreto, ma che sono stati pensati in fase di disegno del quadro di riferimento e che sarebbe importante riprendere nelle indicazioni tecniche. Cito ad esempio l’uso di Spid in modalità di “Pseudonimity”. Poiché Spid opera secondo il principio di condivisione minima degli attributi, è possibile che un Gestore di Servizio utilizzi Spid esclusivamente per gestire in modo sicuro l’accesso ad un profilo, senza alcun interesse a qualsiasi attributo del cittadino. Ad esempio, un sito di eCommerce potrebbe essere interessato a Spid esclusivamente per consentire agli utenti Spid di accedere senza doversi registrare e senza dover richiedere nuove credenziali, semplicemente utilizzando gli strumenti di autenticazione forniti da Spid. In questo caso, al momento del primo accesso, Spid non comunicherà alcuna informazione personale al Gestore di Servizio, all’infuori di un numero identificativo. Questo numero identificativo potrà essere ulteriormente protetto attraverso tecniche di hashing che rendono quel numero unico per quel gestore di Servizio, rendendo quindi impossibile qualsiasi ricostruzione del profilo del cittadino. Questa modalità non è descritta nel decreto, ma è consentita. Auspico che aspetti come questi vengano inseriti nel regolamento tecnico e vengano compresi dagli operatori, in quanto aprono nuove opportunità, in particolare per il settore privato.