Le identità elettroniche SPID e, in misura minore CIE sono ormai ampiamente diffuse tra la popolazione e che l’identità elettronica è un dato acquisito nell’esperienza quotidiana dei più. A maggior ragione lo è la firma digitale, nelle sue varie declinazioni: secondo i dati Agid, al 2023 vi sono in Italia circa 30.209.106 certificati di firma attivi di cui l’83% basato su firma remota.
La sola firma remota è utilizzata per oltre 3 miliardi di operazioni di firma l’anno, cui si sommano i dati delle firme con token o smart card – non monitorabili perché la firma avviene localmente e senza intervento del certificatore.
È dunque opportuno chiedersi se il sistema pubblico che sta alla base dei rilasci di SPID e delle firme sia al passo con i tempi, sicuro e resiliente.
Le piattaforme messe a disposizione dallo Stato
Parliamo delle piattaforme che lo Stato mette a disposizione dei certificatori, identity provider e di altri soggetti che acquisiscono documenti di identità per verificarne l’autenticità e il legittimo uso.
Se, infatti, non è possibile una verifica elettronica del legittimo uso del documento, identity provider e certificatori che – per forza di cose – fanno affidamento su di esso, devono basarsi sul controllo materiale del medesimo, potenzialmente fallibile data la sofisticazione delle tecniche di falsificazione.
Le banche dati pubbliche che consentono di verificare i documenti di identità sono principalmente due: SCIPAFI – gestita dalla Consap per conto del Ministero dell’Economia e CrimNet, operato dalla Direzione Centrale della Polizia Criminale; la prima ha lo scopo di verificare l’esistenza in vita e i dati.
Il Sistema Centralizzato Informatico per la Prevenzione Amministrativa del Furto d’Identità (Scipafi)
SCIPAFI nasce per consentire la verifica dei documenti nelle pratiche di rilascio SIM telefoniche e finanziamento.
Il suo utilizzo è stato poi esteso ai rilasci di firme digitali e identità elettroniche SPID.
Le identità CIE, essendo emesse dallo Stato, vengono invece ovviamente verificate direttamente sui sistemi del Ministero dell’Interno, non accessibili ad operatori privati.
Ora, vista la importanza centrale nel garantire il livello di fiducia assicurato da identità e firme, ci sarebbe da aspettarsi che i privati che hanno l’onere di verificare l’identità dei loro utenti, avessero a disposizione un sistema in grado di effettuare la verifica dei documenti e dell’identità del richiedente nella maniera più puntuale e precisa possibile.
Analizzando invece la realtà dei fatti, si scopre che il sistema SCIPAFI ha molte limitazioni e vi sono casi in cui non si rivela affatto efficace.
Vediamo dunque di cosa si tratta: il Sistema Centralizzato Informatico per la Prevenzione Amministrativa del Furto d’Identità, noto più semplicemente con il nome di Scipafi o Sistema pubblico di prevenzione, la cui titolarità è attribuita al Ministero dell’Economia e delle Finanze (MEF), è stato istituito dal decreto legislativo n. 141 del 13 agosto 2010, in attuazione della Direttiva Europea 2004/48/CE relativa ai contratti di credito ai consumatori, mentre la realizzazione e la gestione sono affidate a Consap (Concessionaria servizi assicurativi pubblici), con rapporto disciplinato da apposita Convenzione del 22 luglio 2013.
Lo scopo di Scipafi
Esso ha lo scopo di consentire alle aziende aderenti di verificare in tempo reale la corrispondenza dei dati identificativi e di reddito forniti dalle persone fisiche all’atto di una richiesta di servizi bancari, finanziari, assicurativi o di un pagamento differito con quelli contenuti nelle banche dati detenute da organismi pubblici e privati -ad oggi Agenzia delle Entrate, Ministero delle infrastrutture e della mobilità sostenibili, Ministero dell’Interno, Ragioneria Generale dello Stato, Inps, Inail.
I soggetti che possono aderire
Ad oggi, i soggetti che possono aderire sono Banche e intermediari finanziari, Fornitori di servizi di comunicazione elettronica, Fornitori di servizi fiduciari qualificati e i gestori di PEC (Posta Elettronica Certificata), Soggetti autorizzati a svolgere le attività di vendita a clienti finali di energia elettrica e di gas naturale, Fornitori di servizi interattivi o di accesso condizionato, Imprese di assicurazione, Gestori di sistemi di informazioni creditizie e altre imprese che offrono servizi assimilabili alla prevenzione, sul piano amministrativo, delle frodi.
I problemi del sistema
Dunque, quale è la criticità del sistema cui si accennava prima?
Il fatto è che Scipafi – a dispetto delle finalità per cui nasce – ad oggi, per motivi non chiari e che si presumono inerenti al funzionamento della convenzione CONSAP-MEF, dunque per problemi amministrativi e burocratici, non consente più di verificare le carte di identità e CIE in maniera efficace.
In sostanza, l’unico dato che il sistema riporta con esattezza è se una determinata carta d’identità o CIE esiste, in base al numero/scadenza; non è però in grado di controllare se corrisponda l’intestazione e non vi è alcuna possibilità di verificare la fotografia dell’utente agli atti del Ministero dell’Interno.
Cosa ancora peggiore, il sistema – che è stato provato da chi scrive – riporta esito positivo dei controlli su carte d’identità e CIE inserendo dati fittizi su un numero di carta d’identità realmente esistente. Non dichiara che il controllo è fallito o non è stato effettuato, dando l’impressione all’utente che non abbia contezza della mancanza di cui sopra, che il controllo sia stato effettuato.
Per controllare con qualche efficacia la carta d’identità su SCIPAFI, di fatto, l’unico modo è quello di inserire nel medesimo controllo il numero della carta d’identità e della tessera sanitaria; in tal modo il sistema è in grado di riferire se la tessera sanitaria si riferisce o meno alla medesima persona titolare della carta d’identità controllata e, di conseguenza, chi voglia passare questo tipo di controllo ha la maggiore difficoltà di dover falsificare due documenti.
Il sistema CrimNet
Il sistema CrimNet ha invece un diverso scopo: confermare che il documento che viene verificato non sia stato denunciato come rubato o smarrito e, per di più, gli archivi del sistema disponibili ai privati sono “volutamente” (ma non si capisce quale sia la logica) non aggiornati in tempo reale rispetto a quelli delle Forze di Polizia, sicché un furto o smarrimento avvenuto negli ultimi giorni non sarebbe rilevato utilizzando il sistema. Nemmeno questo sistema consente di verificare se l’intestatario di una carta di identità corrisponde: se una carta di identità falsamente intestata a un nome diverso ha il numero di una carta d’identità esistente e non denunciata come smarrita o rubata (o denunciata come tale da pochi giorni) il controllo passerebbe.
E’ noto che la carta di identità cartacea è facilmente falsificabile sostituendo la fototessera, mentre circolano negli ambienti della sicurezza informatica notizie in base alle quali anche la CIE sarebbe ora oggetto di falsificazioni, non facilmente verificabili se non attraverso la lettura NFC del chip installato sulla carta.
Questi allarmanti dati non possono che evidenziare la urgente ed indifferibile necessità che sia messo a disposizione di chi fornisce servizi fiduciari o di comunicazione/energia o credito al consumo, un sistema efficace per accorgersi in tempo reale che i documenti presentati non sono veri e non sono stati alterati.
Quali contromisure per risolvere le attuali criticità
Data la efficacia transfrontaliera degli strumenti di identità elettronica e firma sarebbe inoltre necessario che un tale sistema avesse valenza europea. Un documento di identità non italiano, allo stato, non può in alcun modo essere verificato al rilascio di firme/identità.
Il problema pare anche essere che il Garante Privacy ha sinora ripetutamente espresso pareri negativi[1] relativamente all’aggiornamento dei sistemi di verifica in questione, in particolare per la preoccupazione relativa all’eccessivo trattamento di dati personali e, per quanto riguarda la disponibilità delle fotografie dei documenti, dati biometrici.
E’ tuttavia indifferibile la rivalutazione del problema, rendendo disponibile, quanto meno per i servizi fiduciari, di identità elettronica e PEC, un sistema più efficace che, ad esempio, consenta di verificare la fotografia e i dati “ufficiali” rispetto al documento presentato e istituire liste di attenzione comuni tra le categorie sopra citate, nelle quali si possano evidenziare documenti che siano stati presentati per l’ottenimento di firme/identità e non siano risultati regolari al controllo o utenti che abbiano richiesto firme ed identità plurime.
Sarebbe inoltre necessario introdurre per via regolatoria obblighi di verifica della tessera sanitaria (non accettando surrogati, quali i certificati di codice fiscale) e di registrazione – anche in presenza – di video identificativo oltre che, per quanto riguarda la CIE, di verifica NFC del contenuto del chip. Attualmente non vi sono tali obblighi anche se alcuni prestatori di servizi fiduciari e di identità li hanno introdotti autonomamente, faticando però non poco a farli digerire al Garante Privacy.
Diversamente, potrebbe non essere possibile, in caso di rilasci a fronte di documenti falsi, addossare ai prestatori di servizi fiduciari e dell’identità specifiche responsabilità per non aver potuto verificare con certezza documenti all’apparenza regolari.
Note
[1] Ad esempio si veda https://www.digital4.biz/legal/furti-d-identita-e-trattamento-di-dati-biometrici-la-posizione-del-garante-privacy/
