servizi pubblici digitali

La verifica dei documenti per l’identità digitale non è sicura, ecco perché



Indirizzo copiato

Le identità elettroniche SPID e CIE sono diventate un elemento essenziale della nostra vita quotidiana. Tuttavia, emergono dubbi sulla sicurezza e l’aggiornamento del sistema pubblico che gestisce il rilascio di queste identità. Serve un sistema efficace per verificare in tempo reale l’autenticità dei documenti presentati

Pubblicato il 9 nov 2023

Eugenio Prosperetti

Avvocato esperto trasformazione digitale, docente informatica giuridica facoltà Giurisprudenza LUISS



A,Programmer,Is,Browsing,The,Internet,In,Smart,Phone,To

Le identità elettroniche SPID e, in misura minore CIE sono ormai ampiamente diffuse tra la popolazione e che l’identità elettronica è un dato acquisito nell’esperienza quotidiana dei più. A maggior ragione lo è la firma digitale, nelle sue varie declinazioni: secondo i dati Agid, al 2023 vi sono in Italia circa 30.209.106 certificati di firma attivi di cui l’83% basato su firma remota.

La sola firma remota è utilizzata per oltre 3 miliardi di operazioni di firma l’anno, cui si sommano i dati delle firme con token o smart card – non monitorabili perché la firma avviene localmente e senza intervento del certificatore.

È dunque opportuno chiedersi se il sistema pubblico che sta alla base dei rilasci di SPID e delle firme sia al passo con i tempi, sicuro e resiliente.

Le piattaforme messe a disposizione dallo Stato

Parliamo delle piattaforme che lo Stato mette a disposizione dei certificatori, identity provider e di altri soggetti che acquisiscono documenti di identità per verificarne l’autenticità e il legittimo uso.

Se, infatti, non è possibile una verifica elettronica del legittimo uso del documento, identity provider e certificatori che – per forza di cose – fanno affidamento su di esso, devono basarsi sul controllo materiale del medesimo, potenzialmente fallibile data la sofisticazione delle tecniche di falsificazione.

Le banche dati pubbliche che consentono di verificare i documenti di identità sono principalmente due: SCIPAFI – gestita dalla Consap per conto del Ministero dell’Economia e CrimNet, operato dalla Direzione Centrale della Polizia Criminale; la prima ha lo scopo di verificare l’esistenza in vita e i dati.

Il Sistema Centralizzato Informatico per la Prevenzione Amministrativa del Furto d’Identità (Scipafi)

SCIPAFI nasce per consentire la verifica dei documenti nelle pratiche di rilascio SIM telefoniche e finanziamento.

Il suo utilizzo è stato poi esteso ai rilasci di firme digitali e identità elettroniche SPID.

Le identità CIE, essendo emesse dallo Stato, vengono invece ovviamente verificate direttamente sui sistemi del Ministero dell’Interno, non accessibili ad operatori privati.

Ora, vista la importanza centrale nel garantire il livello di fiducia assicurato da identità e firme, ci sarebbe da aspettarsi che i privati che hanno l’onere di verificare l’identità dei loro utenti, avessero a disposizione un sistema in grado di effettuare la verifica dei documenti e dell’identità del richiedente nella maniera più puntuale e precisa possibile.

Analizzando invece la realtà dei fatti, si scopre che il sistema SCIPAFI ha molte limitazioni e vi sono casi in cui non si rivela affatto efficace.

Vediamo dunque di cosa si tratta: il Sistema Centralizzato Informatico per la Prevenzione Amministrativa del Furto d’Identità, noto più semplicemente con il nome di Scipafi o Sistema pubblico di prevenzione, la cui titolarità è attribuita al Ministero dell’Economia e delle Finanze (MEF), è stato istituito dal decreto legislativo n. 141 del 13 agosto 2010, in attuazione della Direttiva Europea 2004/48/CE relativa ai contratti di credito ai consumatori, mentre la realizzazione e la gestione sono affidate a Consap (Concessionaria servizi assicurativi pubblici), con rapporto disciplinato da apposita Convenzione del 22 luglio 2013.

Lo scopo di Scipafi

Esso ha lo scopo di consentire alle aziende aderenti di verificare in tempo reale la corrispondenza dei dati identificativi e di reddito forniti dalle persone fisiche all’atto di una richiesta di servizi bancari, finanziari, assicurativi o di un pagamento differito con quelli contenuti nelle banche dati detenute da organismi pubblici e privati -ad oggi Agenzia delle Entrate, Ministero delle infrastrutture e della mobilità sostenibili, Ministero dell’Interno, Ragioneria Generale dello Stato, Inps, Inail.

I soggetti che possono aderire

Ad oggi, i soggetti che possono aderire sono Banche e intermediari finanziari, Fornitori di servizi di comunicazione elettronica, Fornitori di servizi fiduciari qualificati e i gestori di PEC (Posta Elettronica Certificata), Soggetti autorizzati a svolgere le attività di vendita a clienti finali di energia elettrica e di gas naturale, Fornitori di servizi interattivi o di accesso condizionato, Imprese di assicurazione, Gestori di sistemi di informazioni creditizie e altre imprese che offrono servizi assimilabili alla prevenzione, sul piano amministrativo, delle frodi.

I problemi del sistema

Dunque, quale è la criticità del sistema cui si accennava prima?

Il fatto è che Scipafi – a dispetto delle finalità per cui nasce – ad oggi, per motivi non chiari e che si presumono inerenti al funzionamento della convenzione CONSAP-MEF, dunque per problemi amministrativi e burocratici, non consente più di verificare le carte di identità e CIE in maniera efficace.

In sostanza, l’unico dato che il sistema riporta con esattezza è se una determinata carta d’identità o CIE esiste, in base al numero/scadenza; non è però in grado di controllare se corrisponda l’intestazione e non vi è alcuna possibilità di verificare la fotografia dell’utente agli atti del Ministero dell’Interno.

Cosa ancora peggiore, il sistema – che è stato provato da chi scrive – riporta esito positivo dei controlli su carte d’identità e CIE inserendo dati fittizi su un numero di carta d’identità realmente esistente. Non dichiara che il controllo è fallito o non è stato effettuato, dando l’impressione all’utente che non abbia contezza della mancanza di cui sopra, che il controllo sia stato effettuato.

Per controllare con qualche efficacia la carta d’identità su SCIPAFI, di fatto, l’unico modo è quello di inserire nel medesimo controllo il numero della carta d’identità e della tessera sanitaria; in tal modo il sistema è in grado di riferire se la tessera sanitaria si riferisce o meno alla medesima persona titolare della carta d’identità controllata e, di conseguenza, chi voglia passare questo tipo di controllo ha la maggiore difficoltà di dover falsificare due documenti.

Il sistema CrimNet

Il sistema CrimNet ha invece un diverso scopo: confermare che il documento che viene verificato non sia stato denunciato come rubato o smarrito e, per di più, gli archivi del sistema disponibili ai privati sono “volutamente” (ma non si capisce quale sia la logica) non aggiornati in tempo reale rispetto a quelli delle Forze di Polizia, sicché un furto o smarrimento avvenuto negli ultimi giorni non sarebbe rilevato utilizzando il sistema. Nemmeno questo sistema consente di verificare se l’intestatario di una carta di identità corrisponde: se una carta di identità falsamente intestata a un nome diverso ha il numero di una carta d’identità esistente e non denunciata come smarrita o rubata (o denunciata come tale da pochi giorni) il controllo passerebbe.

E’ noto che la carta di identità cartacea è facilmente falsificabile sostituendo la fototessera, mentre circolano negli ambienti della sicurezza informatica notizie in base alle quali anche la CIE sarebbe ora oggetto di falsificazioni, non facilmente verificabili se non attraverso la lettura NFC del chip installato sulla carta.

Questi allarmanti dati non possono che evidenziare la urgente ed indifferibile necessità che sia messo a disposizione di chi fornisce servizi fiduciari o di comunicazione/energia o credito al consumo, un sistema efficace per accorgersi in tempo reale che i documenti presentati non sono veri e non sono stati alterati.

Quali contromisure per risolvere le attuali criticità

Data la efficacia transfrontaliera degli strumenti di identità elettronica e firma sarebbe inoltre necessario che un tale sistema avesse valenza europea. Un documento di identità non italiano, allo stato, non può in alcun modo essere verificato al rilascio di firme/identità.

Il problema pare anche essere che il Garante Privacy ha sinora ripetutamente espresso pareri negativi[1] relativamente all’aggiornamento dei sistemi di verifica in questione, in particolare per la preoccupazione relativa all’eccessivo trattamento di dati personali e, per quanto riguarda la disponibilità delle fotografie dei documenti, dati biometrici.

E’ tuttavia indifferibile la rivalutazione del problema, rendendo disponibile, quanto meno per i servizi fiduciari, di identità elettronica e PEC, un sistema più efficace che, ad esempio, consenta di verificare la fotografia e i dati “ufficiali” rispetto al documento presentato e istituire liste di attenzione comuni tra le categorie sopra citate, nelle quali si possano evidenziare documenti che siano stati presentati per l’ottenimento di firme/identità e non siano risultati regolari al controllo o utenti che abbiano richiesto firme ed identità plurime.

Sarebbe inoltre necessario introdurre per via regolatoria obblighi di verifica della tessera sanitaria (non accettando surrogati, quali i certificati di codice fiscale) e di registrazione – anche in presenza – di video identificativo oltre che, per quanto riguarda la CIE, di verifica NFC del contenuto del chip. Attualmente non vi sono tali obblighi anche se alcuni prestatori di servizi fiduciari e di identità li hanno introdotti autonomamente, faticando però non poco a farli digerire al Garante Privacy.

Diversamente, potrebbe non essere possibile, in caso di rilasci a fronte di documenti falsi, addossare ai prestatori di servizi fiduciari e dell’identità specifiche responsabilità per non aver potuto verificare con certezza documenti all’apparenza regolari.

Note


[1] Ad esempio si veda https://www.digital4.biz/legal/furti-d-identita-e-trattamento-di-dati-biometrici-la-posizione-del-garante-privacy/

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 4