Con l’emendamento presentato dal Governo alla legge di Bilancio 2020 cambia finalmente il modello SPID in una direzione finalmente coerente e affidabile che in pochi avevamo auspicato sin dal 2016.
Il modello SPID era sbagliato sin dall’inizio ed era difficile non accorgersene, bastava avere un po’ di senso pratico.
In questi anni ho avuto modo di richiamare in diversi articoli i rischi a cui era soggetto SPID. Già nel 2016 ho segnalato come fosse possibile effettuare furti di identità rispettando le regole previste per lo SPID e avevo messo in allerta sui rischi del furto di identità in generale. Nell’articolo citato ebbi modo anche di proporre delle soluzioni che avrebbero potuto chiudere le falle più gravi e porre la domanda sul perché non si fosse aspettato di dispiegare la CIE prima dello SPID in modo da avere un unico sistema che legasse l’identità digitale a quella fisica. Oggi il governo ha deciso di far marciare insieme le due cose e va riconosciuto che già da qualche tempo, un po’ silenziosamente, SPID è cambiata per venire incontro ai rilievi più gravi.
I rischi dell’architettura SPID originaria
Sommariamente il principale rischio a cui era esposta l’architettura SPID originaria riguardava l’identificazione del cittadino richiedente. Non è infatti sufficiente la semplice presentazione del documento e del codice fiscale, è necessario che l’operatore che esamina il documento sia adeguatamente formato per riconoscere un documento vero da uno falso e, soprattutto, che abbia a disposizione l’accesso ad un sistema informatico in grado di metterlo nelle condizioni di confrontare il documento presentato con quello già presente in un archivio, verificare che non ci siano atti interdittivi (ad esempio per l’espatrio) o altro che ostano il rilascio dell’identità. Nel 2017, Il caso eclatante di un terrorista intercettato a Sesto San Giovanni dopo essere stato coinvolto nell’attentato di Berlino ha messo in evidenza come sia semplice procurarsi un documento falso su internet, e ho avuto modo di segnalarlo in un articolo pubblicato su questa testata per dire quanto sia insufficiente la semplice presentazione del documento per identificare qualcuno.
Il “buco” nell’identificazione veniva creato da una architettura che prevedeva la delega del riconoscimento a soggetti privati, questi ultimi possono (o comunque non ci sono adeguate certezze che non lo facciano) a loro volta delegare altri soggetti (ad esempio franchisee) con un meccanismo che si prestava a falle enormi proprio nel rilascio dell’identità che per il nostro ordinamento (a differenza ad esempio di quello USA) è un pilastro dell’essere cittadino.
L’architettura originaria SPID prevedeva anche che ogni cittadino potesse avere una o più identità digitale presso diversi provider mentre non prevedeva alcun meccanismo con il quale il cittadino (o la PA) potesse esser certo che non vi fossero identità a lui attribuite a sua insaputa rendendo così problematico il disconoscimento di atti prodotti attraverso una identità digitale rubata. Io cittadino potevo infatti non sapere che qualcun altro con un documento falso avesse chiesto una identità digitale per mio conto e con questa avesse cominciato ad operare registrando una impresa, vendendo miei beni, cambiando il mio domicilio o qualsiasi altra operazione fattibile con l’identità.
L’eventualità del furto di identità digitale non è affatto una ipotesi remota, nel novembre 2016 un giornalista del Fatto Quotidiano, con un video dimostrò come fosse facile rubare una identità SPID grazie alle falle dell’architettura. A Maggio 2018 dei criminali riescono a farsi fare delle PEC che simulano alcune banche, a registrarle nell’indice delle PEC e a farsi riconoscere da alcuni clienti (tra l’altro quelli più digitalizzati) e truffarli (il problema della identificazione qui è emerso per i rappresentanti legali delle aziende).
Verso un sistema coerente e affidabile
Leggendo gli atti in corso di approvazione o approvati, si nota come finalmente si è arrivati ad un sistema coerente e affidabile. La certezza che non si possa verificare un furto di identità non si può avere ma ora sarà ridotto ad un rischio trascurabile e comunque i mezzi necessari a metterlo in atto da parte di criminali dovranno essere sicuramente molto sofisticati, l’”asticella” della sicurezza diventa molto più alta.
A completare il quadro, le linee guida per il R.A.O. pubblico di AgID affidano alla PA la responsabilità del riconoscimento: mi sembra un ottimo passo avanti anche se andranno modificate perché nell’ipotesi prevista nella legge di bilancio il riconoscimento è contestuale al rilascio della CIE, dunque giustamente effettuato da personale degli uffici anagrafici comunali. Personalmente ho sempre auspicato l’affidamento del riconoscimento alle forze dell’ordine che hanno strumenti e formazione migliore dei funzionari dell’anagrafe ma capisco che vi sarebbe stato un aggravio sul personale e una distrazione dai compiti primari della sicurezza. La formazione del personale adibito all’identificazione unita alla possibilità di avere una banca dati dove verificare le informazioni presenti sul documento presentato (ANPR) sono un elemento decisivo per evitare il furto di identità.
Cie, Spid e Anpe marciano (finalmente) di pari passo
La CIE, l’ANPR e SPID è corretto che marcino di pari passo e che siano affidati alla PA, solo in questo modo il sistema sarà sicuro e affidabile. Nel frattempo, è auspicabile che si attivino misure “tampone” che riducano il rischio di furto di identità.
Ad esempio, attivando un portale nazionale nel quale ogni cittadino può controllare se vi siano eventuali identità digitali che dovessero essere state attivate a sua insaputa per suo conto e fare in modo che PagoPA (il soggetto individuato come provider unico) possa raccogliere le identità emesse dagli IdP e “consolidarle”.
Il processo di consolidamento dovrebbe anche passare per la verifica (presso le compagnie telefoniche) che il numero di telefono mobile presente nelle SPID registrate corrisponda ad un abbonamento intestato al cittadino, questo perché in caso di riconoscimento in due fasi o invio di notifiche, si potrà avere certezza che il destinatario sia corretto. Se vi sono in giro SPID false probabilmente esse hanno numeri di telefono non intestati al cittadino (a meno di quelli aziendali e casi familiari), con questa semplice verifica sarebbe possibile individuare “casi anomali” e procedere ad una bonifica.
Attualmente esistono meccanismi anche “creativi” di riconoscimento da parte degli Identity Provider, (videoconferenza su facebook, etc), sarebbe auspicabile che fossero bloccati e si procedesse ad una riverifica delle SPID emesse ad esempio proprio utilizzando il numero di cellulare intestato al cittadino attraverso un invio di un SMS o similari.
Con i provvedimenti governativi in corso di approvazione e grazie al lavoro del Team Digitale possiamo finalmente contare su una architettura rafforzata che comprende l’ANPR, la CIE e infine lo SPID.
Soprattutto, e questa è una importante novità, lo SPID sarà fornito da un soggetto pubblico ed è unico. Questo va nella direzione auspicata dal recente rapporto ONU che denuncia come la presenza eccessiva di soggetti terzi nei servizi digitali pubblici sia pericolosa anche per i diritti umani.
Spid, un prezioso insegnamento per l’innovazione in Italia
Il lavoro che spetta al governo per riportare SPID sulla via più logica, peraltro adottata in quasi tutti i paesi che hanno un sistema di questo tipo, non sarà né semplice e né economico. Diversi articoli pubblicati in questi giorni hanno segnalato l’esigenza di pianificare con attenzione i passaggi necessari alla migrazione verso il nuovo SPID, aggiungo che sarà necessario avere attenzione affinché si proceda in modo che nei provvedimenti e nelle regole tecniche non si insinuino inutili meccanismi legati alla vecchia architettura che complicherebbero inutilmente il sistema in via di attivazione e ne abbasserebbero la sicurezza.
Ripercorrendo la storia di SPID ci sono state poche voci fuori dal coro, coloro che si sono assunti il rischio di evidenziare i problemi sono stati qualche volta aggrediti sui social perfino come “incompetenti” dai “coristi” più convinti. “Coristi” che peraltro non avevano titolo per dare giudizi. Alcuni “coristi” di allora in queste ore plaudono al cambio di strategia del governo, interessati più dalla “direzione del vento” che dalla “posizione del porto”.
Fossi al governo, aldilà del colore, eviterei gli “adulatori a prescindere” cercherei di cogliere i suggerimenti e le critiche in modo costruttivo. Personalmente dalla storia di SPID mi porto la conferma di un importante insegnamento: “Keep It Simple Stupid” (modo di dire che ho imparato dalle comunità hacker agli inizi degli anni ‘90) ovvero se hai un modo semplice di fare le cose non aggiungere cose inutili, se qualcosa non porta valore è un costo.
Infine, SPID va considerata anche un prezioso insegnamento per l’innovazione in Italia: sono decine di anni che si prendono provvedimenti ed iniziative governative senza una architettura generale e questo diventa ogni volta un problema. Allo stesso governo che ha varato SPID con tutti i problemi che ho richiamato va dato atto di aver varato il Team Digitale che ha dato un valido contributo a mettere coerenza tra i diversi soggetti della PA, a disegnare una architettura di riferimento verso cui operare e ad istituire un team composto di tecnici capaci (con competenze tecniche operative e pragmatiche) con i quali si può essere più o meno d’accordo ma a cui va riconosciuta competenza e voglia di fare bene. Il Ministro Pisano su SPID sta dimostrando entusiasmo e determinazione a mettere in campo un cambio di rotta necessario anche se non tutti gli interessi in gioco spingono nella direzione da lei auspicata. L’auspicio è che vi sia determinazione a mettere in atto le misure necessario a realizzare in poco tempo i cambiamenti necessari a SPID.
