La truffa annunciata l’8 maggio sulla stampa e condotta attraverso la PEC ai danni di correntisti bancari riporta alla luce il problema dell’identità digitale.
La truffa via Pec e i pericoli di Spid
Ho avuto modo di occuparmene riguardo a SPID ormai sin da Marzo 2016 e su questo giornale ad aprile, quando segnalavo come il meccanismo di identificazione del cittadino che vuole avere un’identità digitale dia luogo a buchi non indifferenti. Più volte, sempre su agendadigitale.eu ho segnalato come il problema dell’identificazione del cittadino nel cyberspazio sia particolarmente critico.
Truffa via Pec, stavolta colpiti i cittadini più digitali
Quello che è accaduto questa volta è che un gruppo di “hacker” (lo scrivo tra virgolette perché apparentemente non hanno manomesso alcun sito) è riuscito a farsi fare degli indirizzi di posta elettronica certificata per nome di alcune banche, a sostituire la Pec reale con quella fasulla nei siti che hanno l’indice della Pec delle imprese e, infine, utilizzando la tecnica nota come man-in-the-middle (ovvero il frapporsi tra due attori di una transazione e fingere di essere la controparte con entrambi), intercettare disposizioni da parte di ignari utenti utilizzando tali informazioni per inserirsi nei conti online e sottrarre denaro per circa 1,2 milioni di euro. Tra l’altro per la prima volta vengono colpiti i cittadini più “digitali”, ovvero quelli che utilizzano conti online e sistemi digitali di identificazione.
Norme rispettate alla lettera
Dalla lettura dei giornali il meccanismo non è semplice da capire, quello che appare chiaro è che sembra che tutte le norme sono state rispettate alla lettera. L’associazione Assocertificatori ha prontamente annunciato che non è stata manomessa l’infrastruttura Pec e la società che gestisce i registri Pec delle imprese che tutte le procedure sono state regolari.
Ricostruiamo la truffa
Ricostruendo la truffa, abbiamo capito che un gruppo di delinquenti (alcuni in detenzione domiciliare, segnalando tra l’altro che per un esperto informatico rimanere chiuso in casa con una connessione internet disponibile è come per un narcotrafficante essere libero di girare il mondo) ha “falsificato” una fotocopia di un documento con dati anagrafici presumibilmente di chi ha i poteri di firma della banca e hanno aggiunto un’autocertificazione ai sensi del DPR 445/2000. Questo è tutto ciò che è sufficiente per “riconoscere” un cittadino (o il rappresentante legale di una impresa), dargli una identità valida per legge a tutti gli effetti e dargli la possibilità di operare online.
Ricevuta la Pec, probabilmente, è “bastato” inviare al registro delle Pec la richiesta di sostituzione di indirizzo con la “solita” fotocopia del documento e autocertificazione (questo è quanto si può desumere dalle poche informazioni emerse sulla stampa e sul comunicato delle società ma potrebbe essere errato) e a quel punto si è creata la condizione di “man in the middle” ed è partita la truffa.
Pec, firma digitale e Spid: stesso meccanismo di riconoscimento
Il meccanismo di riconoscimento per la Pec è lo stesso della firma digitale e di SPID. Nei fatti il riconoscimento “debole” del cittadino, unito alla mancanza di un sistema integrato tra i certificatori e lo Stato rende fin troppo “semplice” avere una identità digitale (sia essa firma digitale, pec, SPID). Sono avvenuti diversi casi sia sulla firma digitale sia relativi a potenziali rischi dovuti alla facilità di procurarsi documenti falsi.
Richiedere l’identità digitale alle forze dell’ordine
Da tempo sostengo di portare il riconoscimento del cittadino alle forze dell’ordine (come avviene per il passaporto) che sono le uniche in grado di riconoscere un documento falso, controllare che il documento non sia rubato, controllare il richiedente sulla base delle informazioni presenti nelle banche dati di Pubblica Sicurezza, controllare che il numero di cellullare fornito sia intestato al richiedente. Solo in questo modo si ha certezza che il richiedente sia veramente chi dice di essere. Solo a questo punto si può rilasciare al richiedente un codice tramite sms che gli consenta di poter richiedere l’identità digitale entro un certo tempo (48 ore?).
Una Master Identity contro le truffe
Sarebbe altresì necessario che le banche dati dei diversi certificatori facciano riferimento ad una banca dati del Ministero degli Interni e che al primo riconoscimento e ottenimento di una identità digitale venga creata una sorta di Master Identity sulla quale associare eventuali altre identità (oggi infatti è possibile richiedere molte identità presso provider differenti ognuna sganciata dalle altre creando situazioni simili a quella della truffa di cui stiamo parlando). Con una Master Identity sarebbe possibile che successive richieste di identità digitali siano verificate per esempio attraverso “un codice di sblocco” della Master Identity che nei fatti inibirebbe possibili truffe.
Identità digitale e Blockchain
Sarebbe necessario che l’identità digitale e anche le identità digitali come Pec, firma digitale, e così via fossero legate alla CIE, al passaporto, alla patente di guida unificando quanto più possibile il dedalo di servizi in un sistema federato, magari utilizzando una blockchain condivisa tra i diversi certificatori in modo che sia possibile tracciare in modo sicuro e immodificabile come sta operando la nostra identità e magari in tempo reale riconoscere se da fonti diverse avvengono anomalie. Ad esempio, il fatto che in contemporanea o dopo poco tempo accedo da due città diverse con una delle mie identità digitali scatenando un evento di “conflitto di identità” (ad esempio tramite smart contract) con un sms inviato sul numero di cellulare collegato alla master identity.
I nostri dati in mano privata
Qualcuno può pensare che c’è il rischio di una “società della sorveglianza”, che leda la libertà e la privacy del cittadino ma oggi questi dati sono di proprietà di Google (è possibile configurare l’account per essere allertati se si accede da una città da dove di solito non lo si fa) e Facebook, ad esempio, e non conosciamo come questi dati siano utilizzati (come dimostra il caso di Cambridge Analitica). Se fosse lo Stato a possedere questi dati con meccanismi democratici e trasparenti agli organi costituzionali, con tutti i pesi e contrappesi necessari non potremmo che sentirci al sicuro.
Un portale per gestire l’identità digitale
E ancora, è necessario che presso il Ministero degli Interni (che è l’entità che gestisce le informazioni anagrafiche come la CIE) vi sia un portale nel quale ogni cittadino possa periodicamente verificare che i suoi dati anagrafici siano corretti, le sue identità corrette, bloccare la possibilità di creare identità digitali (opt-out) in modo che solo avendo precedentemente sbloccato la possibilità di richiesta si possa creare una nuova identità.
Con la CIE e l’ANPR si potrà risolvere anche il “conflitto” tra comuni e Ministero degli Interni su chi debba gestire i dati anagrafici, questo è un bene perché sempre più spesso siamo mobili sul territorio italiano e abbiamo necessità di una identità in grado di gestire questo problema.
Ripensare l’autocertificazione
Sarebbe necessario anche ripensare al tema dell’autocertificazione ai sensi del DPR 445/2000. Quando nacque consentiva al cittadino di non dover richiedere dozzine di certificati presso dozzine di amministrazioni diverse per dimostrare di possedere requisiti che le amministrazioni avrebbero dovuto sapere. Per la verità doveva essere uno strumento temporaneo, nell’attesa che l’interoperabilità tra amministrazioni avrebbe consentito di procedere a verifica automatica senza il bisogno di disturbare il cittadino. Dopo quasi venti anni ancora tutte le amministrazioni non riescono a verificare le informazioni in modo compiuto.
Mentre da una parte abbiamo un sistema fiscale in grado di raccogliere tutti i nostri dati, le spese, i conti in banca e controllare anomalie dall’altra parte utilizziamo un pezzo di carta come l’autocertificazione che abbiamo visto può avere diversi problemi di affidabilità. Su questo sarebbe necessario un maggior impegno del prossimo governo nella interoperabilità delle informazioni presenti nella PA affinché sia eliminata la necessità di autocertificare e possibilmente anche quella di dover far domanda per ottenere diritti ai quali per legge possiamo accedere.
Chi paga per questo reato?
La cosa che non è ancora chiara è chi paga per questo reato, è chiaro che qualcuno ha rubato qualcosa a degli ignari cittadini ma non è chiaro se questi saranno risarciti. Infatti, non è colpa della banca se qualcuno ha sostituito la propria pec presso i siti ufficiali, non è colpa dei registri ufficiali delle Pec che hanno rispettato le procedure e non è colpa dei certificatori che hanno rilasciato l’identità sulla base delle procedure previste. Ma di chi è la colpa? Direi, ma non sono un giurista, che non è nemmeno applicabile la sentenza n. 16221 del 31 agosto 2016 del Tribunale di Roma perché non ci sono disattenzioni o misure che la banca avrebbe potuto fare per evitare la truffa. Si presenta proprio il caso che denunciavo due anni fa e che rimane un problema potenzialmente irrisolto.
Identità digitale, serve un approccio complessivo
Come vediamo il tema dell’identità digitale lascia aperti tanti aspetti che meritano una riflessione ampia, che partano dalla considerazione che sempre più la nostra identità in rete è parte integrante della nostra più generale identità e merita un approccio complessivo, volto a costruire fiducia e sicurezza.
Costruire un sistema d’identità solido
È anche il caso di ragionare in che modo “bonificare” la situazione. Infatti, girano ormai milioni di firme e Pec e farei fatica a pensare che il Paese si possa fermare per sanare la situazione. Sarà necessario pensare a come verificare le attuali identità, sarà meglio mettere intorno ad un tavolo tutti gli stakeholder con l’obiettivo di costruire un solido sistema di identità. Ci sono tutte le condizioni per conciliare gli interessi dei singoli attori e i diritti dei cittadini, in primis quello della sicurezza dello Stato e della privacy.
