E’ di questi giorni la notizia che un giornalista sarebbe riuscito ad eludere la procedure di verifica di un gestore d’identità accreditato SPID, con il risultato di aver ottenuto una identità con attributi diversi da quelli reali.
Parto dalle conclusioni: il decreto SPID contempla questi aspetti ed è sufficiente attenersi scrupolosamente alle prescrizioni date dal legislatore per risolvere il problema. Il problema è che questo non viene fatto. Le misure di sicurezza previste dal decreto non sono rispettate.
Per cominciare, è opportuno fare un po’ di chiarezza sui livelli di “Assurance” offerti da SPID, così come vengono definiti dagli standard internazionali. Ci sono due dimensioni che compongono l’assurance: la verifica dell’Identità della persona al momento del rilascio (Personal Identity Verification) e l’identificazione del soggetto presso i gestori di servizio al momento dell’accesso (nota anche come autenticazione).
La Persona Identity Verification avviene al momento del rilascio dell’identità digitale. E’ il momento in cui a) il soggetto richiedente una identità digitale dimostra di essere chi dichiara b) il soggetto che crea e gestisce l’identità digitale verifica l’esattezza e la coerenza delle informazioni fornite c) le informazioni relative al soggetto richiedente vengono registrate in modo sicuro e tacciabile nel sistema d’identità digitale. Lo standard ISO/IEC 29115 “Entity Authentication Assurance Framework – EAAF” prevede quattro livelli diversi di verifica. Al livello più basso, gli attributi dichiarati dal soggetto richiedente non vengono verificati: è il caso di molti servizi online, nei quali ci possiamo registrare con nomi diversi da quello reale. Il livello più alto, il quarto, prevede invece una verifica cosiddetta “de-visu”, nella quale il soggetto richiedente viene identificato in modo fisico dal fornitore di identità digitale, così come avviene per il rilascio di carta d’identità o passaporto.
Un aspetto molto importante della creazione di una identità è la consegna sicura di una o più credenziali. Tale consegna deve avvenire contestualmente alla verifica e deve avere lo stesso livello di solidità della verifica. In caso del livello massimo, il quarto, le credenziali vanno consegnate in modo che vi sia una altissima garanzia che queste non possano essere finite nelle mani sbagliate. Le credenziali possono essere consegnate direttamente, oppure è possibile consegnare credenziali provvisorie con le quali poi attivare credenziali definitive, anche da remoto (è ciò che avviene per esempio quando vi viene rilasciato un PIN per il bancomat, che il cliente riceverà poi successivamente al proprio indirizzo certificato dalla banca).
Questi quattro livelli sono relativi al momento della creazione di una identità. Vi è però una seconda dimensione: l’autenticazione. L’autenticazione, o identificazione elettronica usando la terminologia di eIDAS e SPID, è la verifica dell’associazione di un soggetto remoto e i suoi attributi gestiti dall’Identity Provider. Tramite le credenziali, si dimostra al sistema di essere lo stesso soggetto che è stato identificato durante la fase di Personal Identification Verification. Un esempio di credenziale è la password. La ISO/IEC29115 prevede anche in questo caso quattro livelli, la password è un esempio di sistema di Livello 2, una applicazione con sistemi a chiavi è di Livello 3, mentre l’uso di una smart card o di altro hardware certificato è un sistema di Livello 4.
Nella pratica esistono sistemi di identità che combinano tra di loro diversi livelli di verifica e autenticazione. Un service provider potrebbe richiedere copia scansionata di un documento e di un estratto conto per rilasciare una identità digitale (Livello 3 di verifica) e poi proteggerlo con un sistema di autenticazione basato tu Password (Livello 2). Per semplificare le cose, lo Standard ISO/IEC 29115 ha creato 4 Livelli complessivi, denominati Level of Assurance (LoA), in cui i livelli di verifica e i livelli di autenticazione sono abbinati proporzionalmente. Pertanto, al LoA1 non è prevista alcuna verifica sugli attributi e non vi sono requisiti sulle credenziali (potrebbe bastare un cookie per l’identificazione) , mentre per il LoA4 è prevista la verifica de-visu al momento del rilascio e l’uso di sistemi di autenticazione forti e certificati.
SPID prevede tre livelli di autenticazione, che corrispondono ai 3 livelli più altri della ISO/IEC 29115: Livello 1=LoA2, Livello 2=LoA3, Livello 3=LoA4. In realtà, il legislatore italiano ha però previsto la verifica de-visu per tutti e 3 i livelli (vedi art.6 comma 1 del DPCM 24/10/2014).
E’ evidente che il momento della verifica iniziale sia critico, poiché un errore in questa fase può portare alla creazione di identità con parte o tutti gli attributi non corrispondenti alla realtà, ovvero a quella che potremmo definire una identità digitale fasulla. Premesso che il furto d’identità è un reato rubricato come “Frode informatica commessa con sostituzione di identità digitale”, art. 640-ter del codice penale, vanno previste tutte le procedure possibili per evitare che questo avvenga.
Nel caso descritto dal giornalista del Fatto Quotidiano, la verifica de-visu è stata sostituita da una verifica via web-cam. Si tratta di una modalità adottata da uno dei tre identity providers accreditati e che si apprende essere stata accettata per SPID, poiché già in utilizzo per il rilascio delle firme digitali. In pratica, il soggetto richiedente l’identità digitale si presenta virtualmente davanti ad un operatore dell’Identity Provider, con il quale interagisce attraverso la propria webcam. L’operatore procede con la verifica, controllando i documenti attraverso la webcam: il cittadino mostra il proprio documento di riconoscimento.
In molti si sono scagliati anche contro il fatto che tale verifica viene effettuata da un operatore privato e non da un pubblico ufficiale.
Innanzi tutto va detto che il problema non è nell’appartenenza dell’operatore a un soggetto privato o pubblico: nel momento in cui effettua la verifica, svolge un ruolo da pubblico ufficiale, quindi poco conta l’entità del datore di lavoro. Inoltre, la solidità della verifica è data dal processo e non dalla persona. Questo per scongiurare errori, manomissioni o tentativi di frode.
Ed è proprio la procedura utilizzata a presentare due problemi: 1) l’impossibilità di verificare l’autenticità del documento 2) la non verifica incrociata della coerenza degli attributi.
La verifica deve essere fatta “secondo i più alti livelli di controllo disponibili” (art. 7 com. 3 del decreto SPID). L’art. 7 com. 2 – a richiede che vi sia “l’esibizione a vista” di un valido documento di identità. L’esibizione a vista si rende necessaria per poter verificare l’autenticità del documento, tramite alcune contromisure anti contraffazione utilizzate nei documenti di identità (filigrane, ologrammi, chip, speciali inserzioni, stampa su diversi livelli di policarbonato, ecc.). Tali verifiche possono essere fatte da personale istruito opportunamente e con la possibilità di verificare il documento in modo fisico. Tutte queste contromisure anti contraffazione sono nulle se il documento viene visualizzato tramite webcam. L’art. 7 com. 2 – a va inteso in questo senso, in quanto l’osservazione via webcam rende il controllo del documento completamente inutile.
Il secondo aspetto è la verifica incrociata dei dati relativi al documento d’identità. L’art. 4 comma 1 lettera c, prevede che AGID “stipuli apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti d’identità digitale. A tali convenzioni i gestori dell’identità digitale e i gestori degli attributi qualificati sono tenuti ad aderire secondo le modalità contenute nei regolamenti”. In particolare, all’art. 6 comma, si dispone che “i gestori d’identità digitale, ricevuta la richiesta di adesione, effettuino la verifica degli attributi identificativi del richiedente, utilizzando prioritariamente i servizi convenzionali di cui all’art. 4 comma 1 lettera c”.
Questa tipologia di controllo permette al gestore d’identità digitale di verificare immediatamente se si è in presenza di un documento falso o di un documento valido, ma con attributi alterati. Inoltre, non va dimenticato che la nuova patente europea rilasciata dall’Italia, prevede la presenza della fotografia in un archivio centrale, al fine di consentire la verifica della foto in alta risoluzione da parte degli operatori, visto che la foto sulla patente è in bassa risoluzione e monocromatica.
Entrambe le condizioni non sono state soddisfatte dalla procedura messa in atto dall’operatore che sostituisce la validazione a vista, con una validazione da remoto.
La soluzione per garantire SPID è di attenersi in maniera rigorosa al Decreto, consentendo la verifica da remoto solo in presenza di documenti che possano essere verificati digitalmente (CIE). Inoltre, è fondamentale che tutti i gestori dispongano dell’accesso alle basi dati istituzionali che consentono la verifica di coerenza degli attributi. In caso di validazione dell’identità tramite documenti fisici (carta d’identità tradizionale, passaporto, ecc.) il riconoscimento a vista è indispensabile, così come correttamente prescritto dal legislatore, proprio al fine di consentire la verifica del documento d’identità e consegnare in modo certo e sicuro le credenziali.
