Clusit e Copernicani

Spid gestito dallo Stato? Grosso rischio, per gli esperti di sicurezza: ecco perché

Sta facendo discutere la possibilità di centralizzare la gestione di Spid attraverso l’intervento dello Stato, in alternativa al modello attuale di gestione pubblico-privato. Clusit, Associazione Italiana per la Sicurezza Informatica, e Associazione Copernicani esprimono la loro posizione, per un dibattito costruttivo

Pubblicato il 07 Feb 2020

Claudio Telmon

Information & Cyber Security Advisor” P4I

Global-Digital-Identity-Credentials

L’emendamento del Governo – arrivato ieri – al decreto Milleproroghe, ora in conversione al Parlamento, conferma la volontà di centralizzare la gestione dello Spid nelle mani dello Stato.

Ma la resilienza e la sicurezza offerte da un sistema Spid distribuito sono maggiori e meglio gestibili di uno centralizzato attraverso l’intervento da parte dello Stato: le strade per favorire la diffusione e la sostenibilità del modello Spid andrebbero, pertanto, cercate altrove, in particolare nel potenziamento della capacità di controllo di AgID e nel coinvolgimento di operatori quali le banche.

Da un punto di vista di sicurezza e resilienza del servizio complessivo, centralizzare la gestione di Spid, comporta infatti diversi rischi. L’attenzione principale dev’essere alla capacità di garantire resilienza a un servizio critico per la protezione dei servizi offerti dalla Pubblica Amministrazione.

Le critiche (sbagliate) all’attuale modello

Una delle critiche al modello attuale è stata storicamente la sua sostenibilità economica. Questa critica si è dimostrata sbagliata, e ne è prova l’aumento nel tempo dei soggetti entrati in questo mercato, che adesso sono ormai una decina e comprendono anche una società a partecipazione pubblica come Lepida. Si tratta di soggetti che offrono già servizi di criticità paragonabile, come PEC o firma digitale, per i quali quindi non c’è motivo di non poter offrire anche Spid.

Il modello distribuito assicura la resilienza in caso di compromissione di uno dei fornitori, che in caso di incidente potrebbe essere escluso senza causare un blocco complessivo del servizio e la perdita di fiducia da parte dei cittadini nel meccanismo nel suo complesso.

In un servizio critico come Spid, è fondamentale il ruolo di controllo esercitato da AgID. Tuttavia, la capacità di AgID di esercitare un controllo sull’operato delle Pubbliche Amministrazioni è limitata, specialmente nei confronti delle amministrazioni centrali, ed ancor più lo è quella di imporre azioni correttive in caso di non conformità. Sembra quindi più importante investire sul ruolo di AgID come controllore, potenziandone l’operatività e le competenze: l’Autorità Garante per il trattamento dei dati personali ci mostra come un’agenzia pubblica possa essere efficace nella sua attività di controllo.

L’esempio del settore bancario

Un obiettivo importante rimane quello della diffusione capillare di Spid fra i cittadini. A questo scopo, può essere utile considerare il settore bancario. Un fraintendimento che si è protratto a lungo è che se le banche offrissero le proprie credenziali di accesso anche come credenziali Spid, sarebbero poi costrette ad accettare le credenziali Spid di terzi per l’accesso ai propri servizi. Non è così: in quanto Identity Provider, consentirebbero l’utilizzo delle proprie credenziali per l’accesso ai servizi della Pubblica Amministrazione, ma in quanto Service Provider, potrebbero decidere di non aderire a Spid e quindi di non accettare le credenziali di terzi. In effetti, diversi Identity Provider fanno già esattamente questo. Le banche potrebbero quindi effettivamente offrire le proprie credenziali di accesso come credenziali Spid, e non limitarsi a vendere il servizio di terzi come alcune già fanno.

Il livello di sicurezza delle banche per quanto riguarda l’accesso ai propri servizi è molto alto, specialmente se paragonato a quello delle Pubbliche Amministrazioni. Le banche sono già soggette a controlli molto stringenti ed a regolamenti specifici emanati a livello europeo, come quello sull’autenticazione forte (strong customer authentication) emanato nell’ambito della Direttiva PSD2.

Il livello di frode nell’accesso ai servizi di home banking è bassissimo, e per quanto non derivi solo dai meccanismi di autenticazione, è indice dell’efficacia sostanziale delle misure di sicurezza adottate in questo settore. Accettare le credenziali bancarie come credenziali SPID, ritenendo adeguato il livello di sicurezza richiesto dalle normative di settore e richiedendo solo l’eventuale necessario adeguamento al Regolamento eIDAS (e naturalmente, l’implementazione dei protocolli di identità federata), permetterebbe a milioni di italiani di trovarsi con credenziali SPID per l’accesso ai servizi della PA senza dover fare azioni aggiuntive se non accettare una variazione contrattuale con la propria banca. I cittadini che non desiderassero usufruire di questa soluzione, potrebbero comunque rivolgersi agli Identity Provider esistenti, pubblici o privati che siano.

Allo stesso tempo, può invece essere necessario limitare il numero di soggetti che entra nel mercato degli Identity Provider il cui controllo sia in carico ad AgID, proprio in considerazione delle sue limitate risorse. A questo scopo, e se necessario anche per permettere la remunerazione dei provider stessi, potrebbe essere utile considerare il passaggio ad un regime di concessione.

Le differenze tra Spid e CIE

Una considerazione merita la differenza fra Spid e la CIE: Spid ha un ruolo ben preciso nell’ambito del Regolamento eIDAS e dell’autenticazione remota a livello europeo, con una fruibilità maggiore nell’accesso ai servizi online, e consente ai cittadini e quindi anche alle imprese italiane di accedere a servizi di altri paesi dell’Unione. Questa possibilità dovrebbe essere potenziata, non ridotta. La disponibilità di più fornitori consente anche al cittadino di utilizzare credenziali e fornitori diversi per servizi diversi, riducendo la concentrazione di informazioni di tracciamento sulle proprie attività, ma consentendone nel contempo la ricostruzione quando legittimo.

Infine, è utile sottolineare il ruolo che può avere il domicilio digitale nella prevenzione del furto di identità su Spid, ma anche in altri contesti come quello del credito al consumo. L’invio obbligatorio di una notifica presso il domicilio digitale di qualsiasi creazione di credenziale o di autenticazione Spid (o di altre attività come l’apertura di conti correnti, finanziamenti o altro) potrebbe avere lo stesso impatto che ha avuto l’introduzione della notifica via SMS dell’utilizzo della carta di credito.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2