Ma quanto è sicuro Spid?
Spid è ancora al centro di polemiche e perplessità e dopo le sentenze del Tar del Lazio e del Consiglio di Stato continuano le critiche sulla sicurezza del sistema. Nell'articolo di Paolino Madotto, consulente ed esperto di PA e tecnologie, sono messi in evidenza i punti critici e le possibili soluzioni. Riportiamo i passaggi più significativi del suo articolo. L'art.6 del "Regolamento Spid (articolo 4, comma 2, DPCM 24 ottobre 2014)":"Al ricevimento della richiesta, il gestore dell'identità digitale procede all'identificazione del soggetto richiedente, che consiste nell'accertamento delle informazioni sufficienti a identificare il soggetto richiedente sulla base di documenti forniti dallo stesso. Tale processo e? effettuato da personale qualificato e opportunamente formato"Sarebbe utile specificare chiaramente cosa si intende per "personale qualificato e opportunamente formato".Infatti non si spiega il tipo di formazione richiesta anche alla luce del fatto che non è affatto semplice riconoscere un documento falso dal vero. Non è specificato chiaramente in che modo deve essere fatta l'identificazione, quali sono le informazioni da raccogliere e neanche il profilo della persona che attesta che l'identificazione sia valida. Un dipendente pubblico opportunamente formato? Nel caso dei gestori di identità chi è il responsabile se l'identificazione è falsa? I regolamenti emanati richiamano la responsabilità della figura apicale, tuttavia non sarà sempre facile risalire al colpevole.Il tema dell'identificazione, in un sistema di identificazione elettronico se esistono punti deboli diventa del tutto inaffidabile. Se ad esempio uno dei gestori di identità sbaglia, tutto il sistema viene messo in crisi.Non è chiaro se il personale che identifica deve essere della società gestore dell'identità digitale oppure può essere di una società esterna a lei affiliata (ad esempio lavoratori in somministrazione). In tal caso diventerebbe difficile stabilire le responsabilità di una identificazione errata.C'è anche il rischio che gli operatori di aziende private, ad esempio i negozi di una catena di franchising, potrebbero effettuare il servizio ed essere pagati a percentuale sulle identità che "vendono" oppure essere premiati in base alle identità consegnate.Sappiamo per esperienza che riconoscere un documento falso non è facile, ci vogliono una discreta conoscenza ed esperienza.Anche se il documento cartaceo non garantisce maggiore sicurezza, se si deve presentare il documento in presenza della persona, quando si si richiede un servizio, di certo aumentano le possibilità e il rischio di essere scoperti. Nel caso dell'identità digitale, invece, quando ottenuta, anche in modo fraudolento, non ci sono più controlli e i sistemi informatici la accettano come valida.Ogni cittadino può dotarsi di una o più identità digitali, o potrebbero anche rubargliela, ma purtroppo non ha la possibilità di sapere se esistono identità digitali a suo nome perché non è previsto nessun sistema consultabile per verificare. Anche l'indirizzo di mail e il numero di telefono che si forniscono in fase di iscrizione dei dati non è richiesto che siano intestati a chi sta richiedendo l'identità, perciò potrebbero essere di altri e utilizzati a sua insaputa.Altro caso è il riconoscimento in video (previsto tramite webcam), anche in questo caso la tecnologia e qualche competenza informatica potrebbe aiutare non poco i truffatori. Infine il riconoscimento tramite firma elettronica o posta certificata anche queste modalità potrebbero dare più di qualche problema se cadessero in mani sbagliate. Rubare l'identità ad un cittadino significa un danno molto grave, consente infatti di accedere ai suoi dati riservati, poter intestare la bolletta della luce o l'affitto di una casa affittata da terroristi con l'identità di un ignaro cittadino che per anni non saprebbe nulla. Salvo poi dover spiegare come mai è un pericoloso complice di qualche cellula islamica o famiglia mafiosa. Per non parlare di firma di contratti, cessione di beni all'insaputa del titolare e così via.Pensiamo ad esempio al caso di una persona che si presta a identità di comodo. Quelle che chiamiamo "testa di legno". L'identità elettronica in tal caso è una soluzione perfetta perché una volta ottenuta si può procedere nelle attività criminose senza dover portare in giro la persona con i rischi che questo comporterebbe.Il Sistema di Identità Pubblico si presta anche a deresponsabilizzare i fornitori di servizi in rete. Poiché il processo di identificazione viene svolto da un soggetto terzo è chiaro che il provider di servizi non può rispondere del danno che un furto di identità può causare ad un cliente. Lo SPID consente infatti al fornitore del servizio di ovviare alle disposizioni dell'art. 17 della legge 70/03 che recita: "Art. 17 (Assenza dell'obbligo generale di sorveglianza)1. Nella prestazione dei servizi di cui agli articoli 14, 15 e 16, il prestatore non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite.2. Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore è comunque tenuto:a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell'informazione;b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.3. Il prestatore è civilmente responsabile del contenuto di tali servizi nel caso in cui, richiesto dall'autorità giudiziaria o amministrativa avente funzioni di vigilanza, non ha agito prontamente per impedire l'accesso a detto contenuto, ovvero se, avendo avuto conoscenza del carattere illecito o pregiudizievole per un terzo del contenuto di un servizio al quale assicura l'accesso, non ha provveduto ad informarne l'autorità competente."Il fornitore di servizi può dunque tralasciare di controllare operazioni sospette e l'identity provider potrebbe non essere in grado di controllarle in modo compiuto, creandosi così un'area grigia che peserebbe sull'utente. Ad esempio una serie di movimenti bancari insoliti per l'utente sarebbero perfettamente leciti, mentre oggi la banca verifica con attenzione e traccia ogni singolo movimento per esempio con una autorizzazione aggiuntiva che nel caso di SPID non è detto sia necessaria.Se pensiamo al caso delle banche oggi esse avrebbero un enorme danno di immagine se vi fosse un caso di accesso non autorizzato dovuto al sistema di controllo debole. Così le banche devono garantire la sicurezza dei conti online e proteggere in modo adeguato i loro clienti. Addirittura sarebbe più conveniente farsi carico di coprire incidenti pur di non renderli pubblici rischiando di generare il panico tra i clienti. Con lo SPID i rischi sono gestiti più facilmente e sono a carico degli Identity Provider. E dunque se avviene un furto tramite l'account online di un utente il problema sarà di quell'utente che dovrà districarsi tra le responsabilità dell'Identity Provider e quelle della banca. Considerato che eventuali processi per danni o responsabilità impiegano molto tempo, sono a rischio prescrizione e avrebbero da una parte gli avvocati degli identity provider che oggi sono Tim, Poste Italiane e Infocert o quelli delle banche e dall'altra un semplice cittadino, sembra difficile che qualcuno possa far valere facilmente i propri diritti.Si dice che SPID apra tantissime opportunità ai cittadini che ne faranno uso, ma forse non sono descritti gli eventuali rischi che Spid può comportare.L'identità è infatti il sistema con il quale ci si si presenta agli altri e allo Stato con assoluta certezza. Chiunque può presentarsi a mio nome e può compiere su di me azioni anche gravi. Ora è vero che con la legge sull'autocertificazione molte volte l'identificazione è stata trasformata in una fotocopia di un documento e un foglio di carta firmato, ma questo non giustifica a proseguire in questa direzione. L'autocertificazione nasce dalla volontà della politica di assecondare visioni semplicistiche dello Stato. Questo sistema ha consentito a molti cittadini di ottenere benefici dichiarando il falso ed ora non è facile perseguire un numero di illeciti così diffuso. Con l'autocertificazione il legislatore si è deresponsabilizzato nei confronti del cittadino, per evitare di chiedere certificati non bisognava ammettere l'autocertificazione, bastava interconnettere i sistemi informativi affinché lo Stato potesse parlare tra i suoi enti senza chiedere nulla al cittadino o produrre "certificati" online da inviare a terze parti.La mia identità mi consente di poter esercitare la mia cittadinanza sia come soggetto pubblico (per esempio se vi fosse un sistema di consultazione o voto online) sia come libero cittadino nei miei rapporti con lo Stato o nelle transazioni commerciali o altro e il furto di identità può causare grandi danni e ripercussioni anche nel lungo periodo. Il costo di questo furto è molto alto per chi lo subisce ed ha un costo diverso a seconda del ruolo sociale del cittadino, della sua professione, della sua notorietà.Qui possiamo immaginare due tipi di furti, il primo dovuto a personale non formato o ad un processo di acquisizione delle identità inefficace. In tal caso la responsabilità potrebbe essere attribuita a diverse figure e non sarebbe facile trovare agevolmente il titolare della responsabilità.Nel secondo ad un furto massivo portato avanti da hacker. In tal caso andrebbero risarciti tutti i cittadini e in misura diversa secondo il valore della loro identità. Ma quale sarebbe l'impatto economico? Chi potrebbe sostenere il costo del risarcimento e delle innumerevoli controversie?Cosa faranno gli Identity Provider per tutelarsi? Potrebbero, ad esempio, chiedere allo Stato di verificare lui l'identità del cittadino lasciando a loro la gestione corrente del sistema. In tal modo si ridurrebbero i loro rischi perché in caso di incidente risponderebbero solo per una parte della catena.Ma cosa si potrebbe fare per stare più tranquilli?Partendo dal presupposto che un sistema sicuro non esiste, forse si poteva affidare Il processo di identificazione del cittadino alle Forze dell'Ordine. le FF.OO. sono in grado di riconoscere un documento falso, hanno un database in grado di capire se ci sono stati furti di documenti o di carta valori, di confrontare i dati presenti nel documento con l'anagrafe della popolazione residente (ANPR). Ma sono anche in grado di capire se l'immagine del portatore corrisponde ad una persona con precedenti o segnalata. Sono in grado di sapere con certezza a chi corrisponde il numero di cellulare fornito durante l'identificazione e se è oggetto di indagine, di conoscere se l'indirizzo di email è valido e a chi corrisponde. Insomma di identificare la persona. Passato tale processo di identificazione si poteva ragionevolmente avere la certezza di identità.Sarebbe anche utile che ogni cittadino con identità digitale avesse un numero di cellulare al quale inviare notifiche di quello che la sua identità fa, perché solo un monitoraggio di questo tipo può aiutare a mantenere traccia di cosa accade. Questo numero dovrebbe essere certificato a sua volta come di sua proprietà, raggiungibile, non disattivabile dal gestore telefonico nel caso la ricarica telefonica o l'abbonamento risultino scaduti, ovvero in tal caso bloccare anche l'identità digitale.Sicuramente più "burocratico" e meno comodo che andare al negozio sotto casa, ma certo più sicuro per il cittadino che la richiede e anche per la collettività.Sarebbe utile anche che vi fosse un portale del cittadino al quale collegarsi per sapere se qualcuno ha chiesto una identità digitale a nostro nome, ovvero se ne esista una a nostra insaputa. Magari fare in modo che si possa richiedere una identità digitale solo dopo che se ne è fatta richiesta alle Forze dell'Ordine ed esse abbiano provveduto a "sbloccare" i gestori al rilascio dell'identità. I mezzi, anche semplici, ci sono.E perché non coinvolgere gli operatori dell'anagrafe in queste attività di riconoscimento? Tutti noi abbiamo un gran numero di chiavi per aprire l'auto, la casa, i cassetti e l'idea di avere tante chiavi diverse è il frutto millenario della sapienza contro i ladri, ma nel digitale le chiavi sono sostituite da un "PIN unico" e questo, già da solo, potrebbe bastare a convincerci della sua pericolosità.Ancora non sono noti i costi che lo SPID ha generato nelle strutture pubbliche coinvolte, questo si vedrà in seguito, ma di certo il sistema non è gratis.Per concludere, forse al posto di Spid sarebbe stato più utile lanciare la carta di Identità Elettronica, che con i sistemi di sicurezza e l'inserimento dei dati biometrici offre forse maggiori garanzie di affidabilità.