“La sperimentazione è certamente un segnale positivo: credo che si sia scelto il modo migliore per verificare gli obiettivi di riferimento. Ora si deve puntare non tanto a testare il sistema su un piccolo numero di soggetti, ma a individuare le possibili criticità sull’architettura di riferimento del sistema in condizioni di stress. Iniziare da situazioni troppo semplici comporterebbe il rischio di non capire cosa succederà quando l’intero sistema andrà a regime”. Così Maurizio Talamo (nella foto), docente di Ingegneria a Roma Tor Vergata e prorettore dell’ateneo, commenta la prima fase di sperimentazione dello Spid.
Talamo, tra i problemi potrebbe sorgere quello della tutela della privacy e della sicurezza dei dati. È un timore fondato?
In tutte le infrastrutture così complesse e multiorganizzazione il rischio è fondato. Un sistema del genere deve contare su livelli di sicurezza molto alti. Stiamo parlando di identità che passano da un’organizzazione all’altra, e questo può comportare problemi: la privacy in genere non va d’accordo con questo tipo di approccio: si tratta di uno dei punti di sfida per la riuscita del progetto. È stata fatta una scelta interessante, ora bisogna essere in grado di tradurla in pratica.
Cosa si può fare per evitare che i dati sensibili dei cittadini possano essere “a rischio hacker”?
Ci sono due cose che si possono fare prima di arrivare alle “raffinatezze di progetto”. Oltre al fatto di definire e certificare gli identity provider, sarà importante definire anche le cosiddette “parti affidabili”, le entità cioè che gestiscono le credenziali alle spalle delle quali c’è un sistema di servizi, le cosiddette reliable part, che dovrebbero essere in qualche modo certificate dagli identity server: chi accede dovrebbe sapere con certezza quando le sue informazioni passano da una reliable part a un’altra. Questo comporta due vantaggi: il primo è che non mi troverò a parlare con qualcuno che non so chi sia, e il secondo è che ci sarebbe così una precisa assunzione di responsabilità nel passaggio delle credenziali. In questo modo si potrà poi a posteriori, ma alle volte anche in linea, se il sistema sarà abbastanza sofisticato, tracciare il passaggio delle operazioni compiute più che dell’identità delle persone che utilizzano i servizi.
Quanto è importante la questione dell’individuazione delle responsabilità?
Credo sia il punto più critico. In sistemi così complessi il rischio non è tanto l’hacker, che è un problema di sicurezza intrinseca dei server, ma l’individuare le responsabilità nel passaggio delle credenziali, tracciandolo e documentandolo. Non soltanto rispetto all’identità della persona, ma rispetto alle azioni che si compiono, che possono essere anche anonime, ma da cui solo in un secondo momento, in caso di problemi o incidenti, si può risalire alle identità fisiche. L’anonimato è possibile in questi casi, pur appunto garantendo l’assegnazione di responsabilità quando si verifichi un evento doloso.
Milioni di identità digitali sono già assegnate, e si prova a renderle interoperabili con lo Spid. Un ulteriore elemento di vulnerabilità?
Il discorso dell’anonimato e delle identità multiple che poi possono essere ricondotte a una sola identità fisica è una questione complessa, ma è senza dubbio una sfida che va affrontata, e che si potrà dire risolta se si riuscirà a non collegare l’identità fisica al servizio di cui si usufruisce.