Come garantire sicurezza e usabilità? La domanda è di quelle “topiche” ai tempi dei servizi digitali, soprattutto quando di parla di pubblica amministrazione. Sotto i riflettori c’è Spid, il sistema unico di identità digitale, che consente l’accesso alla PA con un solo Pin. Una vera e propria “rivoluzione” che aprirà la strada a Italia Login, il punto unico di accesso a cui sta lavorando il governo. Ne parliamo con Roberto Baldoni, direttore Cyber Intelligence and information Security Center dell’Università “Sapienza”.
Professore, è possibile conciliare sicurezza e usabilità oppure dobbiamo rassegnarci ad avere servizi “macchinosi” però sicuri?
Siamo immersi in un mondo in cui il contrasto sicurezza e usabilità dei servizi informatici è all’ordine del giorno. Se ci pensate anche le recenti elezioni americane si sono risolte su questo punto. Hillary Clinton, al tempo in cui era Segretario di Stato, ha usato server di posta pubblici – di uso molto più facile ma meno sicuri – per scambiarsi e-mail relative al suo ruolo. Lo ha fatto nonostante sia stata più volte consigliata dall’intelligence di usare server di posta certificati. Sistemi, quelli certificati, certamente meno “user friendly”. Da qui nasce il furto di email che ha logorato la candidata durante tutta la campagna elettorale. Tutto questo per dire che l’usabilità (“beauty and easy”) dei servizi è condizione necessaria ma non sufficiente per arrivare alla massima adozione da parte degli utenti.
Dobbiamo rassegnarci a rinunciare alla sicurezza?
Certamente no. Dobbiamo però capire che la sicurezza non è un concetto assoluto e che va declinata per diversi gradi. Il problema centrale diventa di gestione del rischio residuo associato al livello di sicurezza che si vuole ottenere e delle risorse che “l’avversario” è disposto a spendere nell’attacco. Il framework nazionale di cybersecurity spiega come, ad esempio, ogni azienda deve valutare il proprio rischio cyber per poi adottare specifiche misure tecnico-organizzative nell’arco di un periodo temporale, con l’obiettivo di ridurre il rischio a un livello considerato accettabile. Minore è il rischio residuo, infatti, e maggiori dovrebbero essere le risorse spese da un “attaccante” per effettuare l’offensiva con successo.
In questo scenario si collocano anche i processi di “riconoscimento” relativi ai sistemi di identità digitale, come Spid. A suo avviso, quale sarebbe uno scenario ideale dal punto di vista dell’accuratezza dell’identificazione?
Ad esempio l’identificazione de visu da parte di un ufficiale giudiziario “esperto” con documento riscontrabile su banca dati nazionale, sul modello “passaport check” degli aeroporti. Si tratta di una soluzione che comunque non annulla il rischio di frodi – l’avversario potrebbe acquisire passaporti ben contraffatti – ed è comunque poco usabile.
Perché?
Perché avrebbe costi e tempi elevatissimi e impedirebbe ampia diffusione di Spid, che essendo identità secondaria, deve garantire gradi di usabilità maggiori. In ogni caso, anche se fossimo pronti ad accettare costi, tempi e impedimenti di usabilità, in questo momento in Italia non abbiamo banche dati che coprono l’intero territorio nazionale contenenti documenti di identità primarie: mi riferisco alla Cie o alla Cns. E comunque anche le Cns hanno delle leggere differenze nelle loro caratteristiche che variano da regione e regione. A questo punto ci troviamo davanti a un bivio.
Che sarebbe?
Bloccare l’ennesimo progetto di rilevanza nazionale, come in effetti è Spid, in fase di startup, con il rischio di ucciderlo oppure considerare le “falle” come opportunità e fattore di accelerazione del progetto di digitalizzazione del paese. In che modo? Accelerando sul completamento delle banche dati nazionali di identità primarie per migliorare l’accuratezza della identificazione e, più in generale, sull’integrazione delle banche dati nazionali già esistenti, assicurando allo stesso tempo un migliore processo di identificazione dei soggetti per il rilascio di Spid. Io sono convinto che non ci sia dubbio alcuno nel prendere la seconda strada. Il Paese è già stato fermo abbastanza. Dobbiamo assicurare il completamento dell’infrastruttura Spid per semplificare l’accesso dei servizi su rete e creare le condizioni perché l’identità digitale sia uno dei baluardi della trasformazione digitale della “piattaforma Italia”. Nel contempo è necessario che l’Agenzia per l’Italia digitale acceleri la fase di startup, assicurando sicurezza dei processi e aprendo opportuni tavoli per adozioni sempre più ampie nei vari settori di mercato.
E in attesa dell’integrazione delle banche dati, che fare?
In attesa di avere banche dati Cie/Cns disponibili su tutto il territorio nazionale, anche sfruttando le recenti modifiche del Cad, l’obiettivo è quello di rafforzare l’accuratezza del processo di riconoscimento e di rilascio della identità secondaria, estendendolo possibilmente anche alla firma elettronica.
Ha in mente un modo agevole per farlo?
Si potrebbe introdurre un sistema di “challenges” basato sui dati personali del soggetto che sta effettuando il processo di riconoscimento. Dati reperibili dalle banche dati già integrate dalla PA come ad esempio Scipafi (il sistema del credito al consumo) sul quale AgID è da tempo al lavoro, che integra “on demand” dati provenienti dal ministero dell’Interno, dall’Agenzia delle Entrate, dal ministero dei Trasporti nonché Inps, Inail, e Anagrafe. Da quei database si possono estrarre domande casuali da sottoporre al soggetto in corso di identificazione su figli, genitori, date di nascita, autovetture o motocicli posseduti e altro. Il tutto assicurando la completa privacy delle informazioni, così come accade per lo Scipafi.
Perché il procedimento basato su challenges è più sicuro?
Perché il processo di assegnazione dell’identità secondaria andrà avanti solo in caso di risposta positiva a queste “challenges”, al contrario verrebbe bloccato. Con l’aumentare delle banche dati integrate, aumenterà il numero di domande da cui estrarre casualmente le “challenges”: sarà sempre sempre più complesso perpetrare una frode con successo.
Alcuni provider hanno scelto anche il riconoscimento via webcam. Lei che idea si è fatto su questo sistema?
Certamente si tratta di una modalità che ha delle limitazioni tecnologiche ben note. D’altra parte, è innegabile che permette di avere una prova custodita del procedimenti e, in caso di reato, addirittura il “primo piano” del malfattore nonché la possibilità di tracciare i movimenti che ha effettuato sull’identità della vittima. Cosa che senza il supporto informatico sarebbe praticamente impossibile da ottenere.
Delicata è anche la questione della comunicazione dell’avvenuto rilascio dell’identità. Come avvisare l’utente che è stato rilasciato uno Spid a suo nome?
Si può avvisare l’interessato tramite lettera/e-mail del fatto che è stata aperta una identità digitale a suo nome; in caso questo non fosse avvenuto – e dunque ci sia il sospetto che sia stata perpetrata una frode – per l’utente c’è la possibilità di fare una denuncia per furto di identità.
Tutte le soluzioni da lei elencate garantiranno sicurezza e privacy nel processo di identificazione?
Certamente no – come ho detto la sicurezza non è un concetto assoluto – tuttavia si abbatterebbe il rischio rispetto al procedimento attuale a un livello che, speranzosamente, saremo in grado di gestire in modo ottimale e allo stesso tempo alzeremo il costo di un attacco, diminuendo così fortemente il numero potenziale dei perpetratori di reati.
