lo scorso 4 novembre 2016 è apparso sul giornale online Il Fatto Quotidiano il servizio dal titolo “Identità digitale (Spid), c’è un buco nella sicurezza: “Così ti divento Matteo Renzi”, a firma di Thomas Mackinson, che mette in evidenza come “per violare la “grande rivoluzione digitale” del governo Renzi bastano colla, forbici e un computer”.

Il giornalista, per chi non avesse visto il filmato, ha richiesto il rilascio della identità SPID di un collega (a cui peraltro aveva chiesto il consenso per spacciarsi per lui) attraverso il riconoscimento Web: usando la WebCam, l’operatore incaricato del riconoscimento, ha visionato i documenti falsificati che gli sono stati mostrati, ma dei quali non ha potuto accertare l’autenticità. Essendo i documenti stati solo mostrati e non “toccati” non sono stati riconoscibili a vista, via webcam, come falsi, pertanto l’operatore ha correttamente (sigh!) effettuato il riconoscimento rilasciando l’identità “dell’altro” al giornalista truffaldino. Il giornalista ladro di identità ha così potuto “far incetta dei suoi (dell’altro, ndr.) dati sensibili come la dichiarazione dei redditi e l’Isee, referti e visite mediche, la situazione previdenziale e le denunce di infortuni all’Inail, l’iscrizione all’asilo nido e i congedi di maternità, il pagamento di tasse e bolli, proprietà immobiliari e dichiarazioni di successione”.

Risultato e conclusioni dell’articolo, SPID non funziona!

SPID invece funziona, eccome, perché se lasciamo da parte i proclami e la propaganda da milioni e forse qualcosa di più, che ormai, per non voler passare per normali, i formidabili politici hanno adottato negli ultimi decenni (vi ricordate colui che inaugurò la moda con il milione di posti di lavoro?), i servizi e le amministrazioni aderenti sono cresciute a dismisura, confrontare per credere:

Maggio 2016

avanzamento_crescita_digitale_maggio2016

Novembre 2016

avanzamento_crescita_digitale_800

SPID quindi sta funzionando e anche benissimo, quello che invece non funziona è il processo di identificazione dei richiedenti, ci riferiamo al processo di identificazione da remoto via webcam, che tra l’altro viene utilizzato da ormai quasi tutte le CA anche, “Fatto” da non sottovalutare, per il rilascio delle firme elettroniche con certificato qualificato.

Quello che sta succedendo e succederà sempre di più è che i servizi digitali stanno diventando sempre più ricchi (in tutti i sensi) e come sempre, quando il valore/posta in gioco cresce, la propensione alla truffa aumenta proporzionalmente. E’ piuttosto evidente a tutti, che fino a quando i servizi digitali erano ridotti alla firma del bilancio aziendale con le smart card rigorosamente, contra legem, conservate presso gli studi dei commercialisti, pochi, se non qualche “banda di onesti”, si sono ingegnati per impersonare “l’altro”; quando poi però, con la firma/identità digitale, abbiamo potuto aprire società, presentare richieste di verifiche, rilasci, agevolazioni, esenzioni, finanziamenti, e tante altre ancora, sempre più a valore (anche e sopratutto economico) se ne aggiungeranno, allora dobbiamo renderci conto che il rilascio di una identità digitale non può essere fatto alla leggera, delegando privati, che delegano altri privati, che delegano altri privati.

Rilasciare una identità non è mai stato, e ormai a maggior ragione non deve essere, un qualcosa di “leggiadro”!

Fiducia_Snoopy

Il processo di rilascio di una identità digitale, nelle sue varie fogge (firma digitale, CNS, SPID, CIE, ecc. ecc.), deve diventare sempre più blindato e non più abbandonato a metodi che andavano bene nel passato dei pochi servizi, ed ad una vigilanza che, priva di risorse, langue drammaticamente. Il rilascio di una identità digitale deve assurgere a status di rilascio di documento ufficiale dello stato, essere equiparato al rilascio di un passaporto. Oppure, se non vogliamo ragionare in termini di pubblici ufficiali, dobbiamo pensare/sfruttare processi di identificazione/rilascio analoghi a quelli delle carte di credito o delle utenze telefoniche, che per come è congegnato il processo difficilmente vengono rilasciate a terzi truffaldini. Infine semplifichiamo, non creiamo migliaia di identità digitali rilasciate da n soggetti (PA e non PA) per n servizi locali/nazionali.

Pensieri in libertà, ma non potrebbe bastare per ognuno di noi:

  1. un eID
  2. un eSIGN
  3. un eMAIL (RED – Registered Electronic Delivery in eIDAS jargon, PEC dalle nostre parti :-))

L’autenticazione è uno dei grandi temi dello sviluppo di una Europa digitale, non a caso il regolamento europeo  eIDAS parla di Electronic identification and trust services. Nel 2017, 2018, fino ad arrivare al 2020 si parlerà sempre più di fiducia in EUropa, in quanto la fiducia è alla base delle relazioni fra gli individui e fra le organizzazioni, ed è elemento cardine per la crescita. Già da ieri (luglio 2016) io mi devo fidare della firma digitale spagnola, francese, greca, e sempre più mi dovrò fidare dei cosiddetti servizi fiduciari a marchio UE.

eidasinfographic2016_s_12940

Il governo parlava di milioni di utenti SPID nel corso del 2015, poi ha spostato il traguardo dei milioni nel 2016, adesso speriamo che ai proclami si dia più peso alla criticità del successo indiscusso del progetto SPID, non legato agli utenti, che arriveranno a milioni, ma ai tanti servizi che ormai nel bene e ahimè anche nel male attirano come il miele e/o il cestino del picnic.

Bubu, mi è sembrato di vedere un cestino di merende!

picnic_cestino_yoghi_bubu