SPID, quanto sarà sicuro?

5 aspetti di sicurezza considerati nello schema di sviluppo del sistema pubblico dell’identità digitale italiana.
Il Sistema Pubblico di Identità Digitale italiano (SPID) è alle porte. Introdotto dalla legge 98/2013, il Decreto attuativo che sancirà l’introduzione e darà via al progetto pilota è previsto in Gazzetta Ufficiale per giugno 2014. La bozza del Decreto definisce uno schema del servizio, trasferendo nel progetto pilota successivo il dettaglio tecnico della realizzazione del sistema.
Con SPID, l’utente potrà disporre di un’identità digitale univoca per accedere ai portali dei fornitori di servizi, ossia le pubbliche amministrazioni e i privati che vorranno aderire al sistema su base volontaria, e poter effettuare delle operazioni online senza aprire un account separato.
I vantaggi per le PA sono notevoli, a partire dall’aggiornamento dei dati anagrafici disponibili alla riduzione degli archivi, ma anche per i cittadini, ad esempio la possibilità di svolgere alcune operazioni online.

Fonte: AgendaDigitale.eu

Non siamo soli: Identity provider e Attribute provider
Lo schema del decreto rimanda a una o più figure esterne il compito di riconoscere gli utenti, ossia verificare la corrispondenza, il livello delle credenziali e gli attributi associati all’identità come il nome azienda, email, consenso privacy, ecc. Dove gli Attribute provider saranno gli enti tenuti a certificare delle informazioni, quali il titolo di studio o l’abilitazione professionale, gli Identity provider possono essere soggetti accreditati al servizio. Affidare a una terza parte l’onere di garantire alla pubblica amministrazione che chi accede al sito è veramente chi dice di essere è un sistema consolidato a patto che l’ente terzo, oltre ad essere indipendente e neutrale, abbia la struttura tecnica necessaria per garantire il rispetto della privacy.
Le credenizali di sicurezza, quale livello?
Non è previsto un sistema di autenticazione univoco per tutti, sarà il gestore del servizio a scegliere i sistemi e a fare in modo che siano adeguati all’aggiornamento tecnologico. Il livello “base” è la password statica, una premessa che a fronte della relativa comodità d’uso non sembra considerare i rischi associati. I gestori potranno scegliere tra sistemi diversi ma dello stesso livello di sicurezza, ad esempio Smartcard alternative a SecureSim oppure One Time Password alternativa a sistemi basati su App. per quanto riguarda la smartcard, è da considerare l’esperienza della Regione Lombardia con le tessere sanitarie, dove la necessità dell’apposito lettore ha portato al successo parziale dell’operazione.
Condivisione minima, condivisione esplicita
SPID fornirà al servizio gestore solo le informazioni sul cittadino, o attributi, strettamente richiesti, e solo in presenza di un consenso esplicito da parte dell’utente. L’attivazione iniziale di ogni servizio digitale della PA parte allo sportello, è importante fare un passo avanti rispetto alla firma dei moduli e a pensare in sede di richiesta di un’intefaccia chiara ed intuitiva con esplicita indicazioni delle informazioni condivise.
Dove l’avevamo già visto? La burocrazia non si estingue con il digitale
L’uso del digitale come soluzione per snellire la comunicazione con l’ente pubblico non è una novità per l’Italia, si vedano ad esempio il progetto del codice fiscale, la carta d’identità elettronica, la carta dei servizi (sanitari), e l’ultima nata e più vicina nello spirito, la PEC. Per la PEC il piano di obblighi per la pubblica amministrazione sembrava aver portato un miglioramento, che non si poi concretizzato in un successo dell’operazioni per la mancata associazione di servizi e cambiamento della modalità di gestione.
Più sicurezza ma anche più servizi.
Ottime intenzioni di riduzione del furto d’identità e la volontà di ridurre il numero degli archivi, ma come su ogni portale privato, si accede per ottenere un servizio.
Alla base di queste operazioni, un investimento di risorse non supportato da un adeguato piano di attivazione dei servizi. Per le aziende o per i cittadini, il buon successo dell’operazione alla base dell’Agenda Digitale è che serva a qualcosa.