Tanto nel mondo reale, quanto in quello digitale, accertare l’identità degli individui è essenziale. Nel mondo digitale questa esigenza è sempre più sentita, a fronte di un costante aumento degli accessi online a servizi pubblici o privati.
Avere strumenti che consentano di accertare con sicurezza le identità è indispensabile per combattere la violazione o contraffazione dei dati, le frodi o il furto di identità. Per questo sono necessarie norme e prassi che possano assicurare protezione all’identità della persona, fisica e digitale.
Nel parlare dell’autenticità dell’identità di un soggetto ci si può imbattere nei concetti di identificazione, riconoscimento, verifica, autenticazione. Si tratta di concetti diversi, tra cui spesso si fa confusione e su cui, pertanto, può essere utile spendere qualche parola per illustrarne le differenze.
Identificazione e riconoscimento, via il dubbio
L’identificazione non è altro che il processo attraverso il quale si usano i dati di autenticazione personale, di natura elettronica, per convalidare la propria identità. Un’affermazione di sé in quanto persona fisica o giuridica. È la prassi più usata, ad esempio, per accedere ai servizi online, fornendo semplicemente un indirizzo e-mail, un numero di telefono. Negli acquisti, invece, equivale alla fase di inserimento dell’indirizzo di fatturazione e della carta di credito, conoscendo le informazioni del titolare.
Di frequente, si tende a confondere identificazione e riconoscimento, credendo si tratti della stessa operazione. In realtà, sono due azioni di conferma totalmente differenti. Per AgID con “riconoscimento, si intende la certezza incontrovertibile dell’associazione a una persona fisica, a una persona giuridica o anche a una persona fisica che rappresenta la persona giuridica, appartenenti all’Unione o comunque identificati con sufficiente ragionevolezza mediante uno dei regimi di identificazione elettronica riconosciuti dalla Commissione Europea inseriti nell’elenco pubblico dei regimi notificati ai sensi e per gli effetti dell’art. 9 del Regolamento eIDAS.”
L’attenzione viene posta, soprattutto, nei confronti di chi fornisce e rilascia certificati di identità. In tal senso, il riconoscimento è una convalida dell’identità di livello superiore.
Verifica, il passaggio intermedio
Quando un’azienda sottopone un cliente a identificazione non ha bisogno di approfondire i dati generici. La verifica, invece, è un passaggio successivo che avviene quando l’impresa ha l’esigenza di una convalida più approfondita dei dati, con un elevato grado di sicurezza.
Si tratta di ottenere un riscontro in tempo reale, attraverso un processo di verifica dell’identità digitale con documenti che ne possano assicurare l’attendibilità. Solitamente, tale prassi è necessariamente incorporata in sistemi di onboarding digitale o di apertura di account. Attraverso l’uso di documenti di identità rilasciati da enti governativi e con strumenti tecnologici avanzati si estrapolano i dati in maniera automatizzata. In tal modo è possibile effettuare una veloce convalida mediante la consultazione di data base centralizzati istituzionali.
Autenticazione: sicurezza, protezione e affidabilità
L’autenticazione è il livello più alto di accertamento dell’identità. È il processo attraverso cui ci assicuriamo il riconoscimento dell’utente nella sua natura elettronica. Se l’identificazione si ferma alla certificazione della persona, l’autenticazione vuole arrivare all’identità, in maniera indiscutibile.
La procedura, nelle sue forme più rigorose, consta di una prima ispezione dell’identità confermando i documenti dell’utente, per esempio il passaporto o la patente di guida. Successivamente, viene imposta una conferma della persona fisica richiedendo dati biometrici, per esempio, il riconoscimento facciale o la scansione dell’iride. Nel momento in cui questa fase supera l’approvazione, l’utente potrà autenticarsi, ogni qualvolta ne abbia necessità, attraverso l’uso delle credenziali personali e il riconoscimento biometrico.
Fattori e livelli di autenticazione
Tuttavia, i metodi di autenticazione possono essere suddivisi su tre livelli, rispondenti a tre formulazioni:
・Livello 1: “qualcosa che conosce l’utente”. Domanda di sicurezza, PIN, password.
・Livello 2: “qualcosa che possiede l’utente”. Numero di cellulare, badge ID, carta di credito, token, chiave crittografata.
・Livello 3: “qualcosa che appartiene all’utente in maniera univoca”. In questo caso per l’autenticazione si ricorre a dati biometrici dell’utente, come l’impronta digitale, la scansione dell’iride o della retina, il timbro vocale, il riconoscimento facciale o la disposizione delle vene della mano.
Autenticazione a due fattori
Un tipo differente di autenticazione è quello a due o più fattori, che richiede una convalida effettuata mediante l’uso di più metodi di identificazione insieme. I casi più comuni di autenticazione a due fattori sono rappresentati da
・uso di ID, password e un codice OTP, inviato via e-mail o SMS: una consuetudine per l’internet banking di oggi;
・uso di carta di credito e PIN per prelevare contanti dal conto corrente bancario.
Le violazioni perpetrate dal cybercrime hanno reso spesso disponibili gran parte dei dati privati di milioni di utenti, perciò i primi due tipi di autenticazione non possono più essere considerati totalmente sicuri. I sistemi più sicuri richiedono, quindi, una prova di livello 3, “qualcosa che appartiene all’utente in maniera univoca“.
In questi scenari, il fornitore di servizi ha già verificato l’identità al momento della registrazione e l’ha associata a un dato biometrico. L’accesso al servizio che richiede un’autenticazione di livello 3, dunque, avviene confrontando i dati di identificazione di livello 1 con la traccia biometrica usata. In alternativa, e compatibilmente con il livello di sicurezza desiderato, il dato biometrico può essere “contestuale”, come l’impronta digitale, oppure fornito da remoto, come un selfie in hd.
Come si rapportano tra loro identificazione, riconoscimento e autenticazione?
Nell’ambito della remotizzazione di processi complessi come l’acquisizione dei clienti, l’identificazione è spesso un processo cruciale la cui efficacia si gioca sul trade-off tra fluidità dell’esperienza utente e il rispetto di norme stringenti (ad esempio, AML, Customer Due Diligence, Antiterrorismo).
Per progettare un processo di identificazione con una soluzione di onboarding, ad esempio, annoveriamo 4 modalità di riconoscimento, distinte tra:
Modalità eseguite in proprio dall’utente finale (self-onboarding)
- tramite l’uso di SPID/CIE/CNS (c.d Onboarding con Identità Digitali pregresse)
- tramite intelligenza artificiale e machine learning (c.d Self-ID)
Modalità eseguire con l’assistenza di un operatore:
- con video-identificazione online
- in presenza (identificazione De Visu)
Rispetto all’identificazione, l’autenticazione è un procedimento ricorrente che l’utente compie ogni volta che richiede l’accesso a servizi e informazioni. Per le aziende che vogliano fare del digital identity management un asset decisivo per scalare servizi e abbattere costi, è importante cogliere l’opportunità di integrare tra le modalità di autenticazione online anche le identità certificate come SPID, CIE e CNS. Ciò è possibile integrando un servizio che includa il gateway tecnologico e l’affiancamento nel processo di accreditamento presso AgID.
