di Pierluigi Paganini*
Vite digitali, questo è il titolo che potremmo usare parlando della più grande operazione di distribuzione di identità digitali, che avverrà in Giappone.
Il paese del Sol Levante si appresta a lanciare My Number System, il suo nuovo sistema nazionale di identificazione digitale. Il sistema si basa su una architettura che verrà usata per l’erogazione di un’ampia gamma di servizi, dalle tasse alla sicurezza.
Il primo ministro Shinzo Abe ha detto che spera che tutti i giapponesi riceveranno la “nuova identità” digitale entro ottobre. Il sistema sarà completamente operativo nel prossimo anno.
Il Japan Times ha pubblicato un interessante articolo sull’operazione. Questa dovrebbe coinvolgere più di 100 milioni di giapponesi e stranieri residenti in Giappone. Ognuno verrà identificato da un codice univoco di 12 cifre. In molti storcono in naso, soprattutto per la minaccia che un simile sistema può rappresentare per la privacy.
A preoccupare maggiormente sono gli aspetti di sicurezza del sistema. Una qualunque violazione potrebbe rappresentare una seria minaccia alla sicurezza del Paese.
Gli esperti di sicurezza ammoniscono le autorità circa la delicatezza di questa fase di messa in distribuzione delle identità digitali per i giapponesi. Gruppi di criminali informatici potrebbero beneficiare della confusione naturale in un momento di transizione come questo, per frodare un gran numero di giapponesi.
La compromissione di un sistema come My Number potrebbe consentire ad hacker operanti per un governo straniero di assumere una qualunque identità. Con ovvie ripercussioni sulla sicurezza nazionale. I criminali informatici “comuni”, invece, potrebbero essere interessati alla possibilità di realizzare frodi difficili da contrastare.
I giapponesi sembrano non aver dimenticato l’incidente occorso al Japan’s Pension Service. L’organizzazione è stata vittima di una grave violazione che ha esposto dati sensibili di circa 1,25 milioni di cittadini.
Ma non finisce qui. Molte associazioni sostengono che la messa in produzione di un tale sistema abbia serie ripercussioni sull’operato delle aziende private. A queste il governo giapponese potrebbe chiedere di raccogliere gli identificativi dei loro dipendenti, inclusi i lavoratori part-time.
Le autorità giapponesi hanno cercato di rassicurare i propri cittadini sugli aspetti di sicurezza del nuovo sistema di identità digitale nazionale. Secondo il governo di Tokio il sistema My Number difficilmente potrebbe soffrire una violazione di data su larga scala, grazie alla sua struttura ad architettura distribuita.
Cos’è un’architettura distribuita
Quando ci troviamo di fronte a un’architettura distribuita, essenzialmente i dati non sono custoditi in un unico sistema centrale, bensì in una pletora di sistemi manutenuti da varie agenzie sul territorio. Una simile architettura è garanzia di sicurezza? Difficile dirlo. La sola informazione fornita relativa all’architettura distribuita è davvero poco per una valutazione.
In ogni caso, anche queste architetture non sono immuni da attacchi informatici. Gli hacker potrebbero sfruttare vari vettori per muoversi su scala nazionale, con i medesimi risultati che si avrebbero nel caso di un attacco a un sistema centralizzato.
Un sondaggio ha rivelato che solo il 24% dei giapponesi è contento di ricevere la nuova identità digitale. Un po’ pochino per un Paese tecnologicamente avanzato come il Giappone, non credete?
Se pensate che attacchi contro sistemi di gestione nazionale delle identità digitali siano fantascienza, vi sbagliate. Basti pensare a quanto accaduto in Corea del Sud e riportato in questo mio precedente articolo.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri Membro Gruppo Threat Landscape Stakeholder Group ENISA Collaboratore SIPAF presso il Mef