di Pierluigi Paganini*
Il sistema SPID è entrato nel vivo e il Governo promette al cittadino e alle imprese l’accesso a un numero crescente di servizi online, con l’obiettivo di abbattere la burocrazia e migliorare il loro rapporto con le istituzioni.
Ogni utente potrà avere un’identità digitale, una sua rappresentazione nel cyber spazio che gli consentirà di fruire in sicurezza dei servizi. Ma siamo sicuri che al cittadino sia chiaro il concetto di identità digitale, e soprattutto la necessità di doverla difendere dalle minacce informatiche?
Purtroppo la quasi totalità dei cittadini ignora il concetto di furto di identità applicato al contesto digitale. È quindi necessario operare affinché lo SPID soddisfi requisiti di sicurezza e al contempo di usabilità. Purtroppo la maggior parte dei meccanismi di protezione degli utenti risultano poco usabili da una platea che spesso non ha nemmeno le competenze di base per accedere a Internet.
Il ruolo della notifica in SPID
Il collega Claudio Telmon, Information & Cyber Security Advisor, ha scritto un post molto interessante in cui discute del ruolo cruciale assunto dai meccanismi di notifica, ovvero la possibilità di essere avvisati ogni volta che la nostra identità digitale è usata per operazioni che riteniamo importanti.
Con una firma digitale potremo firmare un contratto o un atto notarile. Con SPID potremo chiedere di consultare informazioni sensibili. Tutte queste operazioni potrebbero essere condotte anche in maniera fraudolenta da criminali informatici.
La notifica diventa quindi un mezzo essenziale per disconoscere un’operazione compiuta senza il nostro assenso e che manifesta un abuso della nostra identità digitale.
La notifica è il mezzo più semplice per far conoscere al cittadino le attività compiute con la sua identità digitale. Uno strumento utile per bloccare sul nascere ogni abuso. È lecito attendersi che un sistema nazionale come SPID ne preveda l’implementazione.
Quale attività monitorare con attenzione
Senza dubbio l’attivazione di una nuova identità SPID è l’esempio più calzante. Quando un gestore di identità associa a un individuo un’identità digitale sarebbe opportuno implementare un meccanismo di notifica. Un abuso di tale procedura potrebbe far sì che un criminale operi nel sistema SPID in nome e per conto di un’altra.
Telmon sottolinea come al momento tale notifica non sia prevista per l’attivazione di un’identità digitale. La normativa, infatti, prevede che agli utenti siano notificate solo alcune attività, quali le variazioni degli attributi.
Mancata notifica SPID: dimenticanza o scelta tecnica?
In realtà una spiegazione tecnica esiste, ovvero la mancanza di un “recapito informatico”. Come se a un individuo non fosse assegnata alcuna dimora cui inviare missive di notifica. Disporre di una casella PEC oggi non è un obbligo per il cittadino, anzi il mantenimento è un costo interamente a suo carico. Curioso, non credete?
Si digitalizzano i servizi, ma si preclude un canale di comunicazione come la PEC, ma anche uno strumento alternativo come un SMS oppure una semplice mail. Chiaramente il cittadino deve avere la possibilità di scegliere il canale di comunicazione con le autorità, assumendosi la responsabilità per eventuali mancate comunicazioni.
“La creazione dell’anagrafe unica nazionale – spiega Telmon – è un’occasione importante per associare al cittadino un recapito al quale lui voglia ricevere notifica di eventi importanti che lo riguardino, del mondo materiale e immateriale, come l’accensione di un mutuo, l’apertura di un finanziamento o la creazione di una credenziale SPID”.
I canali possibili per la notifica SPID
Un canale di comunicazione alternativo alla PEC è auspicabile. La sicurezza dell’identità digitale è un requisito su cui si fonda l’intero sistema SPID e quindi va salvaguardata con ogni mezzo, compresi i meccanismi di notifica multicanale.
Inoltre, non dimentichiamo che proprio la comunicazione deve essere di semplice ricezione da parte del cittadino. Se l’utenza è abituata a usare Whatsapp o gli SMS ben venga. Purché sappia che sono canali non garantiti e utilizzati in alternativa a un account PEC, che andrebbe offerto in maniera gratuita al cittadino.
Il costo di un sistema PEC nazionale offerto al cittadino sarebbe di gran lunga inferiore al costo che si dovrebbe affrontare per il fallimento di un progetto ambizioso come SPID o per eventuali violazioni di dati che ne possano derivare.
*Pierluigi Paganini
Membro Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Esteri
Membro Gruppo Threat Landscape Stakeholder Group ENISA
Collaboratore SIPAF presso il Mef