[NEWS] Lampi di Cassandra/ SPID o non SPID?

[c.m.g]

lunedì 7 novembre 2016

Spoiler:

Quote: di M. Calamari - "Essere o non essere digitali" è il grande quesito al quale noi italiani dobbiamo rispondere. Il rischio di furti di identità c'è ma fino a quando SPID non sarà realmente sicuro è meglio attendere

Lampi di Cassandra/ SPID o non SPID?Oggi l'amletico dubbio contenuto nel titolo, particolarmente evidente per i lettori che già conoscono le precedenti esternazioni di Cassandra in tema (questa e quest'altra), sarà sciolto razionalmente senza ricorrere alla divinazione, non dubitate.

Riassunto delle puntate precedenti: a parere di Cassandra solo la SPID di livello 2 con token OLTP o la SPID di livello 3 con token crittografico possono essere considerate affidabili.
Visto che a tutt'oggi nessuno ancora le fornisce, non bisogna (almeno per ora) usare o richiedere la SPID perché troppo insicura dal punto di vista informatico: rappresenta un rischio elevato (una grande superfice di attacco) alla propria "identità digitale" intesa in senso esteso.

Sul Fatto Quotidiano online è stato pubblicato di recente un video molto ben realizzato, che spiega come utilizzare mezzi illegali ma semplici, anzi banali, per ottenere l'identità digitale di un altra persona. È bene ripeterlo: per ottenere l'identità digitale di un'altra persona. Il video in questione, oltre che agghiacciante, è pure divertente, e Cassandra ne consiglia fortemente la visione prima di proseguire.Riassunto del video: Il giornalista si è procurato i dati personali pubblici di una persona, ha rozzamente e velocemente falsificato due documenti di identità, e li ha usati per ottenere la SPID, ingannando l'operatore del fornitore di SPID che li esamina e li autentica utilizzando la webcam del portatile.

Bene, sorvoliamo sul fatto che durante la realizzazione del video, così ad occhio (Cassandra fa la profetessa e talvolta l'ingegnere, non l'avvocato), sono stati compiuti almeno tre reati tutt'altro che lievi. Tralasciando come detto queste "pinzillacchere", citando il grande Totò, analizziamo direttamente la "procedura" seguita.
Quello che è stato violato non è il meccanismo informatico della SPID in quanto tale, ma uno degli svariati metodi per ottenerla da un fornitore certificato (attualmente ce ne sono 4), metodi che sono in parte lasciati all'arbitrio del singolo fornitore di SPID.

Il nocciolo del problema è che se falsificare documenti di identità che debbano essere "utilizzati" nella maniera tradizionale è operazione molto difficile, falsificarli per usarli davanti a una webcam è ridicolmente facile. Non è un caso che per facilitare la diffusione della SPID, tra le varie modalità di rilascio siano previste non solo la tradizionale visita di un apposito ufficio o l'utilizzo di una firma digitale (equivalente all'ancora inesistente SPID livello 3), ma anche modalità online molto semplici e "amichevoli" (ma certo non sicure) come la webcam. E non è nemmeno un caso che di solito le operazioni tradizionali e scomode siano gratuite mentre quelle online, semplici e comode, siano a pagamento. Non dimentichiamo che i fornitori di SPID sono aziende, e che come qualsiasi azienda devono, dopo essersi certificate e operando in base a regole tecniche precise, generare profitto.

Ma basta ripetere concetti già noti, che rischiano di diventare noiosi. Se avete preso in considerazione la possibilità di aggiungere la SPID alle altre identità digitali di cui siete probabilmente già in possesso (Tessera Sanitaria, Carta di Identità Elettronica, Carta Nazionale dei Servizi, Firma Digitale) e non lo avete fatto perché negativamente influenzati da Cassandra, adesso dovreste porvi un quesito e trovare la relativa risposta: "Io la SPID non la vorrei avere, ma visto che è possibile che altri la ottengano fraudolentemente al mio posto, forse è meglio che la chieda prima io e poi magari non la utilizzi, tanto è anche gratis."
Domanda sensatissima, tanto più che avendo la SPID potreste chiedere in ogni momento l'elenco degli accessi effettuati e accorgervi se qualcuno la sta usando al vostro posto.

Come aiuto per trovare una risposta, e anche per rendersi conto di quanto siano complesse le problematiche da affrontare, Cassandra consiglia la lettura della pagina FAQ nel sito dell'Agenzia per l'Italia Digitale. Basta consultarla e magari scartabellare anche un po' tra gli altri regolamenti della SPID, per darsi la risposta. La risposta è "No".

La SPID appartiene infatti a quella classe di identità digitali che possono essere multiple; insomma voi (e in maniera truffaldina altri) potete ottenerne più di una.
Non potete ottenere due carte di identità digitali, come non potete chiedere due tessere sanitarie, ma dovete denunciare la perdita, furto o distruzione della prima e farvene rilasciare una seconda.
È invece possibile, ragionevole e in certi casi necessario avere più di una firma digitale, come succede da sempre anche per la firma autografa, ad esempio l'amministratore di un'azienda che firma in un modo per gli atti aziendali e in modo diverso per quelli personali.
E poiché il fatto di aver richiesto la SPID non impedisce che altri ne chiedano una seconda, utilizzando metodi fantasiosi come quello illustrato sopra, potete continuare tranquillamente (mica tanto) a farne a meno.

Potete quindi continuare pazientemente ad attendere una SPID di livello 2 con token OLTP o di livello 3, sicure e rilasciate con metodi altrettanto affidabili, almeno fino a quando avere la SPID non diverrà obbligatorio.
Obbligatorio?!? Cassandra non vuole azzardare oggi altre profezie di sventura, ma solo far notare che, almeno a sentire i media, lo è già adesso in casi particolari, ad esempio per ottenere il "Bonus 18 anni" di 500 euro, che può essere richiesto solo ottenendo prima la SPID.

L'amletico dubbio se "Essere o non essere digitali" insomma, ha in questo caso una facile risposta.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L'archivio di Cassandra/ Scuola formazione e pensiero






Fonte: Punto Informatico