Ho intervistato persone che conosco sia con un sondaggio in rete (clicca qui per partecipare) sia di persona e ho maturato l'idea che il punto debole e contemporaneamente la chiave di volta di tutto il sistema sia la corretta gestione dei livelli di sicurezza, in termini di semplictà uso della credenziale di accesso e costi da sostenere.
 |
| CC by Agid |
Il primo livello è in sostanza pari agli attuali PIN/password singoli con cui si accede a vari siti delle pubbliche amministrazioni. Esso è definito adatto ad essere utilizzato solo dove esista “rischio moderato” è a singolo fattore (una sola password o credenziale) e si prevede che sia associato ad attività in cui eventuali danni da uso indebito abbiano basso impatto per cittadino/impresa/pubblica amministrazione.
Il secondo livello è invece definito idoneo a un “rischio ragguardevole” (l’abuso può provocare un danno consistente). Si tratta di una identità a doppia credenziale, simile a quelle che utilizzate in alcuni sistemi di home banking in cui a oltre ad una password è richiesto di inserire il codice proveniente da un dispositivo a chiave variabile (c.d. OTP). Il livello 2 dell’identità digitale non prevede come obbligatorio il rilascio di certificati digitali, previsti invece nel livello 3.
Il terzo livello, obbligatorio dove sussista un rischio molto alto in quanto è l’unico che garantisce con estrema affidabilità anche l’identità del titolare, accertata durante l’identificazione, prevede la verifica di due fattori (credenziali) basati su certificati digitali e chiavi private su dispositivi conformi ai requisiti di sicurezza delle norme comunitarie sulla firma digitale.
Il rischio
Ho intervistato persone che conosco sia con un sondaggio in rete (clicca qui per partecipare) sia di persona e ho maturato l'idea che il punto debole e contemporaneamente la chiave di volta di tutto il sistema sia la corretta gestione dei livelli di sicurezza, in termini di semplictà uso della credenziale di accesso e costi da sostenere.Il terzo livello permette l'accesso a tutti i servizi per cui un utente ha diritto e voglio focalizzarmi su questo.
Il livello massimo viene indicato dalla stessa AGID come uso di una smart card o di un token usb, con conseguente installazione di driver, configurazione della postazione di lavoro e non semplice (per non dire improbabile) utilizzo su mobile.
Inoltre mentre le credenziali di livello 1 e 2 saranno gratuite per almeno 24 mesi la credenziale di livello 3 deve essere acquistata con costi minimi di mercato che oggi sono di circa 30 euro iniziali per un servizio di tre anni.
A livello pratico immaginando la normale vita di un cittadino nei confronti della pubblica amministrazione il livello 1 non è utilizzabile per presentare istanze o leggere i propri dati.
Ipotizziamo i servizi più frequentemente utilizzati da una famiglia:
- Agenzia delle entrate e siti comunali per le imposte
- Inps per il cedolino dello stipendio
- Servizi delle regioni per quanto riguarda la sanità ordinaria.
- Servizi di iscrizione a scuola
 |
| CC by AGID |
Se questa interpretazione fosse esatta si porrebbe immediatamente una difficoltà al successo del progetto: le famiglie sarebbero agevolate, ma dovrebbero addossarsi costi di acquisto già in fase iniziale oltre che scontrarsi contro le difficoltà di installazione di un lettore di smart card o di una USB device, difficoltà che ha proprio portato alla nascita di SPID come sistema alternativo (e non sostitutivo!) alla Carta Nazionale dei Servizi oggi emessa a tutta la cittadinanza come Tessera sanitaria.
La soluzione
Però lo spazio per intervenire ed evitare questa criticità esiste: infatti I gestori di identità non sono strettamente vincolati ad emettere Smart Card o token USB device, bensì possono proporre soluzioni diverse così come già fatto per la firma digitale remota.In questo caso il titolare di firma può utilizzare i dispositivi crittografici detenuto dal gestore del servizio stesso facendosi riconoscere con strumenti simili per l'utilizzatore a quelli previsti dal livello SPID 2.
Inoltre sempre nelle linee guida si legge che AGID "al fine di rendere omogenei i LoA associati ai servizi su tutto il territorio nazionale, promuove e pubblica, nella sezione SPID del proprio sito istituzionale il LoA da associare alle categorie di servizi che presentano carattere di omogeneità".
E' quindi ipotizzabile che nella pubblicazione a cura di AGID si trovi che l'accesso ai propri dati, inclusi i sensibili, di maggior interesse per il pubblico possa avvenire con livello 2.
Personalmente auspico che servizi di accesso alla lettura dei propri dati (anche sensibili) possa avvenire da parte del cittadino utilizzando una credenziale di tipo SPID 2 ossia gratuita e "semplice", mentre la sicurezza generale del sistema può essere garantita tramite accorgimenti tecnici come l'analisi di accessi sospetti quali accessi da postazioni territorialmente incompatibili (un soggetto non può trovarsi a distanza di pochi minuti in Italia ed in Cina!) o postazioni che accedono in pochi secondi con più identitità
Nessun commento:
Posta un commento