Agid

Avere Spid tutto da remoto, in modo facile e veloce: approfondiamo la nuova modalità

La nuova attivazione Spid da remoto senza operatore ha un valore speciale. Gli schemi di identificazione elettronica da remoto notificati dall’Italia in Ue ai sensi del Regolamento eIDAS hanno introdotto infatti modalità particolarmente innovative, che li rendono punti di riferimento per molti altri Stati. Ecco perché

15 Ott 2020
Walter Arrighetti

Esperto in Identità Digitali, consulente AGID, docente di Cybersecurity presso John Cabot University


Da qualche giorno è possibile avere SPID in modalità tutta da remoto, senza operatore, con uno snellimento burocratico importante. E necessario, in questa fase di pandemia.

La possibilità di fare da remoto l’identificazione di chi vuole Spid è utile oggi più che mai, infatti, poiché l’emergenza sanitaria da Covid-19 rende sempre più difficile potersi recare presso uno sportello per l’identificazione de visu. Il tutto mentre la stessa emergenza sta aumentando il numero e la richiesta di servizi online con accesso Spid (si pensi ai vari bonus governativi, tra cui quello cashback per gli acquisti pos dal primo dicembre).

La possibilità di effettuare tale identificazione “da remoto” è oggi ancora più importante poiché l’emergenza sanitaria da Covid-19 rende sempre più difficile potersi recare presso uno sportello per l’identificazione de visu, mentre allo stesso tempo è dettata dalla sempre maggiore offerta di servizi disponibili online tramite identificazione elettronica.

Ecco perché l’Agenzia per l’Italia Digitale, lavorando di concerto con tutti i gestori di identità digitale (IdP), con il Ministero per l’Innovazione (MID) e con il Garante per la Protezione dei Dati personali, che si è di recente espresso positivamente in tal senso, abbiamo di recente introdotto delle modalità di identificazione totalmente da remoto, volte proprio in tal senso.

La sicurezza di uno schema di identificazione elettronica

Un passo utile, si diceva, ma per nulla scontato. Perché bisogna coniugare semplicità e sicurezza dell’identificazione.

Bisogna sapere che un punto cruciale per ogni schema di identificazione elettronica (come SPID o CIE ― carta d’identità elettronica) sono le modalità con le quali avviene la cosiddetta identificazione del cittadino (in inglese, identity proofing), cioè il processo che, effettuato di norma una sola volta quando si richiede l’identità digitale, garantisce la correttezza (in inglese, assurance) dei seguenti passaggi:

  • identificazione certa del cittadino che fa richiesta dell’identità digitale ― cioè la garanzia che chi ne faccia richiesta è davvero chi sostiene di essere;
  • associazione dell’identità fisica all’identità digitale (in inglese, issuance) ― cioè la “consegna” e l’eventuale attivazione dei cosiddetti “fattori di autenticazione.”

La sicurezza di uno schema di identificazione elettronica dipende, complessivamente, dalle garanzie esistenti in tutte le fasi del ciclo di vita dell’identità digitale, quindi non solo la suddetta identificazione, ma anche:

  • l’autenticazione ― cioè l’utilizzo dei suddetti fattori di autenticazione ogni volta che si accede a un servizio online (quando, ad esempio, si inseriscono username/password, si “spende” il codice OTP inviato sul proprio smartphone, o si striscia il dito su un lettore di impronte digitali);
  • l’eventuale delega (per quegli schemi che eventualmente supportino tale capacità), sospensione, revoca o scadenza naturale dell’identità digitale.

Tuttavia, la fase dell’identificazione è, come si diceva all’inizio, la più delicata, poiché è un processo una tantum che, se “attaccato” e sconfitto da entità fisiche o virtuaIi, consente di disporre ―potenzialmente molte volte― dell’identità digitale di qualcun altro, in uno scenario comunemente chiamiamo “furto di identità.”

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

È proprio il processo di identificazione a distinguere le identità digitali (o schemi di identificazione elettronica) da mere credenziali di autenticazione che, sebbene anch’esse attestabili tramite molteplici fattori di autenticazione, non possono dare garanzie circa l’identità fisica del possessore di tali credenziali. Ciò è garantito soltanto da fonti autoritative che, in Europa, sono i singoli Stati membri per mezzo, appunto, degli schemi di identità elettronici notificati ai sensi del Regolamento (UE) №910/2014, detto Regolamento eIDAS.

Il Regolamento eIDAS

Vi sono molteplici dibattiti in corso in materia di identificazione elettronica, sia in ambito europeo (il Regolamento eIDAS appunto) che in ambito nazionale, dove esistono diverse normative, a partire dal CAD sino a quelle di rango inferiore, con valenze in specifici ambiti.

Sebbene vi siano differenze di interpretazione, tra i vari Stati dell’Unione, in merito al livello di garanzia offerto dalle modalità di identificazione de visu, “in persona,” rispetto a quelle “da remoto,” anche fra queste ultime esistono differenti opinioni. Per alcuni Stati la modalità di identificazione “da remoto” deve comprendere comunque la presenza di un operatore umano che, in tempo reale, intervista il richiedente e solo alla fine decide di rilasciargli la propria identità digitale. Per altri Stati, che pur concedono all’identificazione “da remoto” un livello di garanzia equiparabile a quella de visu, tale identificazione non può prescindere dalla presenza dell’operatore e della sua qualità di giudizio. Risultavano dunque escluse in Europa (o per lo meno non notificate al medesimo livello elevato), tutte le modalità “asincrone” in cui l’utente effettua una registrazione audiovisiva di sé mentre compie azioni richiestegli in automatico dal programma di identificazione.

Gli schemi di identificazione italiana, modello in Ue

Gli schemi di identificazione elettronica italiani notificati in Europa ai sensi del Regolamento eIDAS (SPID e CIE) hanno da sempre introdotto modalità di identificazione da remoto particolarmente innovative, che li rendono dei punti di riferimento per molti altri Stati che si stanno dotando con maggiore ritardo di propri schemi: siano essi basati su una smartcard (come la CIE), ovvero completamente immateriali (come SPID).

La nuova modalità da remoto senza operatore per avere SPID

Un esempio su tutti è la modalità di identificazione di SPID (notificata in Europa nel 2019 al livello di garanzia più elevato, ma attualmente possibile soltanto con alcuni IdP e soltanto per il Livello 2), che prevede di utilizzare un’app dell’IdP per effettuare, semplificando un poco, i seguenti passaggi:

  • scansionare la propria CIE o passaporto elettronico per leggere, tramite il chip NFC di tali documenti, rappresentazione digitale della foto a colori e dei dati identificativi del soggetto stampati fisicamente sul documento;
  • effettuare un selfie (foto e/o video di pochi secondi) con la telecamera frontale, mentre si effettua una serie casuale di piccole azioni così come richieste dall’app;
  • inviare le evidenze raccolte ai punti precedenti all’IdP, che li conserva.

Entro pochi giorni, l’identità digitale viene rilasciata mentre, nel backend, sono effettuati in maniera “asincrona” i seguenti controlli compensativi:

  • i dati digitali catturati dal documento elettronico sono convalidati verificando che i sigilli elettronici avanzati apposti su tali dati ne confermino l’origine e la validità;
  • un operatore esperto rivede l’intero processo di identificazione registrato dall’IdP, incluse tutte le prove digitali acquisite e la registrazione audiovisiva, confrontando il volto del richiedente con quello letto dal documento digitale;
  • viene controllato (tipicamente per due volte durante l’intero processo, di cui la seconda in differita dalla prima di diverse ore o giorni) che il documento non risulti denunciato come rubato o smarrito.

Solo quando tutti i tre controlli di cui sopra hanno esito positivo viene rilasciata l’identità digitale.

Le misure di sicurezza compensative

In questo caso, l’assenza di un operatore che in tempo reale interagisce con l’utente è stata rafforzata mediante misure di sicurezza “compensative,” volte cioè ad irrobustire comunque l’intero processo là dove sarebbe naturalmente più attaccabile sul piano della suddetta garanzia. Esempi di misure compensative, in questo caso, sono:

  • richiedere un secondo documento (la CNS ovvero il tesserino del codice fiscale) che, anch’esso fotografato fronte e retro dall’app, deve essere nelle disponibilità del richiedente;
  • la conservazione delle evidenze informatiche (soprattutto delle prove audiovisive) per svariati anni, come deterrente per il furto di identità;
  • la possibilità dell’operatore di rifiutarsi di accogliere l’istanza di ottenimento dell’identità digitale qualora sussista il minimo dubbio in merito all’identità dell’utente;
  • il controllo, in differita e in due tempi diversi non conoscibili a priori, della validità del documento.

In particolare, proprio questo ultimo controllo compensativo impedisce il cosiddetto attacco della “cameriera disonesta” (in inglese, evil maid), in cui il concierge dell’albergo che trattiene per poche ore i documenti di identità durante la procedura di check-in presso una struttura alberghiera (o, più in generale, un coinquilino), non farebbe comunque in tempo a completare il processo, poiché dovrebbe ancora avere disponibilità del documento giorni dopo. Sarebbe irrealistico non accorgersi per giorni del furto di un documento di identità.

Una ulteriore misura di sicurezza

Come anticipato, l’emergenza da Covid-19 ha ulteriormente aperto la porta ad un sempre maggior numero di servizi online che devono potersi affidare su identità digitali certe e non più sul mero possedimento delle credenziali di autenticazione di “qualcuno.”

A tale scopo è stata di recente autorizzata un’altra procedura sempre totalmente remota che, in analogia con quella precedentemente descritta, sostituisce la lettura tramite antenna NFC dei dati digitali contenuti nella CIE o nel passaporto digitale.

In questo caso, l’ulteriore controllo compensativo consiste nell’effettuare un piccolo bonifico bancario, con una causale riportante un codice univoco comunicato dall’IdP al cellulare tramite app, proveniente da un conto bancario intestato (o cointestato) al richiedente.

La titolarità del conto bancario da cui proviene l’importo, verificata dall’IdP e la presenza del codice comunicato all’utente nella causale del bonifico implicano che l’utente può effettuare operazioni dispositive su un conto a lui intestato.

In conclusione

L’unica limitazione della procedura di identificazione remota appena descritta è che è limitata all’ottenimento di credenziali SPID di Livello 2 e che, almeno fino a quando non sarà sottoposta, con esito positivo, ad una nuova procedura di notifica formale presso la Commissione Europea, non potrà essere utilizzata per autenticarsi a servizi transfrontalieri offerti da pubbliche amministrazioni estere ai sensi del Regolamento eIDAS.

Al contrario, in Italia, tale modalità costituirà un ulteriore impulso ai cittadini per dotarsi di identità digitali SPID da casa, rispettando tutte le misure di contrasto al Covid-19.

In aggiunta ad altre caratteristiche offerte da SPID, come la firma con SPID ovvero le identità digitali ad uso professionale, tale schema di identificazione elettronica si avvia ad essere usato sempre di più sia in contesti di smart working (i professionisti potranno dotarsi di un’identità per accedere, completamente da remoto, a una serie di servizi professionali), che di servizi digitali ove la sicurezza aumenta anche soltanto per via della garanzia ottenuta sostituendo l’identificazione elettronica laddove era prima richiesta un’autenticazione “non autoritativa”: si pensi, ad esempio, all’autenticazione federata fornita tramite le credenziali “prestate” da popolari piattaforme e-commerce, di social networking, ovvero altre tipologie di servizi in cloud SaaS.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 4