SPID, se il documento è falso: i problemi di sicurezza

L’adozione di SPID da parte delle amministrazioni richiede la massima attenzione per il rischio che le banche dati potrebbero essere modificate per errore o per dolo. Un problema facilmente gestibile se l’identità del possessore di SPID è certa ma che può diventare un grosso problema se l’identità è falsa. Il recente caso di Anis Amri, l’attentatore di Berlino ucciso a Sesto S. Giovanni ha riproposto all’attenzione il mercato dei documenti falsi di identità

05 Gen 2017
Paolino Madotto

manager esperto di innovazione, blogger e autore del podcast Radio Innovazione

italy-fake-national-170104234024

In una recente intervista sul Corriere delle Comunicazioni Roberto Baldoni, direttore Cyber Intelligence and information Security Center dell’Università “Sapienza”, riconosce i limiti del processo di identificazione presentando soluzioni che tuttavia contengono limiti di privacy che consentirebbero, in fase di identificazione, ad un operatore privato di possedere informazioni delicate sul fronte della privacy. A mio avviso la strada maestra rimane la certificazione presso le forze dell’ordine., tuttavia sarebbe opportuno che si sviluppasse un tavolo di lavoro dal nuovo Governo coinvolgendo esperti ed interessati. La notizia relativa al furto di identità di cui Yahoo! è stata oggetto dovrebbe tutti quanti far riflettere sull’importanza di agire con attenzione senza tuttavia fermare i servizi online e le loro potenzialità. E’ di questi giorni la notizia che l’attentatore di Berlino ucciso a Sesto S. Giovanni disponesse di numerosi documenti falsi di identificazione procurati in Italia. D’altra parte è bastata una piccola ricerca su Google per trovare un sito che propone documenti “fake” degli originali. Questo ripropone il problema di come effettuare l’accreditamento delle identità SPID.

Un altro punto critico dell’attuale sistema messo in piedi dalle regole tecniche di SPID è ciò che accade per le amministrazioni come “service provider”.

Posto che ormai risulta evidente che le identità SPID emesse fino ad ora ed in corso di emissione potrebero essere tutte o in parte false (nessuno è in grado di dirlo con certezza) per gli ormai ben noti problemi di identificazione, è necessario valutare gli impatti che possono esserci per le amministrazioni che hanno lo hanno adottato o lo stanno per fare.

Qualora l’identità SPID venga adottata da un’amministrazione per consentire ai cittadini la modifica dei propri dati, l’inserimento di una domanda e in generale qualsiasi operazione “dispositiva” questo può provocare, nel tempo, errori nelle banche dati.

Gli “errori” che possono essere provocati nelle banche dati sono sia di carattere involontario (ad esempio un cittadino che inserisce degli dati errati nella via di residenza o nei campi messi a disposizione per la modifica) sia dati criminalmente sbagliati inseriti da false identità SPID emesse a seguito del problematico processo di emissione di cui si è parlato ampliamanete negli articoli precedenti.

In tutti e due i casi, involontario o criminalmente sbagliati, vengono modificate le banche dati con dati non veritieri. Queste modifiche potrebbero ripetersi nel tempo e, soprattutto nel caso di dati criminalmente sbagliati, possono non essere notificate all’interessato rendendo impossibile richiederne il ripristino corretto.

Le banche dati, con il passare del tempo, rischiano di diventare sempre più inaffidabili e i cittadini interessati rischiano di essere coinvolti in spiacevoli situazioni dovute a questa mancanza di congruità dei dati. E’ evidente che se le banche dati della PA diventano inaffidabili ne abbiamo un danno sistemico rilevante per tutto il Paese, le modifiche debbono essere considerate con particolare attenzione.

Ad esempio un cittadino potrebbe essere coinvolto nella denuncia falsa di un incidente automobilistico (attività criminale sin troppo diffusa ultimamente), un contratto di affitto mai fatto (con il rischio che i beneficiari possano essere latitanti o organizzazioni criminali), un cambio di residenza mai richiesto, ecc.

Questa mancanza di integrità delle banche dati rischia di costringere un numero molto alto di cittadini a richiedere modifiche dei propri dati all’amministrazione, probabilmente direttamente allo sportello generando degli extracosti imprevisti e disagi inimmaginabili ai cittadini.

Un sistema che è nato per eliminare la burocrazia potrebbe trasformarsi in un vero incubo burocratico con cittadini che inseguono le amministrazioni per il ripristino dei dati corretti e amministrazioni che non sono in grado di essere certe che non vi siano cittadini che ne approfittino per cambiare i dati a loro vantaggio.

E’ vero che le amministrazioni mantengono i dati di log delle modifiche nei database rendendo così semplice inseguire eventuali errori o manomissioni ma questi dati dopo un certo numero di anni potrebbero essere cancellati. E’ dunque auspicabile che le amministrazioni che vogliano utilizzare SPID si facciano carico dei problemi che potrebbero incontrare, disegnando l’uso di SPID tenendo in considerazione modalità che tutelino esse e il cittadino.

E’ auspicabile che l’adozione di SPID venga fatta attraverso una analisi di impatto, casi d’uso e lo studio di meccanismi specifici che consentano “rollback” anche dopo molti anni.

Sarebbe consigliabile anche prendere in esame i meccanismi adottati dai diversi identity provider per valutare che tipo di garanzie vengono offerte e prendere eventuali contromisure a protezione dei dati o valutare quali operazioni rendere disponibili via SPID (anche livello di sicurezza SPID elevati possono soffrire di questo problema).

Il processo di adozione di SPID per un’amministrazione impone alcuni step come costruire una “mappa” delle banche dati interessate da eventuali servizi dispositivi o informativi considerando l’impatto di modifiche non corrette o volutamente fallaci; considerare la privacy dei dati coinvolti; considerare il processo necessario al ripristino dei dati corretti in caso di errore o dati falsi; considerare eventuali rivalse sugli Identity provider o terzi che per negligenza abbiano creato le condizioni di modifiche errate; considerare meccanismi per evidenziare modifiche “a rischio” tramite specifici “trigger”.

E’ anche opportuno individuare le operazioni consentite e quelle non consentite attraverso SPID e un congruo processo di test che consenta di evitare che le interfacce di connessione ai servizi SPID possano essere oggetto di errori tecnici.

Infine è necessario che venga istituito un processo di controllo e “rollback” adeguato che riduca notevolmente i casi di errore. Da questo punto di vista può essere utile anche impiegare meccanismi di machine learning che consentano di automatizzare il controllo rilevando in modo automatico le anomalie e segnalandole per tempo.

Lungi dall’essere una cosa semplice, l’adozione di SPID, può contenere numerose insidie per le amministrazioni che intendono avvalersene.

In attesa che l’AgID e il Governo mettano in atto accorgimenti per garantire la necessaria sicurezza di SPID procedere con cautela e coscienziosità può essere la strategia consigliata per evitare problemi ai cittadini e costi all’amministrazione. Esiste la necessità di tenere insieme la necessaria e urgente digitalizzazione del Paese con la altrettanto necessaria sicurezza e privacy dei cittadini e dello Stato. La fiducia è il principale driver di diffusione e garanzia per i servizi online, ognuno di noi è chiamato a lavorare per aumentarla.

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2