Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

InfoCert: “Ecco perché è sicuro fornire Spid via webcam”

“Riconoscimento Web” è la modalità più “sicura” tra quelle disponibili (anche statisticamente) per l’ottenimento delle credenziali SPID. L’utente viene fotografato e filmato in primo piano e ad alta risoluzione con registrazione della sua voce. Restano nella disponibilità dell’Identity Provider anche alcuni dettagli del PC utilizzato dall’utente oltre a numero di telefono e carta di credito

18 Nov 2016

Carmine Auletta, Chief Innovation Officer di InfoCert


È da alcuni giorni che, a seguito di un servizio video apparso su un quotidiano online, è in corso un dibattito sull’efficacia del riconoscimento web, una delle modalità offerte da InfoCert per l’identificazione del richiedente di un’identità digitale in ambito SPID.

In InfoCert siamo convinti che la funzione sociale svolta dai media meriti grande rispetto e che le inchieste giornalistiche – quando rigorose e complete – aiutino aziende come la nostra a migliorarsi costantemente.

Nel caso di specie, essendo oggetto dell’inchiesta un servizio giovane e innovativo, ci sono però aspetti che necessitano di precisi approfondimenti e maggiore chiarezza per sgomberare il campo da equivoci e polemiche.

Prima di spiegare perché il Riconoscimento Web è in sostanza la modalità più “sicura” tra quelle disponibili (anche statisticamente) per l’ottenimento delle credenziali SPID, è opportuna una premessa.

Nel servizio video da cui si è originato il suddetto dibattito, non sono emersi – vogliamo ritenere per esigenze di sintesi giornalistica – alcuni fattori che avrebbero di certo mutato la percezione dell’accaduto.

Il servizio, infatti, ha posto l’accento sulla mera contraffazione di un documento cartaceo d’identità che, esibito via webcam all’operatore in remoto, avrebbe – da solo – tratto in inganno quest’ultimo determinando così il vulnus dell’intera metodologia d’identificazione.

In verità, la procedura per il riconoscimento web, frutto di anni di ricerca e sviluppo e di un rigoroso iter autorizzativo presso AgID ed il Garante per la Privacy – oltre a quanto semplicisticamente mostrato nel reportage – prevede la raccolta di una serie di informazioni addizionali rispetto a quelle ricavabili dalla semplice esibizione del documento d’identità e del codice fiscale quali, ad esempio, il numero di cellulare del richiedente e il numero di una sua carta di credito (entrambi rilasciati a seguito di un processo di identificazione del titolare).

Come detto – non solo nell’inchiesta iniziale ma anche in talune successive analisi comparse su altri media tra cui la stessa Agenda Digitale – le critiche sono state imperniate principalmente su un elemento: la contraffazione del documento cartaceo mostrato via webcam.

Come se la falsificazione non avvenisse, purtroppo, quotidianamente in tanti altri ambiti della vita “non digitale” (e in misura ben maggiore come più avanti dimostreremo).

Lo evidenziano le cronache e ci limiteremo ad alcune delle più recenti.

Come riportato da un’agenzia di stampa pochi giorni fa a Napoli, i carabinieri hanno arrestato un uomo che gestiva una stamperia digitale clandestina, sequestrando quasi 6.000 documenti in bianco tra carte di identità, visti e permessi di soggiorno, patenti e passaporti, in attesa di essere completati con foto e generalità, nonché timbri e sigilli di Pubbliche Amministrazioni.

L’estate scorsa un inchiesta giornalistica riferiva che, nel giro di pochi mesi, erano stati registrati furti di 1.300 carte d’identità in bianco a Nocera Inferiore, 500 a Foggia, 970 ad Albano e 1000 a Campobasso, evidenziando come le carte di identità rubate finiscano abitualmente nelle mani della criminalità che le immette nel mercato clandestino a prezzi irrisori (da 13 euro a salire).

In un simile contesto, conveniamo che il modo più efficace per verificare la validità di un documento è quello di riuscire ad incrociare l’identità con il maggior numero possibile di banche dati. Ed è proprio in questa direzione che sta lavorando AGID attraverso la stipula di apposite convenzioni con vari soggetti istituzionali detentori di tali banche dati. Tuttavia il ricorso ad esse non consentirebbe da solo di prevenire fenomeni collusivi come, ad esempio, quello riportato recentemente dalla stampa, in cui si riferisce di un celibe napoletano che, rivoltosi allo sportello per chiedere un certificato, si è scoperto sposato – a sua insaputa – con un’extracomunitaria da ben due anni: l’indagine ha rapidamente rivelato gravi carenze istruttorie, documentazione non conforme e comportamento superficiale e negligente dell’ufficiale di stato civile.

Queste cronache ci confermano che tali reati – nel mondo “non digitale” – si consumano facilmente attraverso tre modalità principali e cioè per mezzo di: tecnologie di stampa ormai capaci di imitazioni a prova di esperti (peraltro dovremmo presupporre che, presso ogni sportello, operino davvero esperti in materia di contraffazione, per giunta dotati di strumenti tecnici idonei a rivelarle); furti di documenti in bianco; connivenza di funzionari infedeli pronti a rilasciare documenti formalmente ineccepibili per tornaconto economico o “pressioni ambientali”.

Senza trascurare che un riconoscimento “de visu” presso uno sportello lascia pochissime tracce: i ricordi nella memoria (speriamo buona) dell’operatore che gestisce la pratica e qualche firma artefatta su moduli cartacei.

Nel riconoscimento web, invece, chi compie (o prova a compiere) il reato viene fotografato e filmato in primo piano e ad alta risoluzione con registrazione della sua voce. A questo si deve aggiungere che – dopo la procedura – restano nella disponibilità dell’Identity Provider anche alcuni dettagli del PC utilizzato dall’utente oltre ai già citati numero di telefono e carta di credito.

Queste informazioni, archiviate in una banca dati per almeno 20 anni, hanno ovviamente un impatto enorme in termini di rapida ed efficace perseguibilità del reo.

Ma il riconoscimento web ha altri due importanti effetti.

Il primo è la protezione del sistema nel suo complesso da condotte di operatori infedeli o non professionali disponibili ad “elargire” eventuali identità digitali: anch’essi vengono infatti registrati in audio e video durante tutta l’operazione di identificazione, dando evidenza di eventuali anomalie procedurali rispetto a quanto rigorosamente previsto.

Il secondo risultato è la forza preventiva, insita nel riconoscimento web, dei reati consumabili da potenziali malintenzionati che, consapevoli delle tante e tali prove raccolte a loro carico durante la procedura, rinunciano ai propositi criminali: basti pensare, ad esempio, all’effetto deterrente della videosorveglianza presso banche ed esercizi commerciali, con la fondamentale differenza che l’utente, durante il riconoscimento web, viene videoregistrato e fotografato in primo piano e in alta risoluzione – senza chances di nascondersi o camuffarsi per ripararsi dalle riprese – e ne viene addirittura conservata la traccia biometrica vocale.

L’efficacia dell’effetto deterrente è facilmente riscontrabile dalla nostra esperienza in ambito bancario, notoriamente uno dei settori più severi nella verifica delle identità dei propri clienti.

Secondo una ricerca CRIF, nel solo 2015 i casi di frode creditizia mediante furto d’identità sono stati 25.300 con una perdita economica superiore a 172 milioni di euro, quindi con un impatto percentuale dello 0,063% sul numero di conti correnti in Italia (pari a 40,18 milioni, secondo Banca d’Italia).

Un trend costante da anni, e certamente precedente a SPID, al cui contrasto il Riconoscimento Web di InfoCert dà un contributo significativo.

Infatti, nell’ultimo triennio, l’adozione del riconoscimento web di InfoCert in ambito bancario ha fatto registrare un tasso di frode pari appena allo 0,012% su decine di migliaia di riconoscimenti effettuati. E in questi rarissimi casi siamo riusciti a fornire alle autorità competenti tutti i dettagli necessari per perseguire efficacemente i responsabili.

D’altronde il valore del riconoscimento web di InfoCert è confermato dalla decisione di alcune banche di profilo internazionale che, dopo averne testato l’assoluta affidabilità in Italia, hanno deciso di estenderne l’adozione anche al di fuori dei nostri confini.

Come se non bastasse, sulla scia di quanto avvenuto con successo in Italia, anche le Autorità tedesche e spagnole hanno autorizzato, nei rispettivi Paesi, l’uso del riconoscimento Web per l’apertura di conti correnti bancari.

Sulla base di questi risultati, in InfoCert stiamo lavorando da mesi per rinforzare il processo “de visu” allo sportello ed allinearlo alla medesima procedura prevista nel riconoscimento web, proprio in virtù del suo potenziale di deterrenza e repressione di eventi fraudolenti nonché di tutela del sistema nel suo complesso.

È noto che ogni cambiamento richiede tempo per affermarsi e deve spesso vincere timori e diffidenze, pur comprensibili. È normale che sia così anche nel caso della trasformazione digitale che resta, però, la sfida da vincere per l’evoluzione del nostro Paese e una strada da continuare a percorrere senza tentennamenti per migliorare trasparenza, efficienza e sicurezza. Come azienda che da anni è impegnata sul fronte dell’innovazione digitale, siamo consapevoli che i successi tangibili e i benefici oggettivi già conseguiti nel settore privato, grazie a soluzioni apparse inizialmente rivoluzionarie e dimostratesi nel tempo affidabili, sono oggi davvero alla portata del settore pubblico, dei cittadini e del sistema Italia nel suo complesso.

Per coglierli appieno è fondamentale una maggiore consapevolezza.

Articolo 1 di 2