Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

identità digitale

InfoCert: “Ecco perché è sicuro fornire Spid via webcam”

di Carmine Auletta, Chief Innovation Officer di InfoCert

18 Nov 2016

18 novembre 2016

“Riconoscimento Web” è la modalità più “sicura” tra quelle disponibili (anche statisticamente) per l’ottenimento delle credenziali SPID. L’utente viene fotografato e filmato in primo piano e ad alta risoluzione con registrazione della sua voce. Restano nella disponibilità dell’Identity Provider anche alcuni dettagli del PC utilizzato dall’utente oltre a numero di telefono e carta di credito

È da alcuni giorni che, a seguito di un servizio video apparso su un quotidiano online, è in corso un dibattito sull’efficacia del riconoscimento web, una delle modalità offerte da InfoCert per l’identificazione del richiedente di un’identità digitale in ambito SPID.

In InfoCert siamo convinti che la funzione sociale svolta dai media meriti grande rispetto e che le inchieste giornalistiche – quando rigorose e complete – aiutino aziende come la nostra a migliorarsi costantemente.

Nel caso di specie, essendo oggetto dell’inchiesta un servizio giovane e innovativo, ci sono però aspetti che necessitano di precisi approfondimenti e maggiore chiarezza per sgomberare il campo da equivoci e polemiche.

Prima di spiegare perché il Riconoscimento Web è in sostanza la modalità più “sicura” tra quelle disponibili (anche statisticamente) per l’ottenimento delle credenziali SPID, è opportuna una premessa.

Nel servizio video da cui si è originato il suddetto dibattito, non sono emersi – vogliamo ritenere per esigenze di sintesi giornalistica – alcuni fattori che avrebbero di certo mutato la percezione dell’accaduto.

Il servizio, infatti, ha posto l’accento sulla mera contraffazione di un documento cartaceo d’identità che, esibito via webcam all’operatore in remoto, avrebbe – da solo – tratto in inganno quest’ultimo determinando così il vulnus dell’intera metodologia d’identificazione.

In verità, la procedura per il riconoscimento web, frutto di anni di ricerca e sviluppo e di un rigoroso iter autorizzativo presso AgID ed il Garante per la Privacy  – oltre a quanto semplicisticamente mostrato nel reportage – prevede la raccolta di una serie di informazioni addizionali rispetto a quelle ricavabili dalla semplice esibizione del documento d’identità e del codice fiscale quali, ad esempio, il numero di cellulare del richiedente e il numero di una sua carta di credito (entrambi rilasciati a seguito di un processo di identificazione del titolare).

Come detto – non solo nell’inchiesta iniziale ma anche in talune successive analisi comparse su altri media tra cui la stessa Agenda Digitale – le critiche sono state imperniate principalmente su un elemento: la contraffazione del documento cartaceo mostrato via webcam.

Come se la falsificazione non avvenisse, purtroppo, quotidianamente in tanti altri ambiti della vita “non digitale” (e in misura ben maggiore come più avanti dimostreremo).

Lo evidenziano le cronache e ci limiteremo ad alcune delle più recenti.

Come riportato da un’agenzia di stampa pochi giorni fa a Napoli, i carabinieri hanno arrestato un uomo che gestiva una stamperia digitale clandestina, sequestrando quasi 6.000 documenti in bianco tra carte di identità, visti e permessi di soggiorno, patenti e passaporti, in attesa di essere completati con foto e generalità, nonché timbri e sigilli di Pubbliche Amministrazioni.

L’estate scorsa un inchiesta giornalistica riferiva che, nel giro di pochi mesi, erano stati registrati furti di 1.300 carte d’identità in bianco a Nocera Inferiore, 500 a Foggia, 970 ad Albano e 1000 a Campobasso, evidenziando come le carte di identità rubate finiscano abitualmente nelle mani della criminalità che le immette nel mercato clandestino a prezzi irrisori (da 13 euro a salire).

In un simile contesto, conveniamo che il modo più efficace per verificare la validità di un documento è quello di riuscire ad incrociare l’identità con il maggior numero possibile di banche dati. Ed è proprio in questa direzione che sta lavorando AGID attraverso la stipula di apposite convenzioni con vari soggetti istituzionali detentori di tali banche dati. Tuttavia il ricorso ad esse non consentirebbe da solo di prevenire fenomeni collusivi come, ad esempio, quello riportato recentemente dalla stampa, in cui si riferisce di un celibe napoletano che, rivoltosi allo sportello per chiedere un certificato, si è scoperto sposato – a sua insaputa – con un’extracomunitaria da ben due anni: l’indagine ha rapidamente rivelato gravi carenze istruttorie, documentazione non conforme e comportamento superficiale e negligente dell’ufficiale di stato civile.

Queste cronache ci confermano che tali reati – nel mondo “non digitale” – si consumano facilmente attraverso tre modalità principali e cioè per mezzo di: tecnologie di stampa ormai capaci di imitazioni a prova di esperti (peraltro dovremmo presupporre che, presso ogni sportello, operino davvero esperti in materia di contraffazione, per giunta dotati di strumenti tecnici idonei a rivelarle); furti di documenti in bianco; connivenza di funzionari infedeli pronti a rilasciare documenti formalmente ineccepibili per tornaconto economico o “pressioni ambientali”.

Senza trascurare che un riconoscimento “de visu” presso uno sportello lascia pochissime tracce: i ricordi nella memoria (speriamo buona) dell’operatore che gestisce la pratica e qualche firma artefatta su moduli cartacei.

Nel riconoscimento web, invece, chi compie (o prova a compiere) il reato viene fotografato e filmato in primo piano e ad alta risoluzione con registrazione della sua voce. A questo si deve aggiungere che – dopo la procedura – restano nella disponibilità dell’Identity Provider anche alcuni dettagli del PC utilizzato dall’utente oltre ai già citati numero di telefono e carta di credito.

Queste informazioni, archiviate in una banca dati per almeno 20 anni, hanno ovviamente un impatto enorme in termini di rapida ed efficace perseguibilità del reo.

Ma il riconoscimento web ha altri due importanti effetti.

Il primo è la protezione del sistema nel suo complesso da condotte di operatori infedeli o non professionali disponibili ad “elargire” eventuali identità digitali: anch’essi vengono infatti registrati in audio e video durante tutta l’operazione di identificazione, dando evidenza di eventuali anomalie procedurali rispetto a quanto rigorosamente previsto.

Il secondo risultato è la forza preventiva, insita nel riconoscimento web, dei reati consumabili da potenziali malintenzionati che, consapevoli delle tante e tali prove raccolte a loro carico durante la procedura, rinunciano ai propositi criminali: basti pensare, ad esempio, all’effetto deterrente della videosorveglianza presso banche ed esercizi commerciali, con la fondamentale differenza che l’utente,  durante il riconoscimento web, viene videoregistrato  e fotografato in primo piano e in alta risoluzione – senza chances di nascondersi o camuffarsi per ripararsi dalle riprese – e ne viene addirittura conservata la traccia biometrica vocale.

L’efficacia dell’effetto deterrente è facilmente riscontrabile dalla nostra esperienza in ambito bancario, notoriamente uno dei settori più severi nella verifica delle identità dei propri clienti.

Secondo una ricerca CRIF, nel solo 2015 i casi di frode creditizia mediante furto d’identità sono stati 25.300 con una perdita economica superiore a 172 milioni di euro, quindi con un impatto percentuale dello 0,063% sul numero di conti correnti in Italia (pari a 40,18 milioni, secondo Banca d’Italia).

Un trend costante da anni, e certamente precedente a SPID, al cui contrasto il Riconoscimento Web di InfoCert dà un contributo significativo.

Infatti, nell’ultimo triennio, l’adozione del riconoscimento web di InfoCert in ambito bancario ha fatto registrare un tasso di frode pari appena allo 0,012% su decine di migliaia di riconoscimenti effettuati. E in questi rarissimi casi siamo riusciti a fornire alle autorità competenti tutti i dettagli necessari per perseguire efficacemente i responsabili.

D’altronde il valore del riconoscimento web di InfoCert è confermato dalla decisione di alcune banche di profilo internazionale che, dopo averne testato l’assoluta affidabilità in Italia, hanno deciso di estenderne l’adozione anche al di fuori dei nostri confini.

Come se non bastasse, sulla scia di quanto avvenuto con successo in Italia, anche le Autorità tedesche e spagnole hanno autorizzato, nei rispettivi Paesi, l’uso del riconoscimento Web per l’apertura di conti correnti bancari.  

Sulla base di questi risultati, in InfoCert stiamo lavorando da mesi per rinforzare il processo “de visu” allo sportello ed allinearlo alla medesima procedura prevista nel riconoscimento web, proprio in virtù del suo potenziale di deterrenza e repressione di eventi fraudolenti nonché di tutela del sistema nel suo complesso.

È noto che ogni cambiamento richiede tempo per affermarsi e deve spesso vincere timori e diffidenze, pur comprensibili. È normale che sia così anche nel caso della trasformazione digitale che resta, però, la sfida da vincere per l’evoluzione del nostro Paese e una strada da continuare a percorrere senza tentennamenti per migliorare trasparenza, efficienza e sicurezza.  Come azienda che da anni è impegnata sul fronte dell’innovazione digitale, siamo consapevoli che i successi tangibili e i benefici oggettivi già conseguiti nel settore privato, grazie a soluzioni apparse inizialmente rivoluzionarie e dimostratesi nel tempo affidabili, sono oggi davvero alla portata del settore pubblico, dei cittadini e del sistema Italia nel suo complesso.

Per coglierli appieno è fondamentale una maggiore consapevolezza.

 

 

  • Franz

    La difesa d’ufficio ci sta tutta. In ogni caso, alcune affermazioni lasciano perplessi: “dopo la procedura restano nella disponibilità dell’Identity Provider anche alcuni dettagli del PC utilizzato dall’utente oltre ai già citati numero di telefono e carta di credito”. Posto che quando ho richiesto un’identità SPID nessuno ha chiesto della mia carta di credito (il non averla, p.e., è mancanza di requisito per il rilascio dell’identità??), affermare che alcuni dettagli del pc restano nella disponibilità dell’Identity Provider non vuol dire nulla. Anche risalendo all’indirizzo IP, cosa cambia? E se utilizzassi un pc e connessione di un internet caffè? Resto perplesso. Inoltre, la possibilità che un privato possa “incrociare” in autonomia banche dati pubbliche, lascia qualche dubbio.

  • Giusy

    Io non ho dubbi, se proprio qualcuno un giorno deciderà di rubare la mia identità digitale, spero lo faccia attraverso la WebId.
    In 20 anni dovrei riuscire ad accorgermene.

  • Valerio

    Sono uno che qualcosa di digitalizzazione capisce e SPID è un argomento che mi interessa da quando è nato con il governo MONTI prima e LETTA poi…
    Onestamente ritengo che tutto sia sempre connesso al solito gioco politico… non è un caso che il Fatto Quotidiano abbia fatto uscire un servizio del genere a 1 mese dal referendum… Non è un caso che diverse parti politiche (vedi l’ignoranza della deputata a 5 stelle nel parlare in merito all’argomento) siano intervenute portando l’attenzione come al solito l’attenzione altrove… Trovando la scusa per attaccare e altro.

    In questo caso l’ogettività per fortuna ha la meglio:
    Se qualcuno alle poste mi identifica è molto più probabile che riesca a fregarlo rispetto ad un controllo cosi dettagliato fatto con una webcam. Semplice.

    E a Franz dico: ma le domande che fai sono serie o sarcastiche? La Carta di Credito è necessaria NON per SPID ma per il servizio, che è a pagamento… quindi il non averla non ti consente, nel 2016, di richiedere qualunque servizio online.

    Comunque… SPID è un progetto che per una volta è una cosa buona per l’italia… questo strumento aiuta chi non può prendersi 2h di permesso per andare in un ufficio postale a fare le cose quando vogliamo… Ma che vogliamo di più?

  • Pignolo

    Nessuno ha smesso di usare le carte di credito per fare acquisti perché una carta è stata clonata. Tanto meno ha smesso di comprare su Amazon o eBay perché qualcuno è stato truffato. I vantaggi, per ora, superano di gran lunga gli svantaggi.
    Ci sta, ovviamente, che ogni evento sia una lezione per rendere il sistema più sicuro, ma senza dimenticare che la sicurezza assoluta non esiste in nessun campo della vita. E un sistema che permette di tenere traccia dell’accaduto è certamente più robusto di uno che si basa solo sulle dichiarazioni dei soggetti coinvolti! Fra l’altro, quante volte presentando un documento fisicamente, lo avete visto analizzare a fondo, con lente d’ingrandimento, lampada UV e altro?

  • Libero Pensare

    Queste modalità che permettono di essere identificati da remoto, non saranno infallibili, ma a mio avviso è il compromesso per avere una notevole semplificazione nei processi digitali. Basti pensare in che modo questo possa agevolare la digitalizzazione del Paese, portando gli strumenti a disposizione dei cittadini.(Basta code, permessi, uffici, amministrazioni..) Inoltre, di per sé, il sistema mette in evidenza le lacune già rilevabili nei documenti cartacei e su questo, invece, si dovrebbe lavorare per avere delle tecnologie più affidabili. (CIE, ANPR, etc..)
    In sostanza, a mio parere, ritengo che lo sforzo di diffondere uno strumento di semplificazione a portata di tutti, abbia un prezzo da pagare soprattutto nelle fasi iniziali, ma che questo porterà sicuramente un beneficio nelle fasi di maturità, quando si riusciranno anche ad individuare i modus operandi dei truffatori 2.0, anche grazie alle evidenze che verranno raccolte e salvate da questi processi.

  • Ripanda

    Rilevo che i requisiti per ottenere via web lo SPID sono differenti a seconda del soggetto (identity provider) abilitato. Sicuramente se si utilizza Infocert, vale quanto riportato nell’articolo (è l’unico a pagamento per i cittadini), negli altri casi i requisiti cambiano a seconda del provider e sarebbe da verificare se tutti garantiscono la completa e corretta identificazione del soggetto richiedente.
    http://www.spid.gov.it/richiedi-spid

  • calamarim

    E’ molto interessante sapere che l’Identity Provider resta in possesso di dati personali del richiedente la SPID per 20 anni.
    Mi chiedo pero’ dove questi dati personali siano elencati, visto che alcuni di essi (video, indirizzo IP, etc) sono decisamente fuori dalle aspettative e dalla percezione del cittadino-utente.
    Vorrei vederli chiaramente elencati da qualche parte ben visibile sul sito dell’IP.
    Forse anche il Garante Privacy sarebbe d’accordo, visto che viviamo nel paese delle liberatorie incomprensibili ed inutili.
    Dal punto di vista del business, infine, un operatore digitale che si sforzasse di agire in trasparenza, senza aspettare di doversi giustificare per fare disclosure, farebbe un buon servizio a se stesso ed ai cittadini-clienti (e lo dico, appunto, anche da cliente).

  • Xmas

    qua pare che non sia proprio “…sicuro fornire Spid via webcam”
    http://www.ilfattoquotidiano.it/2016/11/04/identita-digitale-ce-un-buco-nella-sicurezza-cosi-ti-divento-matteo-renzi/3093093/
    chi avrà ragione?

Articoli correlati