Clusit: "Spid è sicuro, grossi oneri sui gestori" - FPA

Clusit: “Spid è sicuro, grossi oneri sui gestori”

Home PA Digitale Servizi Digitali Clusit: “Spid è sicuro, grossi oneri sui gestori”

L’aver affidato la gestione di servizi fiduciari di autenticazione a soggetti privati, potrebbe creare nuovi poli di aggregazione e di profilazione dei comportamenti in rete, causando abusi e violazioni della sfera privata? Vediamo di chiarirci le idee

16 Marzo 2016

L

Luca Bechelli, Clusit

Il 15 marzo l’infrastruttura di gestione delle identità digitali SPID è diventata finalmente operativa. Oggi ogni cittadino può quindi richiedere ad un numero sempre crescente di Gestori di Identità (alla data tre – Poste Italiane, Infocert e Telecom Italia, ma si parla di altri soggetti che potrebbero entrare a breve nel novero) di ottenere un’Identità Digitale valida per l’accesso ad un insieme non trascurabile di servizi (300 circa) delle prime 10 Pubbliche Amministrazione aderenti.

L’infrastruttura è stata costituita, è opportuno ricordarlo, introducendo criteri di sicurezza a garanzia dei cittadini e dei fornitori di servizi pubblici e privati aderenti, anche in accordo alla direttiva europea EiDAS che promette in futuro l’interoperabilità delle Identità Digitali a livello comunitario.

Nonostante le evidenti opportunità che questa iniziativa promette ai cittadini ed alle imprese, in molti tuttavia si chiedono se l’aver affidato la gestione di servizi fiduciari di autenticazione a soggetti privati (i Gestori) non abbia introdotto il rischio di creare nuovi poli di aggregazione (big data) e di profilazione delle informazioni relative ai comportamenti in rete, causando abusi e violazioni della sfera privata e della privacy dei cittadini.

Per poter rispondere a questa domanda cerchiamo quindi di capire quali saranno le informazioni a cui i Gestori avranno effettivamente accesso. Secondo lo schema di norme (in primis il DPCM 24 ottobre 2014), regolamenti, linee guida tecniche e contratti che disciplinano il ruolo, le responsabilità e gli obblighi dei Gestori, le informazioni che questi potranno raccogliere sono relative a:

  • dati “identificativi” (nome, cognome, sesso, data di nascita, codice fiscale) e gli estremi di un documento di identità valido (oppure le evidenze informatiche che dimostrano il possesso di una CIE/CNS, di una firma elettronica qualificata o di una firma digitale, per garantire il rilascio dell’identità digitale in modo sicuro);
  • “attributi secondari”, (quanto meno) un indirizzo di posta elettronica e un recapito telefonico, con lo scopo di consentire l’erogazione del servizio, il ricevimento delle notifiche o lo svolgimento delle procedure di autenticazione (ad esempio, laddove il telefono cellulare sia utilizzato per ricevere le cosiddette OTP – password monouso);
  • le registrazioni delle autenticazioni svolte verso i siti dei Fornitori di Servizi accreditati.

Quest’ultima categoria di informazioni è la più rilevante dal punto di vista della privacy dei cittadini: i Gestori sono obbligati a mantenere tali dati per 24 mesi in un apposito “Registro” (un archivio analogo sarà mantenuto dai Fornitori di Servizi) costruito e gestito con mezzi e procedure che ne devono assicurare la riservatezza, l’inalterabilità, l’integrità e l’attuazione di idonee misure di sicurezza ai sensi della normativa vigente sulla tutela dei dati personali. L’accesso ai dati, conservati in modo cifrato, sarà riservato a personale espressamente autorizzato, e non avrà altro scopo che risolvere eventuali contenziosi relativi all’utilizzo delle identità digitali.

Detto che il Gestore ha tecnicamente la possibilità di raccogliere queste informazioni, per quale motivo rendere addirittura obbligatoria la loro conservazione? Che utilizzo è possibile di tali dati?

Per rispondere a questa domanda dobbiamo tornare alla definizione di identità digitale introdotta da SPID: essa vuole essere, per sua natura, un’identità digitale “imputabile”, ovvero in grado di ricondurre alla persona fisica le azioni svolte sui servizi accreditati, e garantire al cittadino un livello opportuno di sicurezza che riduca per quanto possibile i rischi legati, ad esempio, al furto di identità, ovvero che gli siano attribuiti comportamenti ed azioni non svolte.

Il Registro che contiene i dati di accesso costituisce uno dei mezzi previsti per questo scopo: uno strumento contenente evidenze informatiche utilizzabili come prova in caso di contenzioso, a tutela di tutti gli attori che aderiscono al sistema SPID.

I Gestori, dal canto loro, non potranno utilizzare tale registro per operazioni diverse dalla risoluzione di contenziosi e dall’accertamento di reati, ed a farsi garante di tale restrizione vi è tutto un sistema di controlli posto in essere fin dal progetto legislativo iniziale. In primo luogo la regolamentazione tecnica emessa da AgID, l’Agenzia per l’Italia Digitale, che svolge altresì il processo di accreditamento dei Gestori e verso i quali eserciterà anche un’attività di vigilanza e di monitoraggio continuo. Seguono poi la valutazione e la verifica periodica da parte di Organismi di Valutazione accreditati secondo norme in corso di emanazione da parte della stessa AgID, con l’obiettivo di verificare che le misure di sicurezza poste in essere dal Gestore siano adeguate e, soprattutto, che si mantengano al passo con i tempi. Non dobbiamo dimenticare poi il ruolo dell’Autorità Garante per la Protezione dei Dati Personali, coinvolta sia nella definizione delle norme tecniche che nelle attività di vigilanza a cui i Gestori saranno soggetti.

Può bastare tutto questo per evitare abusi nella gestione dei dati personali dei cittadini? Siamo nel mondo del possibile, pertanto la risposta non può essere negativa. Chi scrive suggerisce però di affrontare questa sfida intellettuale partendo dalla realtà di oggi: quando i cittadini affidano ai vari social network oppure ai “big” mondiali dell’Information Technology i propri dati, che garanzie hanno oggi? Oltre alla profilazione commerciale che questi soggetti esercitano (loro sì) in modo sempre più invasivo, dove mantengono queste informazioni? Quali leggi, di quali paesi, le tutelano?