Combattere il cybercrime grazie al Sistema pubblico dell’identità digitale: ecco come

Siamo, non è una novità, schiavi dell’immagine e dell’impatto sul momento. Molti mettono, nelle proprie risoluzioni per l’anno nuovo, mirabolanti percorsi in palestre piene di ogni tipo di macchinari, anziché fare esercizi a corpo libero che possono tranquillamente essere svolti in casa. Nella tecnologia cerchiamo in modo ossessivo soluzioni fantascientifiche, trascurando spesso elementi di base e fondamentali. In altre parole, siamo più ossessionati da ciò che è sexy, che da ciò che è utile.

Prendiamo, ad esempio, lo svilupparsi del tema della sicurezza delle infrastrutture critiche nazionali e in particolare di quelle della PA. Dopo esserci mossi con mostruoso e colpevole ritardo (la prima direttiva a riguardo è il DPCM 24 febbraio 2013 del governo Monti, quando ormai da anni tutti gli esperti di settore esprimevano allarme per la mancanza di una strategia italiana in merito), la pubblica amministrazione centrale ha fatto vari passi avanti nel 2015: ha posto a responsabile del CERT-PA un esperto come Corrado Giustozzi; ha accelerato e potenziato le funzioni del DIS in merito alla sicurezza informatica nazionale; ha iniziato un dialogo con le grandi infrastrutture industriali del paese.

Nel notare questi segnali positivi, purtroppo, non possiamo dimenticare l’enorme, sconfinato panorama delle pubbliche amministrazioni centrali e periferiche, dei loro sistemi evidentemente datati e inadeguati (oltre che, spesso, inutilizzabili da parte dei cittadini). Sono sotto gli occhi di tutti, nelle cronache locali e nazionali, i casi di amministrazioni infettate dai cosiddetti “ransomware”, specifici tipi di malware che cercano di costringere al pagamento di un riscatto cifrando i dati dei sistemi colpiti. Ho letto titoli che paventavano “attacchi hacker” ai danni della PA, e a volte “cyberterrorismo” o “cyberguerra”, in merito a questi episodi.

Lasciatemi essere chiaro: un ransomware non è né terrorismo, né guerra. Nella scala della guerra, sarebbe un petardo. Bagnato. Nella scala delle minacce informatiche, se si trattasse di una malattia umana, non sarebbe peste nera né arma batteriologica, ma comune raffreddore. Anzi peggio: giacché evitare il raffreddore, lo sappiamo tutti, è difficile. Ma evitare il problema dei ransomware è banale, basilare. Qual è la minaccia di un ransomware? Cifrare i dati. Qual è la risposta più banale e basilare? Avere un backup dei dati stessi. Lo sappiamo tutti, è la prima cosa che ci viene insegnata nell’informatica, lo imparano persino i bimbi mentre giocano per la prima volta con una console: salva!

Allora ogni volta che vedete un titolo di questo genere, pensate: questa amministrazione non aveva i backup. Non aveva provveduto a salvare i dati dei cittadini. Non aveva provveduto alle basi, al minimo sindacale. Agli esercizi a corpo libero.

Un altro esempio? L’incubo vero dell’autenticazione informatica sui portali di Comuni, Regioni, ordini professionali. Un intreccio di meccanismi, ognuno diverso dall’altro, ognuno che richiede vari dati personali per “autenticare” il cittadino. Cittadino che già possiede varie credenziali di autenticazione, ma ne deve generare sempre di nuove, in una foresta inestricabile che ha solo due possibili effetti: costringerlo a non utilizzare il servizio (che è poi l’esperienza che tutti i dati sull’accesso ai servizi online della PA ci dimostra), oppure ridurre la sicurezza del servizio stesso al meccanismo di recupero della password, solitamente via mail.

Fortunatamente qualcosa si è mosso, grazie all’iniziativa sia del governo, ma soprattutto di alcuni parlamentari (tra cui non posso non menzionare l’amico Stefano Quintarelli). Sto parlando del progetto SPID, la realizzazione di un sistema di identificazione federato per l’accesso ai siti della pubblica amministrazione (e non solo).

L’idea di base di SPID, che è non solo condivisibile, ma ovvia e necessaria come l’aria, è che una volta che un cittadino è stato appropriatamente identificato e ha ricevuto delle credenziali, quelle credenziali possono essere usate per identificarlo anche su altri servizi, con risparmi enormi di costi, tempi, e soprattutto con un accresciuto livello di sicurezza. Perché accresciuto? Perché si focalizza la risorsa scarsa dell’attenzione del cittadino sulla custodia di un singolo identificativo, e perché grazie alla concentrazione di risorse si può pensare di utilizzare un’autenticazione a due fattori (magari combinata con il telefono cellulare, elemento ormai ubiquo e in Italia fortemente collegato all’identità del possessore)

Certo, il progetto SPID come tutti i progetti è perfettibile, va allineato con le direttive europee eIDAS e ha dei difetti nella strategia di partnership pubblico-privata (in particolare nell’identificazione di un appropriato modello di business per i gestori di identità digitali). Ma va nella direzione giusta, ed è (come sempre) uno di quei progetti poco “sexy” ma assolutamente necessari. Un progetto infrastrutturale, insomma, come tutti quelli che dobbiamo assolutamente realizzare nella nostra agenda digitale nel 2016.

I progetti infrastrutturali, lo sappiamo, non vengono bene sulle slide. Ma allo stesso modo, le case non vengono bene senza fondamenta. Prima di imparare a volare, le nostre PA devono imparare a camminare. E prima di pensare a cyber-guerre e cyber-fantasmi, è il caso di pensare ai fondamentali, come si direbbe in gergo sportivo.