Contro il furto di identità basta una notifica: ma lo SPID non la prevede

Home PA Digitale Servizi Digitali Contro il furto di identità basta una notifica: ma lo SPID non la prevede

4 Dicembre 2015

C

Claudio Telmon, Clusit

Nei prossimi anni si prevede e si auspica una forte diffusione di strumenti e servizi per il cittadino e le imprese basati sulle tecnologie dell’informazione. Si pone quindi fortemente il problema di come offrire sicurezza a questi servizi senza perdere usabilità. Un punto senz’altro critico è quindi cosa si possa chiedere al cittadino in termini di capacità nell’uso di meccanismi di sicurezza (competenze, conoscenze e attenzione), tenendo conto del fatto che questi servizi dovranno essere utilizzati da cittadini che vanno dall’adolescente all’anziano.

Il problema delle capacità richieste al cittadino purtroppo è sempre latente, se ne accenna ma raramente è esplicitato: non mi è mai capitato di leggere da qualche parte, a fronte di una nuova normativa, che le soluzioni tecniche e organizzative debbano tenere conto di specifici limiti di capacità del cittadino. Anzi, spesso vengono evidentemente richieste al cittadino delle capacità che non può avere se non per una piccolissima parte della popolazione.

Per dare un contributo su questo tema, vorrei prendere come casi di studio tre meccanismi di sicurezza con i quali il cittadino si è scontrato nel tempo, per valutarne la reale efficacia.

Il primo dei tre ad essere introdotto è stato, negli anni ottanta, il Bancomat con PIN. Il meccanismo di sicurezza è in sé elementare e relativamente poco efficace, ma il requisito per l’utente è semplice: tenere il PIN segreto e separato dalla tessera. Negli anni ottanta non si usavano ancora i cellulari, e quindi le persone erano abituate a ricordare a memoria anche parecchie decine di numeri di telefono. Nonostante questo, molte persone che si lamentavano della difficoltà di ricordare il PIN, e lo scrivevano magari addirittura sulla tessera stessa, subendo quindi un danno non in caso di clonazione della tessera, ma per il suo semplice furto insieme al PIN. A trent’anni di distanza, possiamo dire che il problema non è stato di capacità dei cittadini ma di atteggiamento: ad oggi, il requisito di tenere separati PIN e tessera è in generale considerato ragionevole.

Prendiamo ora il protocollo SSL/TLS, un protocollo molto complesso utilizzato per proteggere il traffico web. In particolare SSL/TLS è alla base del protocollo HTTPS. Questo protocollo è stato sviluppato a metà degli anni novanta principalmente per facilitare il commercio elettronico.

Possiamo però già vedere una grossa differenza rispetto al PIN del Bancomat: un cittadino che non abbia un minimo di preparazione non capisce neanche di cosa si stia parlando.

Alla base della sicurezza di SSL/TLS ci sono il certificato digitale e la capacità del cittadino di valutare se il certificato è correttamente associato al sito web al quale sta accedendo. A vent’anni di distanza dall’introduzione del protocollo, possiamo senz’altro dire che questa verifica è abbondantemente oltre le capacità non solo del cittadino medio, dell’adolescente o dell’anziano, ma anche del cittadino “informaticamente evoluto”. Seppure tutti i siti di home banking siano protetti con HTTPS, il phishing bancario ce ne mostra chiaramente i limiti. Gli smartphone difficilmente ci permettono di verificare i certificati, ma anche quando questo è possibile, il cittadino non è in grado di trarne vantaggio. Contrariamente a quanto si sperasse, in vent’anni il cittadino non ha “imparato” ad usare HTTPS e i certificati digitali: ha imparato al più ad ignorarli.

Veniamo ora ad un terzo meccanismo, e cioè la notifica via SMS delle operazioni effettuate, ad esempio degli accessi al proprio home banking o alla propria casella PEC. Quando è stato introdotta, la notifica via SMS si è diffusa immediatamente, diventando il principale meccanismo di sicurezza in mano al cittadino per contenere, quando non eliminare, gli effetti di un accesso abusivo. Di nuovo, il meccanismo ha i suoi limiti e non è efficace se il cittadino non legge gli SMS, ma senz’altro il cittadino lo capisce e lo sa utilizzare, e non è stato necessario aspettare anni per rendersene conto.

Quello della notifica è in effetti il punto centrale di questo contributo: a differenza di tanti meccanismi “tecnologici”, è uno strumento semplice e che i cittadini possono capire ed utilizzare ed è anche molto efficace. Sarebbe efficace anche per molti problemi del mondo materiale: sapere che una cosa sta succedendo è il primo passo per impedirla. Il furto di identità, praticato anche nel mondo materiale, ad esempio comprando a rate un prodotto a nome di altri, sarebbe molto più difficile se il cittadino di cui viene rubata l’identità ricevesse una notifica in occasione di attività importanti, come ad esempio l’apertura di un finanziamento. Sarebbe utile anche in caso di attivazione di una nuova identità SPID . Prenderei proprio questo ultimo caso come esempio. Al momento la norma prevede che agli utenti siano notificate ad esempio le variazioni agli attributi, ma non è prevista la notifica della creazione di una nuova identità SPID. La ragione sembra essere che non c’è un “recapito informatico” a cui inviare la notifica, dato che la PEC non è obbligatoria e non è neanche molto popolare. La creazione dell’anagrafe unica nazionale è un’occasione importante per associare al cittadino un recapito al quale lui voglia ricevere notifica di eventi importanti che lo riguardino, del mondo materiale e immateriale, come l’accensione di un mutuo, l’apertura di un finanziamento o la creazione di una credenziale SPID. Dato che lo scopo è fornire al cittadino uno strumento per proteggersi, e non fornire al burocrate un mezzo per scaricarsi una responsabilità, non è tanto importante che la notifica sia “certa”, come per la PEC, quanto che sia lo strumento che il cittadino decide di utilizzare (email, SMS, PEC, Whatsapp o altro), assumendosi la responsabilità della comunicazione dell’indirizzo e dei limiti del canale scelto. E non è neanche detto che debba essere alternativo a canali di notifica ufficiali che soddisfino tutti i requisiti normativi dei diversi contesti: sarebbe “solo” un meccanismo di sicurezza aggiuntivo ma importante, adatto alle capacità del cittadino.

Su questo argomento

PA e servizi online: perché puntare su una strategia multicanale