L’ecosistema dell’identità digitale, regolamentato dall’Agenzia per l’Italia digitale (AGID) e noto con la sigla SPID (Sistema Pubblico di Identità Digitale), consente l’autenticazione ai servizi online della pubblica amministrazione, o dei privati aderenti, in modo rapido e sicuro. Funziona bene e dobbiamo augurarci una maggiore estensione e una sua evoluzione che fornisca nuovi vantaggi per il cittadino.
Indice degli argomenti
Come funziona un sistema pubblico di identità digitale
Un sistema di identità digitale pubblico si focalizza, secondo il modello IAAA del controllo accesso, sulle prime due lettere, Identification e Authentication. Non la seconda A (Authorization) perché funzionale ai diritti di trattamento del dato o la terza A (Accountability) perché funzionale all’attribuzione delle responsabilità per le attività svolte. Con identificazione si intende il riconoscimento tramite un nome univoco di un soggetto (persona o oggetto tangibile o intangibile) all’interno di un dominio. Il proprio nome, uno username, il codice fiscale, l’indirizzo di una casella di posta elettronica, e così via. Con autenticazione si intende la dimostrazione che chi sta utilizzando quel nome è proprio il corretto titolare.
L’autenticazione è l’aspetto rilevante dell’identità digitale. La bontà del metodo viene valutata in termini di sicurezza, velocità e praticità, a loro volta dipendenti dal contesto e dall’evoluzione tecnologica. Esistono varie tipologie di soluzioni per compiere la verifica di autenticità, generalmente tramite una caratteristica specifica associabile solo a quel nome. Alcuni esempi: un qualcosa che si conosce, esempio una password o un PIN; un qualcosa che si possiede, esempio un passaporto, una smart card o un cookie sul PC; un qualcosa di distintivo, esempio un’impronta digitale, la scansione dell’iride o la geometria facciale; un qualcosa che si fa, esempio la firma o lo sblocco di un messaggio cifrato. Ultimo ma non meno importante, qualcuno di fiducia che garantisce che è vero, esempio un notaio o un’entità che fornisce servizi di identità.
I tre attori del sistema pubblico di identità digitale
L’ecosistema dell’identità digitale pubblica prevede tre attori che si scambiano messaggi. Innanzitutto, c’è il cittadino (“principal” o “citizen”), che richiede un servizio ad una entità (“service provider”), la quale gestisce i privilegi e i permessi ad accedere al servizio che eroga, di cui ha anche definito i termini d’uso e le attribuzioni di responsabilità. Il service provider, però, richiede il solo servizio di autenticazione a un’altra entità (“identity provider”), la quale ha acquisito, tramite un riconoscimento fisico (o equivalente), l’abilità a garantire l’identità del soggetto richiedente il servizio. Il processo di autenticazione è rapido e flessibile perché le comunicazioni del controllo d’accesso corrono veloci sulle autostrade digitali per mezzo di specifici protocolli, ad esempio SAML 2.0 (Security Assertion Markup Language). La crittografia utilizzata risponde al precedente requisito di sicurezza, sia applicata sui messaggi che sul canale di comunicazione. L’uso di pagine web graficamente accattivanti su qualsiasi dispositivo in rete, garantisce la semplicità della richiesta di identificazione, mentre gli automatismi danno evidenza alla praticità della soluzione. SPID è questo ecosistema. E funziona bene.
Il buon funzionamento, non significa che siamo arrivati a destinazione. A questo punto, come ogni sistema nel mondo della computer science, dovrebbe cominciare il percorso di miglioramento verso la versione 2.0. Il primo passo è fatto, ora altri sono in attesa. Come trovarli è semplice, con un po’ di creatività, basta pensare alle aspettative che ci sono, o si immaginano, attorno ai sistemi di identità digitale.
SPID e identity provider
SPID è un sistema pubblico ma gli identity provider sono imprese profittevoli dove la tutela del dato personale non è al primo posto della loro mission e non si può neppure pretendere che lo sia. L’identità digitale è univoca in un dominio ma non unica in assoluto, è possibile averne più d’una, magari diversificate dal livello di sicurezza richiesto. Avere più identity provider serve a garantire la resilienza dell’ecosistema, a ridurre gli impatti sui disservizi, a fornire migliori prestazioni e ad evitare situazioni monopolistiche.
Per permettere una maggior flessibilità delle identità digitali, con dati personali importanti o minimali, si può pensare di avere due tipi di identity provider, i fiduciari (“trustee”) che garantiscono solo l’identità e il custode (“custodian”) che conosce i nostri dati personali e gestisce anche l’autorizzazione verso tali dati. Attualmente, il riconoscimento fisico (o equivalente) è il passo propedeutico all’emissione dell’identità digitale, viene sempre richiesto. Non sarebbe però necessario per i “trustee” se, a una nuova richiesta di creazione di identità digitale, demandassero al “custodian” il riconoscimento e, in caso affermativo, potrebbero anche ricevere un set minimo di dati (ad esempio, il nome reale, un flag di maggior età per controllo, o altri di minimo impatto a livello personale). Tutto senza invio di fotocopie della carta d’identità, forse uno dei documenti più fotocopiati in assoluto per registrazioni online. Tra l’altro, oggi, bisogna gestire anche la scadenza dei documenti di riconoscimento, mentre così non servirebbe. Il custodian, registra le variazioni anagrafiche e, se è il caso, propaga in automatico le modifica delle credenziali ai trustee.
In tal modo, coerentemente, i trustee saranno imprese private che gestiscono il solo riconoscimento dell’utenza assegnata al richiedente, di cui conoscono solo il set minimale di dati personali ed il certificato digitale necessario al custodian per risalire alla vera identità fisica. I vantaggi sono una netta separazione tra i trattamenti di dati personali e quelli digitali di identificazione, si evitano trattamenti in eccesso. Il custodian deve essere sotto gestione di un’autorità pubblica, come già avviene per le carte d’identità. L’attività del custodian sarebbe limitata al riconoscimento degli individui che si iscrivono presso un normale trustee oppure a gestire l’autorizzazione di accesso a specifiche categorie di dati personali sulla base di ruoli precostituiti. Ad esempio, un pronto soccorso accede a tutti i dati sanitari, la Polizia stradale a tutti i dati di pertinenza della sfera del permesso di guida, e così via.
Lo SPID nel processo di autenticazione
Quando utilizziamo lo SPID, come primo passo del processo di autenticazione, viene richiesto di scegliere da una lista di trustee il proprio, e poi con quello selezionato avviene il riconoscimento. È possibile rendere questo passo automatico. Imponendo una naming convention sui nomi delle utenze, si può richiedere di rispettare un protocollo simile all’indirizzo delle caselle di posta. Il dominio rappresenterebbe il nome del trustee, mentre il nome, può essere una qualunque stringa senza necessità alcuna di riportare indicazioni riferibili al reale nome della persona. Un uso di questa anonimizzazione può servire a contenere le fake news o gli haters. È sufficiente imporre alle chat pubbliche o ai social, di consentire l’iscrizione di soli utenti identificati da un identity provider. In tal modo, la persona non espone alcun dato personale, ma nel caso si diffondano informazioni fasulle o calunnie, risulterà semplice alle autorità risalire velocemente alla reale identità.
Premesso che il custodian è nel dominio di gestione di un’autorità pubblica, si può pensare anche a dare valore legale a documenti su smartphone, ad esempio, tramite IO App autenticata dal custodian, si potrebbe ottenere la carta d’identità o la patente di guida. Per le forze dell’ordine, la verifica di veridicità dei contenuti sarebbe immediata.
Lo SPID nel voto elettronico
Un’ulteriore applicazione dello SPID, più complessa ma più affascinante è il voto elettronico. Non intendendo l’uso di un dispositivo per votare all’interno di una cabina elettorale ma poterlo fare da casa connessi a Internet. Consideriamo che oggi, fare un esame online, non stupisce più. Per farlo, semplicemente, installiamo un software che prende il controllo del dispositivo, di web cam e audio, affinché sia possibile il controllo remoto da parte dell’esaminatore, sia dell’ambiente che dell’esaminando. Null’altro. I prerequisiti del voto sono, la libertà di espressione del voto, l’identità certa del votante e la segretezza del voto. L’identità certa è del dispositivo o dell’utenza utilizzata e quindi è necessario un qualcosa in più rispetto alla pura autenticazione digitale.
Una ipotetica procedura di seggio elettorale digitale richiede l’attivazione di un apposito software sul dispositivo mobile del votante per compiere l’autenticazione sul custodian e il riconoscimento della persona. Il votante sarà avvertito che procedendo con l’installazione, il software, prenderà il controllo di audio e video del dispositivo ma non dello schermo, e in remoto, a cura di un team elettorale, sarà monitorato l’ambiente per escludere condizionamenti e riconoscere la persona. Lo schermo non sarà virtualizzato per consentire il giusto livello di segretezza e il team comunicherà con notifiche testo il rispetto delle regole. Uno scrutatore potrà osservare più votanti contemporaneamente, autorizzerà la registrazione del voto in assenza di infrazioni e il presidente verificherà l’operato degli scrutatori. L’espressione del voto sarà solo per selezione di opzioni senza inserimento di alcun testo.
Anche le cabine elettorali fisiche avranno dei computer per votare. Il software utilizzabile è lo stesso ma cambia la configurazione. Il software è su Usb autoavviante con certificato digitale predefinito e disabilitazione di web cam, audio e tastiera. Con il solo mouse o touchscreen si esprimerà il voto con procedimento analogo al dispositivo mobile (ma senza controllo remoto).
In generale, i vantaggi sono notevoli, niente schede cartacee da stampare o vidimare o scrutinare, fasi di avvio e chiusura del seggio rapide, risultati immediati alla chiusura e senza contestazioni. Il livello di sicurezza è equiparabile a un seggio elettorale tradizionale e rende inutili altre alternative, come ad esempio il voto postale.
Conclusioni
Ritornando al concetto di “custodian”, questo registro nazionale di identità digitali delle persone non è un “grande fratello”. Non è un bidone di dati personali ma un garante di identità e abilitatore all’accesso di dati presenti su altri database. È un’autorità pubblica digitale che agevola i flussi delle normali operazioni, rendendo l’identificazione celere e permettendo di rivedere processi manuali in un modo più efficiente ed economico. Detto con un termine più alla moda, consente di progettare e realizzare processi sostenibili.
@RIPRODUZIONE RISERVATA
