Leggi l’articolo originale su Il Sole 24 Ore – Plus24
di Stefano Elli
Lo Stato e i provider non si parlano e al cittadino spetta l’onere della verifica
Ciascuno di noi ha la possibilità di registrare più Spid a proprio nome: almeno tanti quanti sono i provider, che attualmente sono 12. Paradossale (ma alcuni dei professionisti interpellati da Plus24 sul tema si sono spesi con aggettivi ben più coloriti) che al cittadino non sia data la possibilità di verificare direttamente con un ente governativo o comunque istituzionale l’esistenza di più Spid intestati a suo nome. Risultato: se il cittadino sospetta che la propria identità sia stata clonata deve armarsi di santa pazienza e contattare singolarmente ciascuno dei 12 provider e inoltrare le 12 richieste. Alle quali non è detto che venga fornita una risposta in tempi stretti (e spesso in questi frangenti il tempo è un fattore chiave). Tutto questo accade nell’era del digitale. Non basta. L’Agid, l’Agenzia del Governo per l’identità digitale, interpellata sul punto da Plus24 – è ancor più chiara: «Le informazioni relative agli Spid sono in possesso esclusivo dei provider e questi non li possono condividere con noi se non su specifica richiesta dell’autorità giudiziaria». Che il tema sollevato da Plus24 esista è confermato anche dai dati – come afferma Walter Narisoni, Sales Engineering Director di Sophos, multinazionale britannica specializzata in sicurezza cibernetica – se è vero che il 41% degli attacchi che sono andati a segno sono partiti proprio da credenziali compromesse.
«Un dato – spiega Narisoni – che da solo ci dice quanto il tema sia caldo. E che clonare uno Spid possa essere relativamente semplice è un altro punto particolarmente delicato.
Tipicamente per creare uno Spid clone è necessario rubare uno o più documenti d’identità (il che non è particolarmente difficile su deep o dark web) e poi richiedere al provider di abilitare lo Spid su quella particolare identità trafugata. Ovviamente i provider hanno precisi obblighi di verifica dell’identità dei richiedenti. Ma la sicurezza zero non esiste e noi – chiarisce Narisoni– lo sappiamo bene.
Con le attuali tecniche, prima di social engineering e poi di deep fake, cioè di montaggi video con l’intelligenza artificiale, i “bad guys” sono in grado di bypassare molte delle barriere di sicurezza poste dagli stessi provider». Quanto al tema della mancanza di un’anagrafe degli Spid Narisoni non ha dubbi: «Secondo me l’Agenzia per l’identità digitale, l’Agid, dovrebbe fare in modo che i singoli provider si incarichino di comunicare gli Spid in circolazione per ogni cittadino. Come? Attraverso il codice fiscale, che è unico. Non dovrebbe essere poi così complesso costruire un portale apposito dove fare confluire gli Spid esistenti attribuiti a ogni codice fiscale». Esiste poi il tema del business. Afferma Roberto De Vita, avvocato penalista e presidente dell’osservatorio Cyber security di Eurispes: «La motivazione con cui è stata rappresentata la possibilità di possedere più Spid e cioè quella di potere far fronte ad eventuali attacchi Dos è in realtà fragile. La vera motivazione è un’altra: lo Spid è stata un’opportunità offerta all’imprenditoria digitale, a cui – com’è giusto che sia – è stata offerta l’occasione di una maggiore vivacità nella diversificazione dei propri servizi digitali». E se lo Spid dovesse essere sostituito – come alcuni hanno preconizzato – dalla Cid, la carta d’identità digitale? Narisoni risponde: «Quando ci saranno abbastanza carte elettroniche digitali è assai plausibile che si concretizzi una transizione in quella direzione».
