Scrivo il giorno in cui AGID twitta gli 11 milioni di identità digitali
Possibile che ancora oggi di tutte le Istituzioni finanziarie, o comunque tutte quelle realtà che prevedono regolamenti severi di KYC (Know Your Customer) sia in ambito finance che travel e mobility non abbiano ancora pensato vagamente di adottare SPID/eIDAS?
Attenzione, la dicitura “entrare” in Banca è fuorviante perchè già si è parlato altrove di sostituire il token bancario con l’autenticazione SPID. Procedura che ha vantaggi e svantaggi e non voglio trattare.
Parlo di sottoscrizione di servizi basati sull’identità reale nel settore privato, e con un occhio al mercato europeo.
Sappiamo tutti che in diversi settori, principalmente quello finanziario, in cui lavoro, è richiesta particolare diligenza e rigore nelle procedure di KYC. Gli adempimenti hanno come scopo la prevenzione del furto di identità e dunque la certezza della persona che sta operando, sia quando ci si presenta di persona con documenti potenzialmente illegali, sia online quando si ruba l’identità digitale di qualcheduno.
Chiaro che non ci ordino un portachiavi su eprice con l’identificazione sicura a norma (costa e viene vista come invasiva dal pubblico), ma per aprire un conto in Banca devo dimostrare di essere io. Vero è anche l’opposto per i viaggi, dove anche se per comprare un biglietto aereo questo va intestato al viaggiatore, lo può realisticamente comprare chiunque.
Ad oggi ancora diverse aziende del settore privato che introducono forme di KYC online utilizzano, con i “relativi” rischi che ne conseguono, il riconoscimento video del Cliente. A volte qualcuno si butta nel biometrico e lo fa fuori dalla UE. Non cito direttamente il nome dell’azienda, ma fino a un anno fa una ditta di “mobility” affidava il processo KYC a Jumio India. Jumio è un operatore specializzato nel KYC che usa algoritmi di riconoscimento biometrico applicati al documento di identità ed alla sessione in webcam del Cliente. Poi hanno stipulato un contratto con la sede europea della stessa Jumio
Esempi pratici:
- Apro un nuovo conto corrente
- Chiedo un finanziamento
- Mi iscrivo ad un car sharing in Italia… o durante un viaggio in Europa, perché no!
- Apro un conto presso un broker di criptovaluta
- Aumento il mio livello di trust in un social specializzato in viaggi (che assegna reputazione opzionale a chi conferma la propria reale identità)
Tutte operazioni in cui si potrebbe dover fare un riconoscimento video del quale il provider memorizza diversi scatti ad alta risoluzione. Il rischio consiste nelle misure di protezione contro eventuali data breach con esposizione di materiale ad alta risoluzione raffigurante documenti di identità e dati biometrici dei cittadini.
Chiaro che il videoriconoscimento per attivare lo SPID uno lo farebbe una volta sola presso l’IdP e poi basta. Vedi esempio…
Caso di studio
Motivo per cui questo post è più un lamento, un “rant”.
E invece di spingere su SPID a tutta velocità, che ormai SPID (e perdonate se rischio di cadere nella banalità) se lo fanno solo quelli che devono chiedere denaro allo Stato, per qualsiasi legittimo motivo, vedi bonus vacanze, reddito di cittadinanza, fondi di emergenza, una delle nostre “9 sorelle” che fa di bello per promuovere i processi KYC smart?
L’azienda per cui lavoro, che non voglio/posso nominare, ha appena preso un progetto per conto di una finanziaria, che non posso nominare, sotto la partnership di una delle 9 sorelle che non posso nominare, per un nuovo sistema di KYC per la richiesta di finanziamenti
Oggi la Finanziaria chiede le foto dei documenti ed una sessione in videochat con il RAO della Certification Authority per emettere un certificato one shot con cui firmare la richiesta di finanziamento con firma digitale qualificata. Il finanziamento viene così emesso tutto in digitale.
Nel magico mondo di SPID il Cliente utilizzerebbe SPID, che tra l’altro asserisce il numero di cellulare e l’email certificati oltre che codice fiscale e altri dati personali, per creare il “pacchetto” di asserzioni che la CA userebbe per emettere il certificato. Attenzione, sappiamo che SPID e CIE non costituiscono firma digitale qualificata, ma al contrario una CA può sempre emettere un certificato one shot se ha l’asserzione in mano firmata dall’IdP. La sto semplificando ma è così.
E invece oggi? Si inventano l’ennesimo provider di identità basato su una app per cellulari, completamente slegata da SPID, senza reale valore legale, dove fare le stesse operazioni: confermare email, confermare cellulare, foto documenti, selfie e videochat col RAO. Poi sarà il RAO a emettere un certificato a valore legale su una asserzione, tecnicamente ma non legalmente inoppugnabile, in formato JSON-LD.
Cavolo, prendevate l’asserzione SAML di SPID e voilà. Un metodo “normato”, per muoversi in una direzione di “standardizzazione” magari. Magari integrando eIDAS fai il finanziamento al buon finlandese che si è trasferito in Italia e vuole arredarsi la casa appena presa in affitto. Wow…
Wow… continuiamo a mettere i nostri dati biometrici sulle banche dati altrui. La carta di credito si cambia… la distanza naso-occhi non è così facile…
Il mio intervento era principalmente una lamentela, essendo del settore ed auspicando una capillare diffusione di SPID (e in generale eID) sul territorio dell’Unione. Abbiamo uno strumento figo, ci inventiamo nuovi strumenti.
Il resto lo lascio ai commenti del forum.