Novità all’orizzonte: https://www.repubblica.it/economia/2019/12/04/news/sara_lo_stato_a_gestire_spid_identita_digitale_con_la_legge_di_bilancio_2020-242520724/
1 Mi Piace
La storia infinita:
a mio parere SPID non DEVE MORIRE (esattamente come Misery !!! anche se affronterei in modo più pacato uan sua eventuale dipartita)
io non lo vedo così astruso; credo che per un qualche ministero (Interno ? finanze ? o pagopa spa ? boh ) non sarebbe così difficile prendere a modello LEPIDAId, ed estenderlo a tutta Italia. In ogni comune uno sportello che effettua il rilascio con riconoscimento de visu, come stiamo già facendo da qualche mese con piena soddisfazione degli utenti. Ed eliminerei davvero tutti gli altri sistemi di autenticazione a favore di SPID .
2 Mi Piace
ah, tra l’altro, se ho capito bene, indispensabile per l’uso di IoPA
Innanzitutto grazie per avermi fatto sorridere sulla “dipartita” di SPID!
Anche se non da esperto, sono d’accordo. Le varie storie dell’orrore che circolano online su SPID (per esempio, l’ultima che un mio amico mi ha segnalato) rivelano che la maggior parte dei problemi si riducono a
- Confusione da parte delle pubbliche amministrazioni stesse sulla gerarchia, significato, valore legale dei vari documenti/sistemi di identità (tessera sanitaria, CNS, carta identità cartacea, carta identità elettronica, SPID, autocertificazioni…);
- Confusione da parte del cittadino stesso sull’uso di SPID, dato che si può usare ancora per poche funzioni;
- Problemi di puro website design / UX (cose come la difficoltà di trovare il pulsante per SPID sul sito di una pubblica amministrazione, o un link che manda a una pagina che non esiste).
Il punto 1. (confusione al momento di fare SPID da parte delle PA stesse) è
-
in parte fisiologico per ogni innovazione: andate a guardare la sezione sulla CIE e vedrete che tuttora, per esempio, i dipendenti di moltissimi Comuni dicono ai cittadini falsamente che non è possibile recuperare PIN/PUK (mentre si può).
-
In parte, risolvibile con uno sforzo di semplificazione della procedura di creazione SPID. Si cominci a usare solo la CIE, che ormai ha il 20% della popolazione, lasciando perdere la tessera sanitaria (chi si ricorda dove ce l’ha? Chi la rinnova?) e si convertano le carte dei servizi regionali direttamente in SPID per poi abrogarle tutte. Fine.
I punti 2 e 3 si risolveranno con la progressiva estensione degli usi di SPID. I cittadini avranno meno fatica a ritrovare la password (dato che la useranno più volte l’anno), le PA inizieranno a copiarsi i siti fatti meglio (o a scoprire che già esistono linee guida per il design), e partiranno circoli virtuosi. Certo, è dura.
1 Mi Piace
In realtà confesso che, dopo le notizie recenti sulle potenzialità della Carta d’Identità 3.0 e sul possible conflitto con SPID, capisco la tentazione di bloccare SPID e puntare tutto sulla CIE: avrebbero l’identità digitale da subito il 20% dei cittadini, gli altri la potrebbero ottenere con un canale di distribuzione già esistente senza ulteriori investimenti (il 99% dei Comuni), e il supporto fisico garantisce ulteriore sicurezza.
Gli unici dubbi che rimarrebbero a favore di SPID sono i seguenti:
- Il cittadino che smarrisce la CIE o a cui non funziona, per qualsiasi motivo, il lettore carta o il relativo software rimarrebbe pericolosamente tagliato fuori dai servizi PA. In Olanda, dove vivo, hanno un sistema simile a SPID che non è legato alla carta d’identità - è basato su username e codice e secondo check tramite SMS o tramite app.
- Scomparirebbe l’identità digitale per le persone giuridiche come le imprese, dato che una persona giuridica può avere SPID ma, chiaramente, non la carta d’identità.
Se si risolvono questi due problemi (per il punto 1 si può forse ammettere una procedura un po’ più complessa, con PIN, PUK e una conferma telefonica, per il breve periodo in cui si aspetta la CIE di ricambio; per il punto 2 forse si mantiene la SPID come equivalente della CIE solo per le persone non fisiche), allora ammetto che abbandonare SPID in favore di CIE sembra l’opzione più rapida, meno costosa, più semplice per fornire a tutti i cittadini un’identità digitale.
Una bella situazione kafkiana.
Un avvitamento a spirale per tornare al punto di partenza: una carta con chip (poco conta che sia NFC).
Mi pare fosse proprio quello il limite della CNS: serve un posto dove infilarla e, anche ad averlo, farlo funzionare è impresa improba.
Fra l’altro ora i lettori di tessere sanitarie si trovano un po’ ovunque, quelli di CIE un po’ meno.
Negli articoli si parla pure di sicurezza. Che la CNS col suo lettore (dispositivo sicuro) sia piu’ sicura della volatilità di spid livello 1 e 2 siamo d’accordo. Che lo sia altrettanto la CIE con NFC ho dei dubbi (anche se non confortati da conoscenze tecniche specifiche): se per esempio si usa tramite smartphone, la parte svolta dal dispositivo (hardware) sicuro diventa una parte software.
1 Mi Piace
Clusit, Associazione Italiana per la Sicurezza Informatica, e Associazione Copernicani, uniscono le forze per affermare l’incompatibilità di qualsiasi ipotesi di centralizzazione di SPID con i requisiti di sicurezza e resilienza fondamentali per assicurare il buon funzionamento del sistema stesso.
Non sono d’accordo!
La PA ha tutti i mezzi per gestire in sicurezza SPID che deve essere rilasciata con la CIE gratuitamente ai cittadini, quindi procedere con l’integrazione di tutti gli accessi alla PA…
Le problematiche di sicurezza (e di democrazia) derivano dalla centralizzazione delle infrastrutture ICT di autenticazione, che consentono un controllo centralizzato e immediato dello stato sulla vita del cittadino.
L’esistenza di una infrastruttura umana-organizzativa di mediazione del rapporto cittadino-stato serve a garantire il cittadino proprio dallo stato, poiché lo stato non è un soggetto di cui ci si può fidare essendo variabile all’andamento di governo.
A titolo di esempio, se i collegamenti a internet fossero “di stato”, le intercettazioni telematiche e la profilazione massiva del traffico internet mediante sorveglianza, sarebbero fattibili senza che vi sia un soggetto incaricato di validare la legittimità della richiesta (vedi: ufficio del provider-società TLC deputato a gestire le relazioni con l’autorità giudiziaria).
Lo stesso vale per l’autenticazione digitale, se fosse gestita centralmente dallo stato, questo potrebbe in qualunque momento e senza richiedere autorizzazione a soggetti terzi in contrapposizioni di interessi e di garanzia:
- Impersonificazione del cittadino
- Diniego di accesso a qualunque servizio della società dell’informazione al cittadino
- Sorveglianza e profilazione di ogni servizio usato dal cittadino
Il problema che si pone è che quanto su indicato sarebbe fattibile su tutta la popolazione one-shot.
Il problema di cui sopra viene aggravato da iniziative, quali quella proposta dall’On. Brescia, di introdurre il Voto Online (incostituzionale in germania, abbandonato in francia, olanda e svizzera per problemi di sicurezza, scartato nel resto del mondo tranne la micronazione estone), dove lo stato a quel punto centralmente può controllare indirettamente il processo democratico di transizioni di governo.
I motivi di cui sopra sono sufficienti a specificare per quale ragione sia fondamentalmente necessario DISTRIBUIRE l’attribuzione di identità digitale tramite una pluralità di soggetti privati in contrapposizione di interesse rispetto al potenziale abuso di stato.
Ne ho lette di ogni di questo genere, nel caso di accesso ai servizi della PA non condivisibile!
Non stiamo parlando di voto… ma di servizi di diritti che il cittadino deve poter usufruire in modo agevole e veloce.
cordialmente
Caro Roberto,
eseguendo una attack tree analysis, rispetto a quelle che sono le naturali modalità di evoluzione di mercato di una centralizzazione del servizio, potrai verificare con oggettività quanto ho precedentemente indicato.
Ogni accentramento di potere nello stato, che lo pone nella condizione di monopolio, riduce lo spazio di libertà individuale di persone fisiche e persone giuridiche.
E’ una questione senza dubbio affascinante.
Ma c’e’ anche la questione che l’identità dei cittadini e’ un affare pubblico.
E anche quella che probabilmente in questo momento Google sa meglio di me a che ora arrivero’ a casa stasera e cosa mangerò.
E pure quella senz’altro qualunquista che lo Stato (il pubblico) è troppo pigro e nullafacente perché ci sia da temere sul controllo dei cittadini tramite l’identità digitale 
Piccola chiosa sull’articolo postato (CLUSIT/Copernicani) che avevo letto settimane fa: se si presentano delle posizioni in modo apodittico, si rischia di perdere autorevolezza scientifica e di suonare piu’ che altro come uno spot per il sistema bancario.
Quindi, altra questione: meglio che il controllo dei cittadini lo abbia il sistema bancario? Vogliamo immaginarci scenari distopici plutocratici in cui i governi nazionali, ridotti a meri esecutori delle non-leggi di mercato, abdicano irrimediabilmente ai poteri finanziari?
3 Mi Piace
Interessante, Fabio.
Potresti condividere l’attack tree analysis che hai fatto?
Ciao.
Se hai voglia di sviluppare l’attack tree in un modello formale per dimostrare empiricamente il rischio democratico su esposto, puoi realizzarlo a occhio e croce in 8-12 ore di lavoro.
Per uno sketch basta un foglio di carta o pseudo-codice con nested if-then-else.
Per elaborare un Attack Tree formale serve usare strumenti quali AdTool o Octotrike .
Per studiare il funzionamento degli Attack Tree con cui dare risposte oggettive ai Threat model, aldilà delle opinioni spesso veicolate dalla politica (vedi temi di Voto Online), puoi approfondire con la sintesi di Bruce Schneier.
Per fare uno sketch con esempi di if-then-else nested partiamo da due esempi diversi in cui identifichiamo i 2 rischi più facili da modellizzare come sketch:
A. Sorveglianza massiva e profilazione di ogni servizio usato da ogni cittadino
B. Impersonificazione del cittadino
Quindi identifichiamo il threat actor che è rappresentato da un Governo che è riuscito ad ottenere un ampio consenso elettorale, fare nomine di vertice nelle principali istituzioni, e su desiderio del capo politico (o sua emanazione) vuole realizzare le azioni di cui sopra per esercire il suo potere aldilà del perimetro di tutela di diritto.
A questo punto prendiamo 2 scenari:
Scenario 1: Esiste SPID di stato erogato da un solo soggetto pubblico
Scenario 2: Esiste SPID distribuito su 100 fornitori privati
SCENARIO 1:
If(Governo_esegue_nomine_del_gestore_SPID_di_stato); then
if( capo_politico_può_richiedere_a_direttore_nominato_di_fare_azioni); then
for rischio in rischi(A, B); then
capo_politico_richiede_a_direttore_di_eseguire_operatività_su_sistema_informativo;
fi
fi
fi
Come si vede nello SCENARIO 1, essendovi un solo soggetto a controllo pubblico il cui direttore è di emanazione e nomina politica direttamente o indirettamente, il capo politico del governo di ampio consenso elettorale potrà vedere realizzate le azioni definite nei rischi A e B a discapito del diritto del cittadino.
Ovviamente esistono potenziali mitigazioni infinite di tipo organizzativo, ma sempre all’interno di una struttura centralizzata, verticistica, la cui autorità in modo diretto o indiretto torna nelle mani del capo politico.
SCENARIO 2:
If(SPID_fornito_da_100_fornitori_di_stato); then
if( capo_politico_non_può_richiedere_a_fornitore_di_fare_azioni); then
for rischio in rischi(A, B); then
capo_politico_non_ottiene_esecuzione_operatività_su_sistema_informativo;
fi
fi
fi
Nello SCENARIO 2 i rischi A e B non si palesano poiché i soggetti che potrebbero eseguire l’azione che realizza i rischi sul sistema informativo, non avendo alcuna dipendenza gerarchica diretta o indiretta con il capo politico in quanto soggetti privati orientati al profitto, ciascuno con il proprio modello organizzativo di vigilanza, questi non potranno subire influenze organizzative, ma eseguire solo ed esclusivamente quanto richiesto dalla autorità giudiziaria.
Nello SCENARIO 2 l’esigenza di esercizio di potere arbitrario dovrà confrontarsi con una matrice di interessi di 100 soggetti giuridici diversi e:
- Per realizzare il rischio “A” tutti i 100 soggetti giuridici privati dovranno essere conniventi
- Per realizzare il rischio “B” un soggetto giuridico specifico, nel suo bilanciamento di interesse e di diritto, dovrà trovarsi in uno schema corruttivo o in uno schema di coerzione al di fuori dello stato di diritto per eseguire l’abuso di cui sopra
Risulta evidente come la distribuzione su una pluralità di soggetti giuridici diversi, non sotto il controllo diretto o indiretto di un governo con il capo politico al vertice, offrano maggiore resilienza rispetto ai rischi su definiti.
Se qualcuno volesse dedicare del tempo di qualità per una modellizzazione formale di questo tipo di scenario di rischio, eventualmente estendendolo ad altri contesti (es: SPID usato per Voto Online) e altri rischi (Sovversione del processo democratico elettorale), sarebbe una gran cosa.
L’accademia dovrebbe intervenire ed allocare tempo di qualità per dimostrare questi scenari a politici troppo spessi orientati alla opportunità di efficientamento senza misurare il contribilanciamento di tutale democatica.
Fabio
1 Mi Piace
Osservo preliminarmente che è sempre scivoloso utilizzare ferrei ragionamenti di inferenza per descrivere o predirre comportamenti umani che sfuggono a regole meccaniche e situazioni che sono articolate e dipendono da piu’ fattori di quello osservato. C’è sempre il rischio, al di la’ del caso in questione, di piegare la scienza, in sé neutra, alla “dimostrazione” di una tesi politica precostituita, partendo magari da un modello parziale o da qualche assunto politico che la deduzione logica non può che amplificare.
Osservo che la formalizzazione portata a esempio non aggiunge molto alle argomentazioni puramente verbali.
Osservo anche che si può essere d’accordo con la conclusione se uno controlla qualcosa potrebbe usarla male soprattutto se poi controlla chi dovrebbe controllare che la usi bene…
Osservato questo chiedo: lo stesso meccanismo non si potrebbe utilizzare per rendere deprecabile la gestione pubblica del SAC (sistema centrale di raccolta e smistamento delle prescrizioni mediche) o dello SDI (analogo per le fatture elettroniche)? Nel primo caso il capo_politico ha accesso ai dati sanitari della popolazione e potrebbe facilmente negare le cure (cancellare le prescrizioni), per esempio, ai nati in alcune regioni del mondo. Nel secondo caso il capo_politico ha accesso alle abitudini di acquisto e consumo della popolazione.
Dovremmo quindi concludere che gli stati non dovrebbero avere il controllo di nessuna base di dati rilevante? Dovremmo concludere che per queste banche dati la soluzione migliore sia la frammentazione in cluster sotto il controllo di operatori di mercato, convinti che le logiche di mercato siano in sé garanzia di democrazia e libertà?
Dovremmo anche concludere che gli stati non dovrebbero avere il controllo su alcun asset strategico per la digitalizzazione e la circolazione dei dati? Se cosi’ fosse , infatti, ipotizzando che uno stato avesse la capacità di impedire o consentire a un grande player della rete di operare sul proprio territorio (magari perché è proprietario dei cavi o perché deve autorizzarne l’uso), il capo politico di cui sopra potrebbe obbligare quel player a “eseguire operatività” sui suoi sistemi al fine di controllare i cittadini (in modo ancor più subdolo rispetto agli scenari precedentemente ipotizzati).
Chiedo ancora, limitandosi alla questione identità: ci sono studi simili sui rischi connessi all’attuale modello di gestione dell’identità (non necessariamente digitale) dei cittadini?
Insomma, tutto questo per dire che la questione merita attenzione, ma mi sorprende un po’ che la soluzione sia scappare dall’ipotetico controllo dello stato deviato e cattivo e gettarsi nella mani del controllo dei colossi privati guidati dal profitto.
Forse la conclusione è che è pericolosa la concentrazione di informazione, che nel caso dell’identità digitale sarebbe meglio, tornando alla nomenclatura nostrano, utilizzare la CIE e limitarsi ai pochi essenziali statici dati vecolabili tramite essa?
1 Mi Piace
Condivido che lo stato non dovrebbe avere il controllo di nessuna base dati rilevante, tale da comprimere in modo significativo le libertà individuali dei suoi cittadini.
E’ uno dei grandi problemi dei nostri tempi dove i modelli di efficienza tramite digitalizzazione procedurale, quando seguono iper-semplificazioni architetturali, accentrano potere nelle mani di pochi a scapito di molti, aumentando la superficie di vulnerabilità e di abuso.
I modelli architetturali di tipo federato possono garantire la medesima efficienza di processo della digitalizzazione, tuttavia riducendo in modo significativo i rischi che diversamente vengono introdotti dalla centralizzazione.
D’altronde una volta internet era ben distribuita, oggi è nelle mani di pochi OTT, e risulta evidente quali siano i risultati e le distorsioni di mercato nonché degli abusi di diritto della centralizzazione.
Fabio
p.s. Nonostante non vi sia una attinenza specifica con SPID nel paragone con lo SDI, essendo questo poco incisivo sugli aspetti di diritto dei cittadini persone fisiche, è doveroso notare come sia la più grande base dati prone ad abuso di spionaggio commerciale mai realizzata.
La vulnerabilità del sistema economico italiano introdotta dalla fatturazione elettronica è enorme, qualunque competitor può agevolmente e al costo di petty corruption di funzionari, operare spionaggio ottenendo la lista completa di clienti-fornitori di tutti gli attori del suo mercato di riferimento.
Nell’ambito della cybersecurity, qualunque esperto, confermerà che non è in dubbio che un sistema informativo verrà prima o poi violato e/o abusato, ma solo quando e in quale proporzione.
Ciao a tutti
Fabio quindi come ritieni opportuno risolvere, quanto da te affermato e da me citato?
Perdonami ma ritengo un tantino polemica questa affermazione, mi lascia pensare che bisognerebbe lasciar perdere la digitalizzazione per il semplice fatto che ci sarà sempre qualcuno pronto ad infrangere la sicurezza informatica.
Gentile Agostino,
i requisiti di digitalizzazione richiedono il consensus di molteplici ambiti di valutazione, fra cui anche quelli di cybersecurity.
Troppo spesso vengono proposte soluzioni architetturali che vedono una analisi tecnica figlia di valutazioni di informatici, più o meno esperti, che cercano la via più veloce-efficiente-economica, senza effettuare una appropriata analisi dei rischi.
Il problema che si pone non è che la cybersecurity si contrappone alla digitalizzazione, ma a soluzioni frettolosamente progettate da analisti informatici che non hanno voluto (o potuto) seguire nel percorso di progettazione l’inclusione di valutazioni e considerazioni di sicurezza.
Le valutazioni di cybersecurity, appunto, possono portare a significative variazioni architetturali per raggiungere il medesimo risultato di digitalizzazione di processo, non necessariamente con maggior costo, ma certamente con una maggiore resilienza ai rischi evidenziati da una risk analysis tramite appropriate ricette di risk management.
Laddove ci si affida ad approcci tecno-soluzionisti, che spesso finiscono in mano a vertici politici per avventati consigli di advisor più o meno istituzionali, ci si ritrova poi in un inutile clima di conflittualità nel dialogo di qualcosa che dovrebbe essere oggettivo, scientifico, misurato ma che, essendo portato con un percorso che non includeva una analisi omni-comprensiva iniziale dev’essere poi difeso nonostante sia fallato, per non soggiacere nella dialettica politica.
Sarebbe sufficiente che vi fosse per ogni soluzione di digitalizzazione un parere conforme vincolante sulle soluzioni architetturali nonché tecniche da parte tanto delle autorità preposte (vedi DIS, CERT-PA, CERT-DIFESA etc), quanto dal dialogo multi-stakeholder (vedi Accademia, Consorzio Cini, Associazioni di Categoria).
Non ci vuole tanto, viene fatto per l’impatto sulla data protection nei riguardi del Garante Privacy, eppure se lo dimenticano tutti per quanto attiene alla cybersecurity.
Come mai?
Fabio
Per chi se li fosse persi, ci tengo a segnalare:
Quest’ottimo articolo su agendadigitale.eu che per me ha rappresentato la lettura su SPID più interessante di sempre. Le parole di Prosperetti affrontano finalmente aspetti mai chiariti prima e ripetutamente chiesti negli ultimi due anni su questo Forum (perché si è pensato di usare i provider privati, i vari e veri argomenti pro e contro il pagamento da parte dei cittadini per ottenere identità digitali e documenti, perché è difficile riformare il sistema, e così via).
Quest’articolo sul Sole 24 Ore molto più semplice e brevissimo che dimostra, più che altro, come i problemi degli ultimi mesi abbiano portato molti nodi al pettine e forse riportato la necessità di riforme al centro del dibattito (di nuovo, featuring Prosperetti).
1 Mi Piace