Un’inchiesta de Il Fatto Quotidiano ha dimostrato come sia facile rubare l’identità digitale SPID di una persona falsificandone grossolanamente i documenti di identità e mostrandoli via webcam al “certificatore” (Infocert, nel caso specifico).
Sono, così, emersi un peccato originale normativo, un errore di concepimento dei processi di identificazione SPID e un’omissione di sorveglianza da parte delle autorità pubbliche – Agid e forse un’esigenza di intervento del Garante dei dati personali prima di tutte.
Ed è arrivata l’ulteriore dimostrazione di quanto SPID sia, oltre che inutile, estremamente pericoloso per i cittadini che rimangono praticamente indifesi contro più che concreti pericoli di frode, dossieraggio e violazione dei propri dati personali.
Il peccato originale normativo di SPID è lo stesso che, nel 1997, macchiò la neonata firma digitale istituita con il DPR 513/97: accettare l’idea che l’identità personale, fino a quel momento certificata solo da pubblici ufficiali, potesse essere attestata con valore legale anche da soggetti privati.
All’epoca, dunque, vennero proposti i metodi più estrosi per identificare con certezza (almeno sulla carta) chi richiedeva una smart-card, come per esempio l’attestazione da parte di un cassiere bancario.
Dunque, la privatizzazione dell’identità personale viene da lontano: è iniziata con la firma digitale fino ad arrivare a SPID, passando per la carta di identità elettronica (CIE), quella nazionale sui servizi (CNS), l’istituzione (e l’eutanasia) delle varie PEC, CEC-PAC e via discorrendo.
Si tratta di una scelta politica, come tale libera nel fine e non censurabile in termini legali. Ma è stato quantomeno imprudente dimenticare le lezioni apprese durante la “posa in opera” della firma digitale sulla non sostituibilità di un (primo) contatto diretto con il soggetto da identificare e sulle conseguenze di avere scelto un modello di identificazione gerarchico invece che basato su quello di “web of trust” – utilizzato per esempio in alcuni circuiti di crittografia a chiave pubblica come quelli basati su software come (il vecchio ma non per questo desueto) PGP.
L’errore di concepimento dei processi di identificazione che portano alla creazione di un account SPID, come rivela l’inchiesta del quotidiano, è quello di utilizzare un documento di identità cartaceo in modo difforme dalla sua destinazione naturale. Il passaporto, la carta di identità… di carta – come anche la cartamoneta – sono progettate per rivelare la contraffazione. Tradotto: il documento di identità cartaceo è pensato per essere verificabile direttamente da un altro essere umano che ne deve poter valutare le caratteristiche fisiche o, come nel caso del passaporto, tecnologiche.
Esibire il documento davanti a una webcam, come ha pensato di fare Infocert, è semplicemente un modo sbagliato di utilizzarlo perché non consente di verificarne la genuinità. Che, poi, nella prassi l’uso di fotocopie e scansioni di patenti, passaporti e documenti vari sia diventata la regola, non cambia il fatto che – almeno nel caso specifico – il documento cartaceo sia utilizzato in modo improprio e dunque privo di valore legale.
Sarebbe stato preferibile utilizzare un certificato digitale come quelli rilasciati a professionisti e imprese. Ma allora sarebbe lecito domandarsi a che scopo realizzare SPID, se per identificare online qualcuno bastava la carta di identità elettronica rilasciata da un comune… appunto.
Ma la parte più grave di questa vicenda è la mancata sorveglianza delle autorità che, a vario titolo, hanno voce in capitolo sul modo in cui viene gestito SPID.
Se il metodo di identificazione utilizzato da Infocert è conforme alle regole tecniche emanate da AgiID, allora è quest’ultima – e non il certificatore – ad avere consentito (anche non vietando di utilizzare certi metodi) di creare un sistema intrinsecamente vulnerabile. Viceversa, se le regole tecniche impediscono di usare una webcam o misure analoghe per identificare una persona, allora Infocert ha messo in piedi un processo sbagliato ma nessuno se ne è accorto fino all’inchiesta de Il Fatto.
La facilità con la quale è possibile rubare l’identità di qualcuno, inoltre, avrebbe dovuto provocare l’immediata reazione dell’Autorità garante per la protezione dei dati personali – sempre così sollecita nei confronti di operatori telefonici e internet company – che però ad oggi non è ancora arrivata. E sarebbe anche interessante sapere se l’Autorità sia stata preventivamente coinvolta in fase di definizione dei processi di identificazione, prima della loro messa in funzione.
Ma tutto questo, evidentemente, non è avvenuto, perchè se AgID e Garante avessero saputo e taciuto, la situazione sarebbe ancora più seria. E per capire come si è arrivati a questa paradossale situazione non guasterebbe andare a rileggere il modo in cui SPID si è trasformato da una buona idea in quello che è oggi.
Per farla breve: tutti i soggetti – pubblici e privati – coinvolti anche indirettamente nella vicenda denunciata dall’indagine giornalistica hanno contribuito a piantare un altro chiodo sulla tomba del sistema pubblico di identità digitale. E a radicare la convinzione che in Italia sia veramente impossibile fare innovazione.