Marco Calamari

Lampi di Cassandra/ SPID o non SPID?

di M. Calamari - "Essere o non essere digitali" è il grande quesito al quale noi italiani dobbiamo rispondere. Il rischio di furti di identità c'è ma fino a quando SPID non sarà realmente sicuro è meglio attendere

Lampi di Cassandra/ SPID o non SPID?Oggi l'amletico dubbio contenuto nel titolo, particolarmente evidente per i lettori che già conoscono le precedenti esternazioni di Cassandra in tema (questa e quest'altra), sarà sciolto razionalmente senza ricorrere alla divinazione, non dubitate.

Riassunto delle puntate precedenti: a parere di Cassandra solo la SPID di livello 2 con token OLTP o la SPID di livello 3 con token crittografico possono essere considerate affidabili.
Visto che a tutt'oggi nessuno ancora le fornisce, non bisogna (almeno per ora) usare o richiedere la SPID perché troppo insicura dal punto di vista informatico: rappresenta un rischio elevato (una grande superfice di attacco) alla propria "identità digitale" intesa in senso esteso.

Sul Fatto Quotidiano online è stato pubblicato di recente un video molto ben realizzato, che spiega come utilizzare mezzi illegali ma semplici, anzi banali, per ottenere l'identità digitale di un altra persona. È bene ripeterlo: per ottenere l'identità digitale di un'altra persona. Il video in questione, oltre che agghiacciante, è pure divertente, e Cassandra ne consiglia fortemente la visione prima di proseguire.
Riassunto del video: Il giornalista si è procurato i dati personali pubblici di una persona, ha rozzamente e velocemente falsificato due documenti di identità, e li ha usati per ottenere la SPID, ingannando l'operatore del fornitore di SPID che li esamina e li autentica utilizzando la webcam del portatile.

Bene, sorvoliamo sul fatto che durante la realizzazione del video, così ad occhio (Cassandra fa la profetessa e talvolta l'ingegnere, non l'avvocato), sono stati compiuti almeno tre reati tutt'altro che lievi. Tralasciando come detto queste "pinzillacchere", citando il grande Totò, analizziamo direttamente la "procedura" seguita.
Quello che è stato violato non è il meccanismo informatico della SPID in quanto tale, ma uno degli svariati metodi per ottenerla da un fornitore certificato (attualmente ce ne sono 4), metodi che sono in parte lasciati all'arbitrio del singolo fornitore di SPID.

Il nocciolo del problema è che se falsificare documenti di identità che debbano essere "utilizzati" nella maniera tradizionale è operazione molto difficile, falsificarli per usarli davanti a una webcam è ridicolmente facile. Non è un caso che per facilitare la diffusione della SPID, tra le varie modalità di rilascio siano previste non solo la tradizionale visita di un apposito ufficio o l'utilizzo di una firma digitale (equivalente all'ancora inesistente SPID livello 3), ma anche modalità online molto semplici e "amichevoli" (ma certo non sicure) come la webcam. E non è nemmeno un caso che di solito le operazioni tradizionali e scomode siano gratuite mentre quelle online, semplici e comode, siano a pagamento. Non dimentichiamo che i fornitori di SPID sono aziende, e che come qualsiasi azienda devono, dopo essersi certificate e operando in base a regole tecniche precise, generare profitto.

Ma basta ripetere concetti già noti, che rischiano di diventare noiosi. Se avete preso in considerazione la possibilità di aggiungere la SPID alle altre identità digitali di cui siete probabilmente già in possesso (Tessera Sanitaria, Carta di Identità Elettronica, Carta Nazionale dei Servizi, Firma Digitale) e non lo avete fatto perché negativamente influenzati da Cassandra, adesso dovreste porvi un quesito e trovare la relativa risposta: "Io la SPID non la vorrei avere, ma visto che è possibile che altri la ottengano fraudolentemente al mio posto, forse è meglio che la chieda prima io e poi magari non la utilizzi, tanto è anche gratis."
Domanda sensatissima, tanto più che avendo la SPID potreste chiedere in ogni momento l'elenco degli accessi effettuati e accorgervi se qualcuno la sta usando al vostro posto.

Come aiuto per trovare una risposta, e anche per rendersi conto di quanto siano complesse le problematiche da affrontare, Cassandra consiglia la lettura della pagina FAQ nel sito dell'Agenzia per l'Italia Digitale. Basta consultarla e magari scartabellare anche un po' tra gli altri regolamenti della SPID, per darsi la risposta. La risposta è "No".

La SPID appartiene infatti a quella classe di identità digitali che possono essere multiple; insomma voi (e in maniera truffaldina altri) potete ottenerne più di una.
Non potete ottenere due carte di identità digitali, come non potete chiedere due tessere sanitarie, ma dovete denunciare la perdita, furto o distruzione della prima e farvene rilasciare una seconda.
È invece possibile, ragionevole e in certi casi necessario avere più di una firma digitale, come succede da sempre anche per la firma autografa, ad esempio l'amministratore di un'azienda che firma in un modo per gli atti aziendali e in modo diverso per quelli personali.
E poiché il fatto di aver richiesto la SPID non impedisce che altri ne chiedano una seconda, utilizzando metodi fantasiosi come quello illustrato sopra, potete continuare tranquillamente (mica tanto) a farne a meno.

Potete quindi continuare pazientemente ad attendere una SPID di livello 2 con token OLTP o di livello 3, sicure e rilasciate con metodi altrettanto affidabili, almeno fino a quando avere la SPID non diverrà obbligatorio.
Obbligatorio?!? Cassandra non vuole azzardare oggi altre profezie di sventura, ma solo far notare che, almeno a sentire i media, lo è già adesso in casi particolari, ad esempio per ottenere il "Bonus 18 anni" di 500 euro, che può essere richiesto solo ottenendo prima la SPID.

L'amletico dubbio se "Essere o non essere digitali" insomma, ha in questo caso una facile risposta.

Marco Calamari
Lo Slog (Static Blog) di Marco Calamari
L'archivio di Cassandra/ Scuola formazione e pensiero
Notizie collegate
28 Commenti alla Notizia Lampi di Cassandra/ SPID o non SPID?
Ordina
  • Ma è terribile il video del Fatto Quotidiano che ci hai mostrato!!!
    Quindi anche se non mi iscrivo sono lo stesso "crackabile".

    Siamo in mano a degli emeriti IMBECILLI !!!.
    E li paghiamo anche!!!

    Terribile...
    non+autenticato
  • lo Spid di livello 1 serve per cose elementari quindi falsificarlo per ottenere almeno due condanne penali non è che sia una grande idea.
    In pratica l'articolo dice "avete visto che il lucchetto piccolo non è sicuro?" E sti cassi, a parte il fatto che rischi molto solo per fare il furbetto, dopo cosa ci apri?
    Insomma, che a Calamari lo SPID non piaccia si è capito, però qua si inizia ad essere un po' faziosi a mio avviso.

    PS: ed aggiungo che ottenere più spid è del tutto normale perché lo spid passa da un gestore dell'identità, l vostre identità sono gestite da più operatori al momento anche se forse non ve ne rendete conto, ma alla fine si identifica UNA persona, si confonde lo strumento con l'obiettivo qua
    non+autenticato
  • - Scritto da: trovaridico li
    > lo Spid di livello 1 serve per cose elementari
    > quindi falsificarlo per ottenere almeno due
    > condanne penali non è che sia una grande
    > idea.
    > In pratica l'articolo dice "avete visto che il
    > lucchetto piccolo non è sicuro?" E sti cassi, a
    > parte il fatto che rischi molto solo per fare il
    > furbetto, dopo cosa ci
    > apri?
    > Insomma, che a Calamari lo SPID non piaccia si è
    > capito, però qua si inizia ad essere un po'
    > faziosi a mio avviso.

    Se magari spieghi percheì. L'articolo e' ben motivato.

    > PS: ed aggiungo che ottenere più spid è del tutto
    > normale perché lo spid passa da un gestore
    > dell'identità, l vostre identità sono gestite da
    > più operatori al momento anche se forse non ve ne
    > rendete conto, ma alla fine si identifica UNA
    > persona, si confonde lo strumento con l'obiettivo qua

    Direi che sei tu che confonndi una credenziale
    (un dispositivo di firma elettronica) con una identita'
    (la Carta di Identita' Elettronica).
    Legalmente e praticamente sono due cose completamente
    diverse.

    La SPID viene spacciata per Identita Digitale, ma e'
    solo un sistema di distribuzione di credenziali,
    pero' rese tutte equipollenti. Un casino.
    non+autenticato
  • >
    > Se magari spieghi percheì. L'articolo e' ben
    > motivato.

    L'ho spiegato: lo spid di livello 1 è l'accesso con le sole credenziali, serve per servizi non sensibili. Se uno vuole rischiare il carcere per avere ad esempio un certificato di residenza di qualcuno, faccia pure (ricordo che il certificato di resindeza lo puoi richiedere all'ufficio anagrafe, è un dato pubblico)


    > Direi che sei tu che confonndi una credenziale
    > (un dispositivo di firma elettronica) con una
    > identita'
    > (la Carta di Identita' Elettronica).
    > Legalmente e praticamente sono due cose
    > completamente
    > diverse.
    >


    Scusa, dove avrei parlato di firma elettronica e carta di identità elettronica??? Guarda che stai facendo un gran casino



    > La SPID viene spacciata per Identita Digitale, ma
    > e'
    > solo un sistema di distribuzione di credenziali,
    > pero' rese tutte equipollenti. Un casino.

    NOOOOOOOOO!!!! Lo spid non è un sistema di distribuzioni di credenziali, è un metodo di accesso ad uno dei possibili gestori dell'identità digitale (che non vuol dire che emettono carte di identità!).

    L'identità è UNA, infatti la persona è UNA, ed i documenti di identità sono UNICI e li rilasciano gli organi competenti, l'ufficio anagrafe con i suoi ufficiali di stato civile, ti danno la classica carta di identità classica o elettronica che sia.
    Adesso tu nella tua vita fai delle cose, ad esempio ti fai un numero di cellulare o apri un conto in banca. In quel momento fornisci i tuoi documenti UFFICIALI rilasciati dall'anagrafe quindi la banca e l'operatore telefonica sanno chi sei con certezza. Vedi che già sono in DUE a sapere chi sei? ma l'identità rimane una, cioè sei sempre tu, una singola persona, con il tuo bel documento dell'anagrafe.
    Ad un certo punto lo Stato ha detto: c'è qualche azienda alla quale interessa gestire le "identità digitali"? Noi vogliamo autenticare dei cittadini con vari livelli di sicurezza, ci serve qualcuno che "garantisca" il processo telematico perché noi non vogliamo farlo...
    Ecco allora che se la tua banca o il provider di telefonia decidono di accreditarsi, possono fare da tramite tra te ed i servizi dello Stato, ma non stanno gestendo i tuoi documenti, stanno gestendo la tua identià digitale. Ed ecco spiegato anche perché ne puoi avere più di una.
    Allo stesso modo puoi avere più dispositivi di firma, uno comprato da aruba ed uno da infocert ad esempio (tornando al tuo discorso sulla firma elettronica), perché sono solo strumenti dove un ente ha certificato chi sei guardando il tuo documento, quello fornito dall'anagrafe.

    L'identità, lo ripeto, è univoca, gli strumenti per gestirla possono essere diversi. A me sembra chiaro.
    non+autenticato
  • - Scritto da: trovaridico li
    > >
    > > Se magari spieghi percheì. L'articolo e' ben
    > > motivato.
    >
    > L'ho spiegato: lo spid di livello 1 è l'accesso
    > con le sole credenziali, serve per servizi non
    > sensibili. Se uno vuole rischiare il carcere per
    > avere ad esempio un certificato di residenza di
    > qualcuno, faccia pure (ricordo che il certificato
    > di resindeza lo puoi richiedere all'ufficio
    > anagrafe, è un dato pubblico)

    Non stai ragionando in sicurezza; ottieni anche la
    SPID-2, e se esistesse anche la SPID-3 .....
    .... vedi il problema adesso?

    E comunque, anche limitandosi alla SPID-1, non sei a
    disagio sapendo che in pratica tutti i siti della PA
    ti autenticano con la stessa passsword?
    Hai presente il concetto di "difesa in profondita'"?



    > > La SPID viene spacciata per Identita
    > Digitale,
    > ma
    > > e'
    > > solo un sistema di distribuzione di
    > credenziali,
    > > pero' rese tutte equipollenti. Un casino.
    >
    > NOOOOOOOOO!!!! Lo spid non è un sistema di
    > distribuzioni di credenziali, è un metodo di
    > accesso ad uno dei possibili gestori
    > dell'identità digitale (che non vuol dire che
    > emettono carte di
    > identità!).

    Appunto, siccome non emettono carte di identita',
    e quindi la SPID non e' un documento di identita',
    la SPID e' solo un sistema di generazione e vendita
    di credenziali.

    Un caro saluto e ci siamo gia' detti tutto il
    necessario.
    non+autenticato
  • Caro trovaridico li, hai trascurato un piccolo fattore.

    LA GENTE COSA NE SA ?!

    L'onere di conoscere il sistema passa al cittadino, che magari fa il muratoreo l'imbianchino?

    Ma quando mai?

    Sono dei grandissimi cogghioni, questa è l'amara verità.
    Lucchetto piccolo o lucchetto grande che sia, non si dovrebbero permettere di fare simili idiozie.

    E tu li difendi pure!
    Incredibile italietta in mano agli italioti.
    non+autenticato
  • Ed attrezzare l'anagrafe e recarsi di persona e' complicato? con i problemi che ci sono su internet tra acher,truffatori, foto e dati circolano ovunque, la presenza fisica diventa requisito necessario e l'anagrafe e' l'unico ufficio che da un minimo di garanzie e fa il lavoro che ha sempre fatto, i form su internet sono del tutto inaffidabili
    non+autenticato
  • Grande idea.
    Specialmente, nuova.
    non+autenticato
  • il vero problema è che In Aipa poi CNIPA poi Agid e chi "incarnazioni ha più ne metta"

    Hanno sempre trascurato (erano troppo impegnati a fare lobby con i soliti) il vero problema.
    Ovvero non tanto come sia organizzata una (o LA se è solo una) "Certification Authority" o le Attribute authority" (se ce ne fosse bisogno e per la direttiva europea (EIDAS ce ne sarebbe bisogno e facoltà... ma qui il discorso diventerebbe lungo)...
    Ma piuttosto il punto è come è (o meglio sono) organizzate le "registration authority" ovverosia quelle organizzazioni e quei singoli che registrano la richiesta di un documento/credenziale.

    Se la procedura è corretta e l'assesment di sicurezza (e la/le policy) è corretto ciò che (mi chiedo perchè solo ora) ha evidenziato "il fatto" non può succedere.

    Il perchè in Agid quando si pronunciano le parole "registration autority" tutti facciano orecchie da mercante sarebbe degno di qualche "indagine".

    Il punto comunque è che in realtà degli esempi corretti ci sono ad il modo in cui si rilascia la carta di identità (ad esempio) o il passaporto che sono (al di là dei mezzi tecnici) dei veri e propri "certificati" si potrebbe nello stesso luogo e sede fare registrazione (o registrazione e rilascio) di credenziali elettroniche?
    Naturalmente si!
    E allora?
    Beh... che dire.. c'è un dettaglizzo da tenere presente ... i suddetti "registratori" autorizzati svolgono un servizio "pubblico" (capito? pubblico!) e oltretutto se non seguono le procedure corrette rischiano "grosso" (galera compresa nel caso...).

    Beh e allora?... beh che ve lo dico a fare ho detto "servizio pubblico" mica le lobbies!
    A bocca aperta
    Poi per carità si potrebbe fare anche con privati!
    Dove sta il problema basta richiedere pari requisiti procedurali e (ovviamente) pari RESPONSABILITÀ (capita la paroletta responsabilità?) ovviamente con quel che ne consegue (galera compresa).
    Difficile?
    No...
    Impossibile!
    A bocca aperta
    non+autenticato
  • Da quello che si evince nell'articolo, sia che io richieda lo SPID, sia che io non lo richieda, chiunque lo potrebbe comunque richiedere a mio nome rubando la mia identità, quindi non vedo nessun vantaggio a non richiederlo se mi serve.
    Il non richiederlo non impedirà in nessun modo all'eventuale malintenzionato di chiederlo lui a mio nome.
    Quindi il punto non è non richiedere lo SPID, il punto è rendere la procedura di rilascio dello SPID più sicura.
    non+autenticato
  • - Scritto da: Davide
    > Da quello che si evince nell'articolo, sia che io
    > richieda lo SPID, sia che io non lo richieda,
    > chiunque lo potrebbe comunque richiedere a mio
    > nome rubando la mia identità, quindi non vedo
    > nessun vantaggio a non richiederlo se mi
    > serve.
    > Il non richiederlo non impedirà in nessun modo
    > all'eventuale malintenzionato di chiederlo lui a
    > mio nome.

    Probabilmente devi leggere il primo articolo
    della serie per capire ....
    In soldoni, SPID-1 e SPID-2SMS ampliano la
    superficie di attacco per minacce ben note,
    quindi non vanno usate.

    SPID-2Token e SPID-3 (guarda caso) non le vendono.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)