Marco Calamari

Cassandra Crossing/ SPID da cambiare?

di M. Calamari - Agenda Digitale pubblica il primo articolo critico sulla SPID. Cassandra plaude al coraggio, sposa ancora una volta la polemica e fa i suoi doverosi chiarimenti

Roma - I frequentatori assidui di questa rubrica sanno che Cassandra sulla SPID ha già esternato a più non posso in ben 6 articoli, tanto che alcuni le hanno espresso una certa perplessità per questa logorrea.

Chiediamo scusa a loro, perché oggi arriviamo al settimo, a causa della pubblicazione, sul quotidiano telematico Agenda Digitale, di un interessantissimo articolo a firma di Gianluigi Cogo, che concorda con alcune delle profezie perplessità cassandresche. Leggetelo, vale il tempo necessario.

Per i pigri, la parte più interessante è la seguente:
"Sia chiaro che qui facciamo tutti il tifo per SPID perché si tratta di una vera rivoluzione (ahimè, per il nostro vecchio paese è proprio così). Ma dopo un anno di sperimentazione l'adozione è bassissima e la reingegnerizzazione dei servizi praticamente assente Inoltre, la forma di erogazione freemium (alla fine dei due anni si dovrà pagare per avere accesso) non ci rende tranquilli.
Il piano triennale prevede una forte accelerazione di SPID, perché fra le varie piattaforme abilitanti è quella più importante e più delicata per il futuro stesso del rapporto fra la PA e i suoi clienti.
Il team sta facendo buone cose coinvolgendo gli sviluppatori nella community che dovrà cambiare la 'piattaforma paesè, ma ad oggi i risultati non si vedono.
Colpa di tutti, PAC, PAL e mercato. Tutti con il freno a mano tirato."


L'articolo tuttavia arriva a conclusioni assai diverse da quelle di Cassandra:

"Cosa serve dunque per accelerare? Semplice, riprogettare da capo le applicazioni, non solo mettere a disposizione un framework di autenticazione e accesso."

Ora, Cassandra è senz'altro sollevata dall'esistenza di un addetto ai lavori che condivide la sua opinione sulla salute presente e futura della SPID, situazione che è tanto evidente quanto poco, anzi punto, raccontata. Finalmente!

Non ci vuole molto, infatti, per constatare che la SPID è al palo, che è stata adottata solo da pochi addetti ai lavori per curiosità e da un milione di persone che solo così potevano avere 500 euro o andare in pensione.

Né è difficile prevedere che, quando la SPID cesserà di essere gratuita, l'intero modello di business pubblico-privato probabilmente affonderà, facendo condividere alla SPID il destino dell'inutile e per fortuna ormai defunta CEC-PAC. Proprio la storia della CEC-PAC dimostra come sia inutile, anzi dannoso "spingere" iniziative che non decollano per problemi di base (nel caso della CEC-PAC il fatto di essere un duplicato della PEC) con interventi "propagandistici", come quello di battezzarla equivocamente e viscidamente "PostaCertificat@".

Poco condivisibile appare invece la premessa dell'articolo che sia il processo di attivazione in 4 step ad essere di ostacolo all'adozione di SPID; certo non ne aiuta l'adozione "d'impulso", ma non è questo il problema, anzi.

Chi ha bisogno di una novità utile, come la PEC o la firma digitale, non si lascia certo scoraggiare da un po' di (normale, necessaria, anzi indispensabile) burocrazia. Il successo della firma digitale ne è la prova.

Di converso, adopter "allegri" e poco consapevoli di una novità informatica che, se usata con poca cura e comprensione, presenta intrinseci pericoli per la vita digitale, è meglio che siano scoraggiati dall'adottarla, almeno fino a quando le debolezze implementative della SPID non saranno risolte dal "mercato" o ex-lege.

A prescindere dalle valutazioni tecniche su particolari aspetti dell'iniziativa SPID infatti, certamente nessuno può trovare desiderabile che milioni di persone che non sono in grado di gestire password diverse per servizi diversi, aderiscano d'impulso alla SPID senza essere in grado di comprenderne le problematiche di sicurezza.
Il single point of failure della SPID è infatti rappresentato proprio dal suo vantaggio principale, cioè dall'essere una singola credenziale universale, come implementata oggi ahimé debole.

E neppure appare risolutiva la soluzione proposta nell'articolo di una necessaria "riprogettazione delle applicazioni" della SPID. Si dovrebbe parlare di "creazione" di applicazioni utili e sicure della SPID. Manca infatti proprio l'innovazione, che deve venire dalle aziende o dagli utilizzatori; senza un'utilità di base e senza una killer application non si risolverà mai il circolo vizioso in cui la SPID è intrappolata, cioè che il suo successo dipende da un' adozione generalizzata "a priori", pur trattandosi di una novità che non offre vantaggi immediati per gli utenti, e porta invece nuovi pericoli certi.

Ed a questo proposito si deve sottolineare che manca, almeno tra il materiale pubblicamente disponibile, la definizione del modello di minaccia e dei vettori di attacco applicati durante l'analisi delle problematiche di sicurezza del sistema SPID.
Detto in termini semplici, delle conseguenze, ad esempio, della diffusione di un malware customizzato che faccia MITM a tutte le SPID 2 esistenti, oppure della sottrazione e diffusione del database degli utenti di uno dei provider di SPID.

In queste condizioni il giudizio di Cassandra resta quello di un rifiuto critico della partecipazione a questa iniziativa, che pure avrebbe importanti aspetti positivi.
E, ricordiamo, purtroppo astenersi dal richiedere la SPID non garantisce che qualcun altro non possa ottenere il rilascio fraudolento delle credenziali SPID di chi non le ha mai richieste.

Marco Calamari - @calamarim

Le profezie di Cassandra: @XingCassandra
Videorubrica "Quattro chiacchiere con Cassandra"
Lo Slog (Static Blog) di Cassandra
L'archivio di Cassandra: scuola, formazione e pensiero
Notizie collegate
  • SicurezzaCassandra Crossing/ Difendiamo la SPID3Di M. Calamari - Un Sistema Pubblico di Identità Digitale sicuro non può fare a meno dei token hardware controllati dall'utente. Ma per facilitare la vita ai pigroni e agli Identity Provider di restare ancorati alle insicure password si può cercare di snaturarlo
  • AttualitàCassandra Crossing/ I numeri dell'eGov: SPIDdi M. Calamari - Trascorsi 10 mesi dal lancio il Governo dichiara 1 milione di erogazioni del Sistema Pubblico di Identità Digitale. Ma i conti tornano? E ce la farà a convincere 10 milioni di cittadini entro fine 2017?
  • SicurezzaLampi di Cassandra/ SPID o non SPID?di M. Calamari - "Essere o non essere digitali" è il grande quesito al quale noi italiani dobbiamo rispondere. Il rischio di furti di identità c'è ma fino a quando SPID non sarà realmente sicuro è meglio attendere
  • SicurezzaLampi di Cassandra/ SPID2, l'opinione del NISTdi M. Calamari - Negli USA l'autenticazione a due fattori a mezzo SMS viene bocciata e sparirà presto dalla circolazione. E non è solo questione di malware
  • SicurezzaLampi di Cassandra/ SPID, un dibattito è indispensabiledi M. Calamari - La segnalazione di Cassandra sulle falle strutturali di SPID è stata raccolta, ma le perplessità restano. E' per questo motivo che il confronto tra esperti e istituzioni è d'obbligo. Magari nel contesto di e-privacy
  • SicurezzaLampi di Cassandra/ Lo SPID è nato morto?di M. Calamari - I sistemi di autenticazione a due fattori gestiti tramite SMS soffrono di problemi strutturali, suggerisce una ricerca dell'Università di Amsterdam. SPID-2 si basa proprio su questo meccanismo
22 Commenti alla Notizia Cassandra Crossing/ SPID da cambiare?
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)