L’introduzione di IT-Wallet nell’app IO, già in fase di test da oltre un mese, consentirà di avere sempre con sé documenti come la patente di guida, la tessera sanitaria e la carta europea della disabilità, nelle loro versioni digitali, che potranno essere esibite alle forze dell’ordine in caso di controllo o negli uffici di competenza per svolgere le pratiche amministrative. Una novità importante e attesa, oggetto di discussione nell’ultimo periodo anche per quanto concerne i potenziali rischi inerenti alla privacy.
App IO e IT-Wallet: la privacy è al sicuro?
La domanda è legittima: il portafoglio digitale, che nel tempo diventerà sempre più completo e versatile, è da considerarsi del tutto sicuro? Oppure sono presenti vulnerabilità che qualche malintenzionato potrebbe sfruttare a proprio vantaggio, con l’obiettivo di allungare le mani sui dati altrui con finalità non certo amichevoli?
In un’intervista rilasciata nei giorni scorsi a ItaliaOggi, Andrea Carmignani, cofondatore e CEO di Keyless, si è concentrato su un aspetto in particolare: l’autenticazione con SPID. L’articolo, ripreso anche da alcune testate all’estero, è protetto da paywall, ma leggibile integralmente nel post su LinkedIn del diretto interessato, in cui afferma quanto segue.
L’autenticazione tramite SPID potrebbe non garantire il rispetto degli standard UE, mettendo a rischio aspetti fondamentali come utilizzabilità e sicurezza.
L’Agenzia per la Cybersicurezza Nazionale ha sollevato preoccupazioni riguardo ai furti d’identità, un problema che pesa non solo sul settore bancario e finanziario, ma anche sulla Pubblica Amministrazione.
Il livello di sicurezza del Wallet è stato, giustamente, uno dei temi più dibattuti e la conclusione a cui si è giunti è che la sicurezza di SPID potrebbe essere significativamente migliorata con l’integrazione del riconoscimento biometrico.
ACN e la sicurezza di SPID
È vero che l’Agenzia per la Cybersicurezza Nazionale ha trattato in più occasioni l’argomento relativo ai furti d’identità: è sufficiente una ricerca sul portale istituzionale per trovare diversi contenuti in merito. Al tempo stesso, però, non siamo stati in grado di risalire ad alcun intervento in cui ne attribuisce la responsabilità, parzialmente o totalmente, a SPID.
La stessa ACN accetta SPID come unico sistema di autenticazione per l’accesso al proprio Portale dei Servizi.
Inoltre, il sistema dispone di tre diversi livelli di sicurezza. Solo il primo consente di effettuare l’accesso con la semplice accoppiata formata da nome utente e password. Inoltre, tutti gli identity provider al momento autorizzati al rilascio e alla gestione delle credenziali permettono di abilitare almeno il secondo livello, quello che richiede anche la generazione di un codice temporaneo OTP oppure l’utilizzo di un’applicazione mobile che già impiega il riconoscimento biometrico.
Se sarà un problema per l’app IO, lo è già
In conclusione, se davvero l’infrastruttura di SPID, per come è stata concepita, rappresenta un potenziale pericolo per la privacy e i dati dei cittadini, lo è già oggi e di certo non lo diventerà solo con l’arrivo di IT-Wallet nell’app IO.
Ricordiamo infine che l’inclusione della novità nell’applicazione è prevista, per tutti, entro i prossimi mesi. Ai tre documenti citati in apertura, dovrebbe aggiungersi anche la carta di identità elettronica a inizio 2025.