Spid, per la sicurezza bisogna cambiare il sistema di riconoscimento

E’ di pochi giorni fa la notizia (riportata da Il Fatto Quotidiano) di una falla nel sistema di identificazione dei soggetti richiedenti un’identità digitale, già commentata da altri espertisulle pagine di agendadigitale.eu.

La vicenda prende le mosse da una particolare modalità di riconoscimento, non prevista dalla normativa europea, utilizzata da alcuni gestori dell’identità digitale ai fini del rilascio delle credenziali di accesso allo SPID. Si tratta del riconoscimento a mezzo webcam, tramite il quale il cittadino viene identificato in una sessione di videoconferenza, vengono verificati i documenti di identità ed adottate alcune ulteriori precauzioni (quali la registrazione della sessione) per fornire l’eventuale prova in caso di contestazione.

E’ bene evidenziare che tale procedura non è prevista né dal Regolamento n. 910/2014 cd. eIDAS, né dal Regolamento di esecuzione (UE) n. 2015/1502 della Commissione Europea dell’8 settembre 2015, il cui allegato agli articoli 2.1.2 e 2.1.3 disciplina nel dettaglio le modalità con cui controllare e verificare l’identità delle persone fisiche e giuridiche che richiedono uno strumento di identificazione elettronica.

Per le identità digitali in questione (ossia quelle costituite da credenziali di autenticazione per l’accesso a servizi erogati da pubbliche amministrazioni o da privati), che sono considerate di livello di sicurezza “basso” (individuato, nel regolamento AGID sulle modalità attuative dello SPID, nel livello 1 (corrispondente al LoA2 dell’ISO-IEC 29115), tale ultimo Regolamento stabilisce che il controllo e la verifica dell’identità del richiedente debbano essere effettuati secondo i seguenti passaggi: 1) la persona può essere ritenuta in possesso di una prova riconosciuta dallo Stato membro in cui è presentata la domanda di rilascio del mezzo di identificazione elettronica e attestante l’identità dichiarata; 2) la prova può essere ritenuta autentica o esistente in virtù di una fonte autorevole ed è all’apparenza valida; 3) l’esistenza dell’identità dichiarata è accertata mediante una fonte autorevole e si può presumere che la persona che sostiene di possederla sia la stessa e unica persona.

Si tratta, quindi, di verificare il possesso da parte del richiedente di una prova attestante la propria identità, della verifica dell’autenticità o esistenza di tale prova ed, infine, dell’accertamento che tale identità esista davvero.

Ebbene, il Regolamento AGID sopra citato ha espressamente disciplinato all’art. 8 la possibilità di un’identificazione da remoto del richiedente “tramite di strumenti di registrazione audio/video”. In base a tale norma “L’operatore che effettua l’identificazione accerta l’identità del richiedente tramite la verifica di un documento di riconoscimento in corso di validità, purché munito di fotografia recente e riconoscibile e firma autografa del richiedente stesso, rilasciato da un’Amministrazione dello Stato e verifica il codice fiscale tramite la tessera sanitaria in corso di validità”.

Effettuata la sessione audio/video il gestore dell’identità digitale, prima del rilascio della stessa, deve verificare l’autenticità e validità dei documenti presentati per l’identificazione, accertando che “ I documenti sono autentici e validi sulla base di quanto risulta da soggetti istituzionali competenti (articolo 4, comma 1, lettera c del DPCM o, in assenza di convenzioni con l’Agenzia, tramite verifiche sulla base di documenti, dati o informazioni ottenibili da archivi delle amministrazioni certificanti, ai sensi dell’art. 43, comma 2, del D.P.R. 28 dicembre 2000, n. 445). Il richiedente viene identificato usando le informazioni ottenute da soggetti istituzionali competenti con i quali l’Agenzia stipulerà apposite convenzioni.” . Attualmente, tale controllo comporta solo la verifica che il documento di identità presentato per l’identificazione non sia stato smarrito o rubato (ciò tramite collegamento all’apposita banca dati del Ministero dell’Interno, pubblicamente accessibile).

In verità, quindi, stante l’assenza di una vera e propria banca dati a cui i gestori dell’identità digitale possono collegarsi per verificare l’autenticità del documento presentato, l’ulteriore fase di verifica della genuinità del documento è oggi in Italia non attuata, potendo verificarsi unicamente che il documento non sia stato denunciato come smarrito o rubato.

La mancanza (ed attuale impossibilità) di tale verifica comporta inevitabilmente che proprio nei casi di identificazione da remoto previsti dalla normativa italiana si possano perpetrare le ipotesi di furto di identità. Ed infatti, come già notato da altri osservatori, la verifica della originalità di un documento tramite una webcam è alquanto difficile se non impossibile. Mediante una registrazione in presenza l’eventuale addetto si sarebbe potuto immediatamente accorgere della falsificazione della carta di identità, come attuata dal giornalista de Il Fatto Quotidiano, ma essendo collegato da remoto e non potendo esaminare nel dettaglio il documento stesso (la consistenza, la presenza di alterazioni, la genuinità della carta su cui è stampato, etc.) è stato facilmente indotto in errore circa l’identità del richiedente.

A questo punto sorge spontaneo chiedersi per quale motivo il legislatore italiano, rectius l’autorità di vigilanza sul sistema pubblico di identità digitale, abbia voluto, discostandosi anche dalle previsioni europee, introdurre una modalità di riconoscimento da remoto dei richiedenti. Con molta probabilità tale inserimento è stato determinato da due fattori: il primo, recependo una prassi ormai invalsa per il rilascio delle firme elettroniche qualificate, dato che quasi tutti i Manuali Operativi dei certificatori accreditati prevedono la possibilità di riconoscimento a mezzo sessione audio/video; il secondo fattore, con molta probabilità, deriva dall’esigenza di fornire una modalità semplificata e snella per il rilascio delle identità digitali, tenendo anche conto che non tutti i gestori di tali identità possono, o vogliono, avvalersi di strutture sul territorio per lo svolgimento delle fasi propedeutiche a tale rilascio.

Seppur tali motivazioni possono sembrare degne di tutela, a parere di chi scrive non si è tenuto conto delle reali circostanze in cui si inseriva il riconoscimento da remoto. Proprio l’assenza di banche dati presso cui verificare la validità ed originalità del documento avrebbe dovuto suggerire maggiori precauzioni, magari applicando già le normative esistenti per ipotesi analoghe.

Tali riflessioni portano, in verità, ad un necessario ripensamento delle fasi inerenti l’identificazione ai fini del rilascio delle identità digitali.

Nel nostro sistema giuridico, infatti, l’identificazione di un soggetto avviene sempre sulla base di precedenti identificazioni effettuate da altre autorità, ed, in mancanza, richiede la presenza di testimoni o la conoscenza diretta della persona da parte di chi sta identificando.

Così, ad esempio, l’art. 49 della legge notarile prevede che il notaio identifichi il soggetto tramite un documento di identità e dei testimoni, a cui può rinunciare se ha conoscenza diretta della persona; l’ufficiale comunale – secondo quanto stabilito dal Testo Unico delle Leggi di Pubblica Sicurezza – rilascia la carta di identità sulla base di un documento valido in possesso del richiedente, o, in mancanza, sulla base di testimoni; le forze di polizia rilasciano il passaporto identificando il soggetto tramite altri documenti di identità.

Anche il più diffuso caso di riconoscimento da remoto, ossia quello previsto dalla normativa cd. Antiriclaggio (art. 30 del d.l.vo n. 231/2007) si basa in realtà sull’identificazione in presenza effettuata precedentemente da un soggetto già obbligato ad attuare detta normativa. Tale modalità è stata ampliamente utilizzata per l’apertura dei rapporti di conto corrente on-line, in cui, ai fini del riconoscimento del soggetto, viene richiesto di effettuare un’operazione di bonifico bancario proveniente da un conto corrente intestato al soggetto stesso. In particolare, la Banca d’Italia ha avuto modo di chiarire che il conto corrente di provenienza deve essere accesso presso una banca che abbia identificato in presenza il titolare. In sintesi, tramite il bonifico bancario, l’istituto di credito presso cui si intende accendere il conto corrente on-line non fa che avvalersi del riconoscimento in presenza effettuato precedentemente dalla banca del titolare.

Tutto ciò porta a delle prime conclusioni circa il sistema individuato per l’identificazione dei soggetti che richiedono un’identità digitale. Non essendo operative le convenzioni che consentono di verificare la validità dei documenti di identità non appare completa la procedura che permette una piena identificazione da remoto dei richiedenti. Per identificare a distanza tali soggetti, invece, si dovrebbero estendere ai gestori delle identità digitali le regole ad oggi vigenti in materia di cd. antiriclaggio. Ciò consentirebbe a tali gestori di ottenere attestazioni sull’identità dei richiedenti da parte degli altri intermediari finanziari con cui essi richiedenti hanno rapporti (art. 30 d.l.vo n. 231/2007) e di adottare le medesime procedure oggi già ampiamente testate nel settore bancario e finanziario per il riconoscimento della clientela.

Tali riflessioni portano, inevitabilmente, ad auspicare altresì che le identità digitali, almeno di livello “basso” ossia costituite da semplici credenziali di accesso, possano essere rilasciate anche da tutti i soggetti che oggi sono obbligati ad implementare ed attuare procedure antiriclaggio. La banca, il notaio, il professionista in determinate ipotesi, sono tutti obbligati a riconoscere in maniera stringente il soggetto con cui intrattengono determinati rapporti. Perché non consentire, quindi, anche a tali soggetti di rilasciare delle credenziali SPID, che poi successivamente possono essere registrate presso i singoli gestori?

Ed a maggior ragione perché non consentire che, nel momento in cui un cittadino si reca presso il proprio Comune per ottenere una carta di identità o comunque presso qualsiasi altra amministrazione pubblica in cui deve essere riconosciuto, possa richiedere anche delle credenziali inerenti alla propria identità digitale?

Tutto ciò favorirebbe sicuramente la diffusione dello SPID tra i cittadini, che, preme sottolinearlo, non riteniamo sia un “male in sé” come si vorrebbe far credere da alcune parti, ma rappresenta un’infrastruttura riconosciuta a livello europeo di cui sicuramente non si potrà fare a meno nell’ottica di un ammodernamento della pubblica amministrazione.

Riteniamo però che tale diffusione non si potrà ottenere “allentando” le garanzie di sicurezza del sistema, in favore di procedure snelle ma incomplete, ma più facilmente ampliando la possibilità di rilasciare delle credenziali (soprattutto se di livello “basso”) anche a quei soggetti che già “per mestiere” identificano i cittadini (in vari settori e comparti della loro vita) secondo norme e procedure ampiamente collaudate.