Spid, Rigoni: “Ecco perché non possiamo garantirne la sicurezza: tocca fidarsi”
Nelle Regole Tecniche l’unica menzione che si fa alla sicurezza è nell’ambito del canale di trasmissione. Questo implica che il Gestore ha un enorme grado di libertà nel soddisfare i requisiti di sicurezza posti dal DPCM, libertà che potrebbe lasciare spazio a implementazioni non sicure
16 Marzo 2016
Andrea Rigoni, Intellium
Quanto è sicuro SPID? E la domanda che si stanno ponendo in molti a poche ore dall’avviamento effettivo del servizio. La sicurezza di SPID è un elemento fondamentale del progetto, ma in molti si chiedono se questo sistema sia effettivamente sicuro e inviolabile. Domanda estremamente lecita in quanto SPID potrebbe diventare nel giro di qualche anno il sistema universale di accesso ai servizi della PA e di servizi privati.
SPID è nato sia per semplificare la vita ai cittadini, sia per innalzare il livello di sicurezza dei servizi digitali, attraverso una standardizzazione e un rafforzamento del sistema di identificazione e autenticazione. Su questi presupposti, sono stati definiti dei requisiti minimi sia per gli operatori che intendano svolgere l’attività di Identity Provider, sia per le soluzioni tecniche impiegate.
Il DPCM del 24/10/2014 definisce una serie di requisiti per il Gestore di Identità Digitali. Si tratta di requisiti abbastanza stringenti, ma che purtroppo hanno un certo grado di interpretabilità. Non si tratta di una leggerezza nella scrittura del decreto, ma da una assenza di standard specifici in materia. Si prenda come esempio l’art. 11 comma 1 punto b) nel quale il gestore è obbligato ad adottare adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza, integrità e la sicurezza nella generazione delle credenziali di accesso. Questo requisito è di altissimo livello e potrà essere interpretato da un gestore dell’identità digitale in modi estremamente diversi tra di loro. L’unico modo per valutare l’adeguatezza delle misure adottate è attraverso la definizione di standard e linee guida estremamente puntuali, che descrivano le tecnologie e i processi operativi richiesti.
Negli Stati Uniti il NIST – National Institute of Standards and Technology, attraverso l’Information Technology Laboratory, emana una serie di standard di sicurezza che indirizzano centinaia di aspetti diversi. Ad esempio, le modalità per soddisfare il summenzionato art. 11 comma 1 punto b) vengono fornite dallo standard NIST 800-63 rev. 2 “electronic authentication guideline”. Si tratta di un corposo manuale di 112 pagine che fornisce tutte le indicazioni nei minimi dettagli su come implementare e gestire in modo sicuro un sistema di autenticazione elettronica.
Le Regole Tecniche di SPID consistono in poco meno di 40 pagine contenenti le informazioni minime per garantire l’interoperabilità di SPID: l’unica menzione che si fa alla sicurezza è nell’ambito del canale di trasmissione. Questo implica che il Gestore ha un enorme grado di libertà nel soddisfare i requisiti di sicurezza posti dal DPCM, libertà che potrebbe lasciare spazio a implementazioni non sicure. Ovviamente gli operatori faranno il possibile per offrire un servizio sicuro, ma questa impostazione “best effort” non è accettabile nel 2016, in particolare per un servizio così critico come SPID.
Cosa andrebbe fatto? Alla luce della partnership stabilita tra l’Italia e il NIST americano, l’AGID e gli operatori interessati potrebbero utilizzare come riferimento gli standard NIST esistenti. AGID potrebbe rilasciare rapidamente una linea guida che indichi gli standard NIST di riferimento, nonché le modalità di compliance, che un primo tempo potrebbero far leva su autovalutazioni e dichiarazioni periodiche di conformità. Non è una best practice, ma rispetto alla situazione attuale si tratterebbe di un miglioramento significativo.
Se arrivati a questo punto vi chiedete ancora se SPID sia sicuro o meno, la risposta è semplice: possiamo sperarlo (forse è già così), ma non è possibile garantirlo e dimostrarlo in maniera oggettiva.