Assoprovider: “SPID frutto avvelenato, la crittografia asimmetrica è la cura”

Lo SPID (Sistema Pubblico di Identità Digitale) è un servizio che, nelle intenzioni dichiarate dai suoi propugnatori, dovrebbe risolvere agli utenti l’annoso problema costituito dalla proliferazione di credenziali. Infatti, all’attivazione di un nuovo servizio, gli utenti devono custodire e ricordare utente e password relativi a quel servizio, mentre lo SPID è una soluzione che consente, con le medesime username e password (“PIN”), di accedere a tutte le applicazioni che aderiscano al sistema.

È indubbio che sia una cosa utile, ma io intendo esplorare se, assieme a questa cosa utile, ci stiano “rifilando”, a nostra insaputa, qualcosa d’altro e per giunta molto pericoloso, non soltanto per la nostra privacy, ma anche per la concorrenza nel mercato dei servizi digitali. Intendo, inoltre, verificare se questo frutto avvelenato sia inevitabile e, cioè, se esista una soluzione facilmente attuabile che ne sia totalmente priva.

Partiamo dal capire quale sarebbe il “frutto avvelenato”: lo SPID che ci propongono/impongono è organizzato in modo centralizzato, e cioè in modo tale che il gestore di identità digitale, che è un soggetto terzo tra il fornitore di servizi digitali e l’utente, debba essere coinvolto in ogni singola autenticazione, con la lampante conseguenza che il gestore di identità digitale conosce, per ogni utente, quali applicazioni usa, quando le usa, consentendo quindi una profilazione ben più pesante di quanto fanno oggi i motori di ricerca e/o le applicazioni social. Vi siete mai chiesti perché Google e Facebook siano cosi generosi da farvi autenticare con le loro credenziali su applicazioni che nulla hanno a che fare con loro? Semplice, state così fornendo altre informazioni relativamente ai vostri utilizzi di servizi digitali e li state aiutando/agevolando a completare la vostra profilazione.

> Questo articolo fa parte del dossier “Speciale Cantieri, i protagonisti raccontano Spid: cosa è ora, come sarà”

SPID è tecnicamente similare a quanto stanno facendo Google e Facebook. e con quanto chiunque, con un minimo di capacità professionale, potrebbe fare, ma con alcune barriere di ingresso che la norma italiana introduce e che non servono per limitare l’accumulo delle informazioni sui comportamenti degli utenti, ma solo per limitare il numero di gestori di Identità Digitale.

Qualcuno potrebbe pensare che questa sia la sola possibilità tecnologica per realizzare questa semplificazione per l’utente, ma è semplicemente falso: da quando esiste la crittografia asimmetrica (chiave privata/pubblica) e quindi esistono i certificati digitali e le smartcard (la carta nazionale servizi ne è un esempio), in grado di criptare, con una chiave privata custodita nella smartcard ed accedibile mediante PIN, una stringa che venga sottoposta, esiste una modalità di verifica dell’identità dell’utente totalmente sicura e che non coinvolge, durante l’autenticazione, nessun soggetto terzo tra fornitore e consumatore di un servizio digitale.

E’ una soluzione molto semplice nella sostanza, anche se non immediata da comprendere per chi non sia pratico di crittografia asimmetrica:

a) il fornitore del servizio sottopone all’utente una stringa detta “challenge”;

b) tale stringa viene criptata dalla smartcard dell’utente facendo uso della sua chiave privata, custodita nella smartcard, e il risultato della criptazione della stringa “challenge” iniziale viene inviata al fornitore del servizio;

c) il fornitore del servizio decritta la stringa ricevuta dall’utente con la chiave, questa volta pubblica, dell’utente e, se la stringa, a valle della decrittazione, è uguale a quella “challenge” inviata al passo a), allora vi è la certezza “matematica” dell’identità dell’utente, al netto di due situazioni:

· la smartcard è stata sottratta all’utente e ne è stato violato il PIN di accesso;

· il certificato digitale dell’utente è falso (e questo può accadere solo se la CA – Certification Authority- che lo ha emesso è stata violata).

Come si può notare questa soluzione:

• è priva di un soggetto terzo che accumula dati sulla attività di autenticazione;
• sarebbe stata praticabile da tempo con una qualsiasi delle tante smartcard che le varie PA negli ultimi anni hanno pagato e distribuito (Carta Identità Digitale, Carta Nazionale Servizi, Tessera Sanitaria etc.).

Quindi: lo Stato Italiano ha già investito per almeno una decina di anni nella diffusione di smartcard, ma invece di massimizzarne l’uso, attiva ora il servizio SPID, che sembra essere molto più funzionale alla creazione di nuove rendite di posizione per alcuni soggetti privati, piuttosto che per risolvere un problema agli utenti.

A coloro che volessero contestare che l’uso della smartcard è meno semplice di un PIN su di una pagina del gestore di identità digitale, faccio sommessamente notare che il PIN è una modalità di autenticazione enormemente meno sicura, e che per rispettare i vincoli di “strong authentication” (richiesti da molte applicazioni della PA) anche il gestore di identità digitale dovrà affiancare al solo PIN un’altra forme di autenticazione legata a qualche strumento fisico (“two factor authentication”). Quindi non è nemmeno vero che l’introduzione di questo potenziale “guardone” serva a rendere più “user friendly” l’autenticazione.

Molti fornitori di servizi sono abbagliati dalla possibilità di avere immediatamente un parco di utenti senza passare per una fase di registrazione, ma non si rendono conto di essere nella situazione della rana che, messa dentro una pentola con acqua fredda, e la cui temperatura aumenti lentamente, finisce per essere cotta senza che se ne accorga.

Se un fornitore di servizi non avrà grande seguito, ovviamente, non avrà nulla da temere dal gestore di identità, ma quelli che avranno successo potrebbero ritrovarsi come loro concorrente il gestore di identità, e credo sia facile immaginare come potrà essere lo scontro tra il loro servizio e quello replicato dal gestore di identità dei loro utenti, ma quando se ne accorgeranno sarà, ahimè, troppo tardi per rimediare.

Inoltre, anche a voler tacere gli enormi rischi indiretti introdotti da una simile centralizzazione dell’autenticazione, l’aver voluto creare un oligopolio di gestori di identità, come surrettiziamente si sta facendo, fissando regole non sulla capacità tecnica di erogare il servizio, ma con vincoli sul capitale sociale o sulle fidejussioni, deforma irrimediabilmente anche il meccanismo di corretta formazione del costo del servizio di autenticazione. Questo testimoniano alcune interviste rilasciate dai responsabili di alcune delle società di gestori di identità digitale, i quali hanno già candidamente dichiarato che, contrariamente a quanto credono alcuni politici che sostengono il provvedimento, il servizio non potrà essere gratuito e comporterà un costo annuale tra i 5 ed i 10 euro ad utenza. Resta da capire se questo importo sarà a carico degli utenti o se verrà assorbito dallo Stato. Sono pronto a scommettere che alla fine per il bene della Agenda Digitale e quindi della nazione, sarà lo Stato a pagare l’oligopolio dei gestori di identità digitale.

Come non concludere, quindi, con i complimenti per chi ha architettato una così geniale nuova rendita di posizione.