Mef: “Come proteggiamo gli stipendi dei dipendenti PA dal rischio cyber”
NoiPA è il sistema informatico del Mef per gestire i processi di elaborazione, liquidazione e consultazione degli stipendi del personale centrale e periferico della Pubblica Amministrazione. Ha due milioni di utenti. Si è reso quindi necessario definire e implementare misure di sicurezza adeguate al tipo di operazione che viene richiesta minimizzando quanto più possibile l’impatto sull’utente. Ciò vuol dire raggiungere il miglior equilibrio tra sicurezza e usabilità del servizio
17 Novembre 2016
Alessandro Grosso e Mauro Piricò, Ministero dell’Economia e delle Finanze
NoiPA è il sistema informatico realizzato dalla Direzione dei Servizi Informativi e dell’Innovazione (D.S.I.I.) del Dipartimento dell’Amministrazione Generale del Ministero dell’Economia e delle Finanze che permette di gestire i processi di elaborazione, liquidazione e consultazione degli stipendi del personale centrale e periferico della Pubblica Amministrazione. In particolare, attraverso il sito noipa.mef.gov.it, viene fornito un unico punto di accesso per le amministrazioni e gli amministrati che aderiscono al servizio.
Ad oggi il sistema serve circa due milioni di dipendenti della Pubblica Amministrazione italiana.
Come riportato nella circolare AgID n. 2 del 24 Giugno 2016, NoiPA è stato individuato come infrastruttura immateriale, ovvero come piattaforma applicativa nazionale che offre servizi condivisi ottimizzando al contempo la spesa complessiva. AgID chiede alle PPAA italiane di aderire a NoiPA e alle altre infrastrutture immateriali individuate (SPID, ANPR, PagoPA) in modo da consentire già dal 2018 di raggiungere gli obiettivi di risparmio previsti dall’art.1, comma 515, della Legge di Stabilità 2016, ovvero il risparmio di spesa annuale (da raggiungere alla fine del triennio 2016-2018) pari al 50 per cento della spesa annuale media per la gestione corrente sostenuta da ciascuna amministrazione per il solo settore informatico nel triennio 2013-2015.
Il servizio unificato e centralizzato assicura l’aggiornamento del sistema in base all’evoluzione normativa per tutti gli aspetti previdenziali, fiscali e contrattuali, e il continuo miglioramento dei servizi esistenti nonché l’erogazione di nuovi. NoiPA non è solo un sistema di payroll ma prevede anche un catalogo di servizi accessori integrati messi a disposizione dell’utente e delle Pubbliche Amministrazioni aderenti. Alcuni servizi sono rivolti direttamente ai dipendenti pubblici gestiti da NoiPA (cosiddetti amministrati), ed erogati sotto forma di self-service all’interno della loro area riservata.
Alcuni di questi servizi hanno reso possibile eseguire in autonomia e comodamente dal proprio PC operazioni che altrimenti avrebbero richiesto all’utente operazioni ad uno sportello fisico o trasmissione di documentazione cartacea, tramite gli Uffici Responsabili del Trattamento Economico
In un contesto così ampio e variegato la sicurezza non può che rivestire un ruolo centrale nell’erogazione dei servizi, sia per rispettare tutte le indicazioni della legge sulla Privacy 196/2003 e successive integrazioni (sulle quali il legislatore riserva particolare attenzione al mondo dell’ICT) sia per garantire all’utente di operare nella massima serenità.
Parte dei servizi self-service rivolti agli amministrati sono infatti operazioni di tipo dispositivo e producono un impatto economico sul cedolino del dipendente. Vista quindi la delicatezza di tali operazioni viene riservata loro particolare attenzione nel disegno delle modalità di fruizione. Un esempio di servizio delicato è quello per la richiesta di piccolo prestito INPS oppure la variazione dell’IBAN per l’accredito dello stipendio.
Si è reso quindi necessario definire e implementare misure di sicurezza adeguate al tipo di operazione che viene richiesta minimizzando quanto più possibile l’impatto sull’utente. Ciò vuol dire raggiungere il miglior equilibrio tra sicurezza e usabilità del servizio. L’utente non deve percepire un meccanismo di sicurezza come un freno all’uso del servizio, bensì un incentivo alla fruizione dello stesso percependo maggior garanzia sulla sicurezza del servizio offerto. Tutto ciò porta quindi ad innalzare il livello di fiducia che un utente associa al sistema.
Il portale NoiPA prevede una autenticazione per l’accesso all’area riservata, in due differenti modalità: autenticazione debole (mediante credenziali quali utente/password) e autenticazione forte (CNS/CIE); a breve sarà anche disponibile l’accesso mediante SPID.
Nel caso di autenticazione debole, per i self service dispositivi viene impiegato un doppio meccanismo di ulteriore autenticazione. Fino ad agosto 2016, questo secondo livello di autenticazione era garantito esclusivamente dal PIN identificativo che è un codice univoco e individuale generato dal sistema NoiPA in fase di registrazione dell’utente. Tale codice è statico, non cambia nel tempo a meno di richiesta specifica dell’utente per la rigenerazione del PIN dovuto ad esempio allo smarrimento dello stesso. In pratica può essere paragonato a una seconda password che l’utente deve conoscere e ricordare. A partire da settembre 2016 è stato adottato e integrato su alcuni servizi self-service un ulteriore meccanismo di autenticazione, la cosiddetta Chiamata di Sicurezza. Tale meccanismo permette di ricorrere, allo scopo di rafforzare e completare l’autenticazione, non ad un’informazione che l’utente deve conoscere ma ad uno strumento che l’utente deve possedere. Nel nostro caso il mezzo fisico si concretizza nel telefono cellulare. Questo è il concetto di autenticazione forte a due fattori: “what you know” (PIN/Password) e “what you have” (cellulare).
Il secondo fattore, in analogia a quanto realizzato in contesti B2C di home banking, rappresenta una sorta di token associato già all’utente al di fuori dal sistema erogatore di servizi. Ciò rende agevole implementare questo secondo livello di autenticazione senza l’esigenza di dover munire l’utente di ulteriore token fisico la cui fornitura all’utente aumenterebbe i costi totali di gestione della soluzione.
Dal punto di vista della user experience, il funzionamento è molto semplice e intuitivo. La Chiamata di Sicurezza infatti consiste in una vera e propria telefonata ad un numero di telefono reso visibile all’utente al momento dell’operazione dispositiva, entro un tempo stabilito. La ricezione entro il tempo prefissato (esempio: due minuti) della telefonata costituisce per il sistema il recepimento della operazione dispositiva chiesta dall’utente. Questa telefonata è totalmente gratuita, indipendentemente dal piano telefonico attivato sulla scheda SIM dell’utente chiamante, perché viene riagganciata dopo pochi squilli senza ricevere risposta. In altri termini, la chiamata non viene mai “aperta”.
La Chiamata di Sicurezza prevede una prima fase una tantum che comporta la registrazione e validazione del proprio numero di cellulare sul profilo utente NoiPA. L’utente deve validare il proprio numero di cellulare proprio mediante la Chiamata di Sicurezza.
L’utente che ha associato il proprio numero di cellulare e ha bisogno di usufruire dei self-service, dovrà quindi inserire il PIN dispositivo ed effettuare la Chiamata di Sicurezza, componendo dal proprio numero di cellulare il numero di telefono indicato. All’avvio della chiamata, NoiPA sarà quindi in grado di identificare il numero del chiamante, confrontarlo con quello registrato sul profilo utente e convalidare o meno l’esito positivo dell’operazione di modifica.
L’introduzione di questo nuovo meccanismo di autenticazione si inserisce nell’ambito di numerose altre iniziative avviate da NoiPA per l’adozione e l’implementazione di standard innovativi per consentire di rafforzare le misure di sicurezza per la protezione dei dati personali.
I vantaggi di questa soluzione sono il basso impatto verso l’utenza dovuto alla semplicità di utilizzo a fronte di un alto livello di efficacia raggiunta, l’economicità legata ad un modesto investimento iniziale in termini di infrastrutture e sviluppi che poi si traduce in un basso costo di gestione del servizio. Disponendo già di un impianto di telefonia che espone numeri nazionali, una scelta tecnologica in questa direzione è stata preferibile rispetto all’utilizzo dell’invio di un ulteriore codice tramite SMS, servizio che presupporrebbe l’acquisto di bundle di SMS o di ulteriori servizi in abbonamento. Inoltre a causa dell’incremento e della diffusione di soluzioni di sincronizzazione tra i contenuti di PC e smartphone/tablet, queste differenti categorie di dispositivi tendono a collassare in un’unica categoria. Anche per questo motivo si è ritenuto importante utilizzare la linea telefonica come un reale canale out-of-band da affiancare all’invio del PIN identificativo NoiPA.