Tre misure per fare una PA sicura via Spid

L’avvio dell’infrastruttura SPID è stata accolto con pareri contrastanti, sia nel merito degli aspetti tecnici che in relazione agli aspetti normativi; SPID arriva infatti sulla scia del mancato successo di iniziative per altro simili, come la CIE e la CNS, ed il modello pubblico/privato a cui si riferisce è similare a quello della Firma Digitale e della PEC. Dai risultati ottenuti negli anni, sono pertanto lecite le perplessità, tra cui una su tutte è quella relativa a quello che sarà il reale grado di adozione da parte dei cittadini. Se si fa il paragone con la PEC o con la Firma Digitale, si ricorderà come tali iniziative siano nate con la presunzione che i potenziali vantaggi fossero sufficienti per stimolarne la diffusione, ottenuta poi faticosamente solo tramite l’evoluzione dei processi amministrativi. SPID, al contrario, tramite il piano di integrazione con i vari servizi locali, regionali e nazionali, sembra connotarsi in modo innovativo rispetto ai suoi più illustri precursori. Anche il vincolo incardinato nel CAD (art.64) di obbligo dell’utilizzo di SPID e/o di CIE e CNS nei rapporti con le Pubbliche Amministrazioni, potrà costituire un impulso significativo alla diffusione dello strumento.

In questo faticoso processo, le Pubbliche Amministrazioni “fornitori di servizi” giocano pertanto un ruolo chiave, bilanciato dal vantaggio di potersi liberare degli oneri di gestione delle utenze dei servizi e delle complessità connesse con la realizzazione di sistemi sicuri di autenticazione e con le necessarie evoluzioni, per contrastare uno scenario di minacce sempre crescenti. Si pensi ad esempio che ancora oggi, presso soggetti sia pubblici che privati, capita di riscontrare l’inadempienza alle c.d. “misure minime” previste dal famigerato Allegato B al D.Lgs.196/03, per quanto concerne le caratteristiche delle password, la frequenza di cambio password etc… Per molte tipologie di trattamenti di dati personali, l’uso della password stessa non è più sostenibile dal punto di vista della sicurezza, come per la fruizione di servizi sanitari (non solo il fascicolo – FSE – anche l’accesso alle prenotazioni delle prestazioni sanitarie può costituire, in se, un dato rilevante), di servizi previdenziali e fiscali, per fare alcuni esempi.

In questi casi, la disponibilità presso i cittadini di credenziali di strong authentication (SPID 2 o superiore) renderà possibile, a costo zero per la singola Amministrazione, un incremento sensibile di sicurezza. Le stesse procedure di registrazione e de-registrazione delle utenze digitali presentano numerose complessità e costi di gestione, che andrebbero pian piano a scomparire.

L’adesione a SPID si realizza mediante la sottoscrizione da parte della singola PA di una convenzione con l’Agenzia per l’Italia Digitale. Lo schema di convenzione definisce delle misure a carico dell’Amministrazione, come l’implementazione di un registro degli accessi, la valutazione di sicurezza dei servizi erogati al fine di determinare l’adeguato meccanismo di accesso, la notifica degli incidenti di sicurezza avvenuti e la produzione di dati statistici per alimentare indicatori sull’utilizzo dei servizi. In aggiunta, per effetto dell’accreditamento, l’integrazione con SPID imporrà alle pubbliche amministrazione di rivedere criticamente la raccolta “preventiva” di informazioni non sempre “pertinenti e non eccedenti” (per usare le parole dell’Autorità Garante) dei cittadini. Tali dati, infatti, saranno resi disponibili dai Gestori di Identità solo mediante autorizzazione espressa degli utenti al primo accesso ad ogni nuovo servizio, così come oggi accade quando si utilizza un account Google o Facebook su una applicazione web di terzi. E’ uno dei benefici di questa piattaforma, che tendenzialmente ridurrà la distribuzione incontrollata dei dati su vari siti, offrendo un maggiore controllo (titolarità) delle informazioni personali al cittadino.

L’integrazione con SPID non è pertanto un’operazione “a costo zero” per le Amministrazioni, e non solo per gli adempimenti derivanti dall’accreditamento. Infatti, dalle diverse applicazioni web dovrà essere “smontata” la componente di autenticazione e dovranno essere apportate modifiche sensibili alle anagrafiche. Si tratta di investimenti a cui il Governo non ha destinato alcuna copertura, e non è possibile valutarne il ritorno in tutti i casi: le grandi P.A. (e/o le P.A. centrali), abituate a gestire grandi numeri di utenti, con IT ragionevolmente evolute e sufficiente potere contrattuale verso i fornitori, ridurranno la complessità dei processi di gestione delle utenze e saranno in grado di valutare l’adeguatezza dei costi di integrazione tecnica previsti dai fornitori. Le piccole, al contrario, potrebbero avere minore capacità di stimare se i costi di adeguamento sono proporzionati, con benefici comunque limitati rispetto ai servizi a valore aggiunto attualmente offerti ai cittadini.

Tali investimenti saranno sufficienti per garantire la sicurezza dei servizi della PA?

Con questa connotazione, l’adesione a SPID costituisce certamente un passo avanti per la sicurezza dei servizi erogati e dei cittadini stessi, ed il processo di accreditamento può essere ritenuto uno strumento efficace di governance del cambiamento, in un quadro normativo in continua evoluzione.

L’autenticazione, realizzata da SPID, è infatti solo la prima barriera, che determina il perimetro di informazioni e funzionalità a cui ogni persona deve accedere. A carico delle amministrazioni resta la gestione dell’autorizzazione, che realizza i “confini” di questo perimetro, impedendo a ciascun utente di ottenere informazioni appartenenti o destinate ad altri. Per controbilanciare le minacce di sicurezza servono poi misure di tracciamento, volte a comprendere come i servizi sono utilizzati, anche per identificare eventuali anomalie o abusi, ed una pletora di altri meccanismi, dalla cifratura delle comunicazioni alla protezione perimetrale dei servizi (dai tradizionali firewall a sistemi più evoluti di intrusion prevention, anti-malware etc..), utili a stabilire una “catena” di sicurezza la cui robustezza, si dice tra addetti ai lavori, è pari all’anello più debole.

C’è da dire che a regìme la gestione delle identità digitali affidate ai Gestori produrrà un risparmio per tutti, ed a livello di sistema. Si tratta di costi operativi, spese vive, che mano a mano scompariranno dai bilanci, ma anche di investimenti che non saranno ricompresi nelle nuove implementazioni, e nelle necessarie evoluzioni dei meccanismi di accesso. Può sembrare cosa da poco, ma basta osservare quanto siano cambiati i sistemi di autenticazione dei più grandi fornitori di servizi web per comprendere la complessità della tematica in relazione ad uno scenario di sicurezza sempre più complesso.

Ci si deve domandare però se i maggiori risparmi che saranno conseguiti, la semplificazione dell’accesso ai servizi della PA e la conseguente maggiore fruizione dei servizi digitali a sfavore di quelli di sportello, saranno accompagnati da altri necessari interventi anche dal punto di vista della sicurezza, quali:

1. Accrescere le competenze del personale: l’emissione di linee guida, come il recente Framework Nazionale di CyberSecurity, piuttosto che la disponibilità di standard pubblici, non sono sufficienti in un contesto in cui le competenze di sicurezza, in grado di trasformare questi strumenti in azioni concrete, non sono ancora pienamente diffuse nelle varie Amministrazioni. Parlo in particolar modo delle piccole e medie, che già oggi fanno miracoli in relazione alle risorse interne ed a quelle disponibili sul territorio, scarsamente presidiato anche dai fornitori che hanno le necessarie competenze in materia.
2. Fornire adeguati mezzi (economici, strumentali): si fa un gran parlare di innovazione, ma nel caso della sicurezza questa non consiste (solo) in nuove tecnologie, quanto nell’adattare modelli di gestione esistenti, nati per le “grandi” imprese, anche ai piccoli e medi comuni , laboratori di analisi, etc.., con IT ancor più limitate o gestite con la collaborazione di una rete di piccoli fornitori di fiducia. Identificare e mitigare le criticità più gravi e urgenti, d’altro canto, non richiede sforzi eccessivamente elevati, che possono essere riservati al futuro miglioramento. Dare capacità di spesa sulla sicurezza non può però prescindere dalle competenze, in quanto l’Amministrazione dovrà essere in grado di distinguere la qualità ed il valore dei servizi di sicurezza offerti dal mercato.
3. Migliorare il controllo della spesa IT. E, (4) governare i rischi informatici, in questo preciso ordine, perché in assenza di una gestione accurata degli investimenti in Information Technology, difficilmente si potranno valutare gli impatti in caso di rischi, e la congruità degli investimenti necessari per mantenere il livello di sicurezza, nel tempo.