martedì 19 febbraio 2019

"SPID di livello 3": mi arrendo!

Da qualche tempo la nostra pubblica amministrazione sta promuovendo l'uso di "SPID", il "sistema pubblico di identità digitale": il cittadino si fa rilasciare delle credenziali da un "gestore di identità" abilitato e poi potrà accedere a tutti i servizi web della pubblica amministrazione (magari...) usando quelle credenziali. In altre parole, il cittadino avrà una unica "identità digitale" grazie alla quale potrà accedere a tutti i servizi web pubblici (ripeto: magari...).

Il terzo livello SPID è quello che dovrebbe offrire il grado di sicurezza più elevato. Ci sono solo due gestori di identità che offrono SPID di livello 3: Aruba (pare) tramite smart card e PosteID (pare) tramite una app per smartphone.

Ho cercato di capire come funziona esattamente questo livello. Il sito SPID su questo punto infatti è molto generico: "Il terzo livello, oltre al nome utente e la password, richiede un supporto fisico (es. smart card) per l’identificazione." Ho cercato di capire se il "supporto fisico" che deve essere disponibile al momento della autenticazione (quindi durante l'uso normale, non al momento della richiesta delle credenziali) può essere uno smartphone oppure deve essere un dispositivo di altra natura.

La natura del supporto fisico è molto importante. Uno smartphone può avere del malware a bordo. Un malware può intercettare SMS, può leggere schermate di altre app (quindi anche i codici generati dalle app di autenticazione), può fare praticamente di tutto. Una security key o una smart card o un OTP token (dispositivi portatili che generano codici usa e getta) non può avere malware a bordo (ok, questa è una visione molto ottimistica ma il concetto è chiaro). Anche se la sicurezza non può essere quantificata, è evidente che il livello di sicurezza offerto da uno smartphone è ben diverso da quello offerto da un dispositivo usato solo per la autenticazione a due fattori. Mi sembrerebbe molto strano se il livello di sicurezza più elevato fosse basato su smartphone.

Dopo varie interazioni con l'help desk ufficiale SPID mi sono arreso ed ammetto pubblicamente: non ho capito. Non ho capito se uno SPID di terzo livello può essere basato su smartphone oppure richiede un dispositivo specifico per l'autenticazione a due fattori.

Oltre a non avere capito, ho le idee ancora più confuse di prima:
  1. Il terzo livello SPID "non è ancora operativo". Cosa significhi esattamente "non è ancora operativo" non lo so, riporto quanto afferma l'help desk SPID.
  2. Due provider di identità, Aruba e PosteID affermano però di offrire uno SPID di livello 3 (!) Come ciò possa accadere visto che lo SPID di terzo livello "non è ancora operativo" non lo so.
  3. L'help desk SPID dice che ogni provider di identità può "prevedere procedure differenti per l'attivazione e la gestione" ma ciò non risolve il mio dubbio: se SPID dice che il terzo livello non è operativo perché Aruba e PosteID dicono di offrirlo? E perché lo offrono basandosi su tecnologie il cui livello di sicurezza è così diverso?
A me queste cose rattristano, è più forte di me...