• Today is: domenica, marzo 26, 2017

Con SPID accesso più semplice a tanti servizi sul web, ma che dire della sicurezza?

tanti servizi sul web con un unico accesso
InfoCert
ottobre20/ 2015

SPID semplificherà l’accesso ai servizi online offerti da PA e privati. A garanzia della sicurezza gli Identity Provider e tre livelli di autenticazione.

tanti servizi sul web con un unico accesso

 

Uno dei più grandi problemi dell’umanità da quando è stata inventata la proprietà privata sono le chiavi. Trovate che sia un’affermazione esagerata? Vi ricrederete presto.

Proviamo a fare un rapido conto basato su ciò che ognuno di noi normalmente possiede. In primo luogo un appartamento, per accedere al quale solitamente sono necessarie più chiavi: due se attraversate un portone esterno e una porta interna, molte di più se avete anche un garage, una cantina, un cancello esterno. Quando le abitazioni sono più di una le chiavi si moltiplicano e per chi possiede un negozio o un ufficio anelli metallici e moschettoni non sono mai abbastanza. Più sono le nostre chiavi, maggiore è il rischio di confonderle, perderle, dimenticare dove le abbiamo conservate e quale serve ad aprire cosa.

Avere a che fare con le chiavi è però indispensabile per salvaguardare la nostra sicurezza e quella dei nostri averi. Tanto è vero che più è importante ciò che vogliamo proteggere, più complesse e sofisticate saranno serrature e meccanismi di apertura. Le garanzie derivanti dalla chiave di un armadietto non sono paragonabili a quelle che può darci la combinazione di una cassaforte. I sistemi maggiormente sicuri richiederanno qualche operazione e controllo in più in fase di apertura e chiusura, ma ciò sarà probabilmente giustificato dal contenuto.

Sul web le nostre chiavi diventano nomi utente e password, per cui valgono le stesse considerazioni relative a usabilità e sicurezza appena fatte. Ognuno di noi ha infatti tanti account diversi quanti sono i siti web che visita giornalmente. Password che periodicamente andrebbero aggiornate e modificate, ma soprattutto ricordate. In più ci aspettiamo che le stesse riescano a garantire l’accesso ai servizi che utilizziamo sul web come ai nostri dati e risorse qui presenti, solo a noi proprietari legittimi.

Almeno in ambito digitale, esiste dunque un modo o un sistema per semplificare la gestione delle nostre credenziali mantenendo livelli di sicurezza adeguati? La risposta è “sì” ed arriva da SPID, il Sistema Pubblico di Identità Digitale.

Obbiettivo di SPID è permettere a cittadini e imprese di accedere a tutti i servizi offerti su internet da Pubblica Amministrazione e soggetti privati che aderiranno al progetto, utilizzando un unico portale e una sola Identità Digitale, accertata ed assegnata da Identity Provider (soggetti accreditati da AgID). Quindi le informazioni da ricordare diventeranno solamente due, un User ID e una password, e queste saranno già sufficienti per utilizzare un gran numero dei servizi presenti su SPID. Alle credenziali di base si aggiungono poi ulteriori misure di sicurezza, adeguate alle diverse tipologie dei servizi ai quali si vuole accedere.

Immaginiamo di avere bisogno di ritirare delle analisi mediche, fare un bonifico bancario, pagare una bolletta: il portale è uno, la password pure. Così potremo fare a meno di ricordare e appuntare nomi, date, numeri, lettere e cancelletti vari. Tuttavia, come dicevamo, più delicati e importanti sono i servizi a cui vorremo accedere, maggiori saranno le misure di sicurezza previste. Tali misure si articolano su tre livelli:

  1. Autenticazione tramite ID e password stabilita dall’utente.
  2. Autenticazione tramite password + generazione di una One Time password inviata all’utente.
  3. Autenticazione tramite password + Smart Card.

Sarà compito degli Identity Provider identificare imprese e cittadini che richiederanno una identità digitale e, quindi, la possibilità di accedere a SPID. Sarà loro compito gestire quotidianamente anche le autenticazioni degli utenti. Ogni qual volta un utente accede a un servizio o cambia livello di sicurezza all’interno dello stesso servizio, l’Identity Provider dovrà conoscere con certezza l’identità di chi sta compiendo quell’operazione. Il tutto per garantire il valore legale della transazione.

SPID è certamente un passo importante nel cammino che ci consentirà di ridisegnare l’Italia in digitale semplificando il funzionamento della Pubblica Amministrazione e il lavoro delle aziende. Sono ancora numerosi gli aspetti riguardo a SPID che meritano di essere approfonditi, perciò torneremo presto a parlarvene.

Avete dei dubbi o siete curiosi di saperne di più riguardo ad uno o più aspetti specifici di SPID? Inviateci un commento utilizzando il form qui di seguito, saremo felici di rispondere o seguire i vostri suggerimenti per approfondire il tema nei nostri articoli futuri.

20 ottobre 2015

Dicci cosa ne pensi