L’identità digitale è al centro dell’attenzione di addetti ai lavori e utilizzatori in chiave cybersecurity.
La diffusione esponenziale dello SPID ha attirato le ‘sgradite’ attenzioni dei criminali informatici che -sfruttando tecniche evolute e comportamenti poco prudenti degli utenti – sferrano i loro colpi per carpire credenziali e dati personali.
Fare il punto sulla sicurezza dell’identità digitale è quindi necessario, al fine di capire se i dubbi relativamente alla sicurezza SPID sono giustificati oppure no.
In questo articolo, analizziamo alcuni dettagli tecnici che sgombrano il campo dalle più comuni paure e suggeriamo gli strumenti adatti per difendersi dagli attacchi informatici contro il Sistema Pubblico di Identità Digitale.
Lo SPID rispetta i pilastri della sicurezza informatica?
La domanda “Ci si può fidare dello SPID?”, è lecita.
In un’epoca in cui nessun sistema informatico è del tutto inattaccabile è importante sapere se il sistema di identità digitale risponde ai principi della cybersecurity (in inglese sintetizzati con l’acronimo CIA):
- Riservatezza (Confidentiality)
- Integrità (Integrity)
- Disponibilità (Availability)
Ecco, quindi, in quale modo SPID tutela la riservatezza dei dati sensibili, l’integrità del sistema e la disponibilità del servizio.
1. Riservatezza
In questo documento AgID sono dettagliate le funzionalità minime accessibili con il livello SPID 1, quello meno rafforzato nei protocolli di sicurezza informatica e utilizzabile con inserimento user e password:
- Servizio di personalizzazione (per esempio interfaccia grafica del sito consultabile)
- Consultazioni civiche (vedi forum della PA)
- Richiesta informazioni di carattere generale (nessun impatto sulla privacy dell’utente)
In sintesi, il livello SPID 1 di identificazione semplice è limitato a funzionalità base ed esclude l’accesso a servizi che comportano scambio di informazioni sensibili, sia a livello personale che professionale.
2. Integrità
Una delle principali paure è quella di un possibile malware dello SPID: un codice malevolo inserito nel sito dell’Identity Provider che fa sì che quando gli utenti accedono con user e password il codice intercetti i dati e li invii ai siti dei pirati informatici.
Ebbene, questo tipo di attacco è inefficace se il gestore/provider si affida a solide misure di allarme (ne parliamo più sotto) e se, come nel caso dello SPID, ci si deve identificare tramite 2FA (Two Factors Authentication), il sistema di autenticazione a 2 fattori, per esempio tramite codice ricevuto via SMS.
3. Disponibilità
Un altro timore è relativo al cosiddetto “effetto domino”: se uno dei nodi che formano il Sistema Pubblico di Identità Digitale è sotto attacco, allora anche gli altri subiranno lo stesso danno bloccando la disponibilità dello strumento.
In realtà, l’utilizzo dei più recenti protocolli SAML e SSL, unitamente alla cooperazione dei diversi gestori di identità digitale e di servizi SPID, fanno sì che il sistema si presenti come una confederazione composta da vari nodi: se uno di questi non eroga il servizio gli altri nodi continuano a farlo.
Il disagio riguarderà gli utenti che devono utilizzare lo specifico servizio SPID al momento non disponibile, ma gli altri resteranno operativi.
Identiy Provider al servizio della cybersecurity
Abbiamo più volte accennato agli Identity Provider (IdP) come a soggetti rilevanti anche nell’ottica cybersecurity dello SPID.
I gestori di identità digitale sono aziende private accreditate da AgID – l’agenzia tecnica per l’Italia digitale della Presidenza del Consiglio – che forniscono varie tipologie di attivazione, sia gratuite che a pagamento.
Ogni provider si avvale di presìdi specialistici per la sicurezza informatica dei servizi erogati, al fine di rilevare tempestivamente criticità e pericoli per l’infrastruttura gestita.
Le specifiche console di monitoraggio che segnalano eventi critici sono di due tipologie:
- Piattaforme di prevenzione antintrusione per proteggere applicazioni e dati da attacchi avanzati (Intrusion Prevention).
- Piattaforme per la raccolta degli eventi inerenti alla sicurezza (Security Information and Event Management).
Tali strumenti sono settati per un monitoraggio costante dell’infrastruttura e del servizio, in modo tale da attivare allarmi su diverse tipi di eventi e produrre report analizzati a cadenza settimanale, per studiare l’efficacia dei controlli di cyber security attivi.
Infocert SPID all’avanguardia nella cybersecurity
Infocert è un provider di identità digitale accreditato da AgID che da anni è impegnato a proteggere i dati dell’identità digitale, con azioni di prevenzione e di gestione dei rischi relativi alle frodi informatiche.
Se attivi SPID Infocert sai che i tuoi dati personali sono al sicuro anche grazie all’autenticazione a 2 livelli (password e OTP), nel completo rispetto della privacy.
E se desideri portare la sicurezza informatica al livello successivo, c’è Infocert Care: un pacchetto di servizi di nuova generazione per tutelarsi dal furto delle credenziali e dalle minacce del mondo digitale. Si aggiunge al tuo SPID InfoCert ID automaticamente e in pochi click e ti fornisce:
- un’innovativa insurtech, ovvero un’assicurazione specializzata in rischi derivanti dall’utilizzo di nuove tecnologie;
- un servizio di assistenza in remoto o in loco fruibile contattando la centrale operativa;
- vari contenuti informativi (video-tutorial e vademecum) sulla sicurezza digitale e su come difendersi dai furti d’identità digitale.