L’identità digitale è al centro dell’attenzione di addetti ai lavori e utilizzatori in chiave cybersecurity.
La diffusione esponenziale dello SPID ha attirato le ‘sgradite’ attenzioni dei criminali informatici che -sfruttando tecniche evolute e comportamenti poco prudenti degli utenti – sferrano i loro colpi per carpire credenziali e dati personali.
Fare il punto sulla sicurezza dell’identità digitale è quindi necessario, al fine di capire se i dubbi relativamente alla sicurezza SPID sono giustificati oppure no.
In questo articolo, analizziamo alcuni dettagli tecnici che sgombrano il campo dalle più comuni paure e suggeriamo gli strumenti adatti per difendersi dagli attacchi informatici contro il Sistema Pubblico di Identità Digitale.
Lo SPID rispetta i pilastri della sicurezza informatica?
La domanda “Ci si può fidare dello SPID?”, è lecita.
In un’epoca in cui nessun sistema informatico è del tutto inattaccabile è importante sapere se il sistema di identità digitale risponde ai principi della cybersecurity (in inglese sintetizzati con l’acronimo CIA):
- Riservatezza (Confidentiality)
- Integrità (Integrity)
- Disponibilità (Availability)
Ecco, quindi, in quale modo SPID tutela la riservatezza dei dati sensibili, l’integrità del sistema e la disponibilità del servizio.
1. Riservatezza
In questo documento AgID sono dettagliate le funzionalità minime accessibili con il livello SPID 1, quello meno rafforzato nei protocolli di sicurezza informatica e utilizzabile con inserimento user e password:
- Servizio di personalizzazione (per esempio interfaccia grafica del sito consultabile)
- Consultazioni civiche (vedi forum della PA)
- Richiesta informazioni di carattere generale (nessun impatto sulla privacy dell’utente)
In sintesi, il livello SPID 1 di identificazione semplice è limitato a funzionalità base ed esclude l’accesso a servizi che comportano scambio di informazioni sensibili, sia a livello personale che professionale.
2. Integrità
Una delle principali paure è quella di un possibile malware dello SPID: un codice malevolo inserito nel sito dell’Identity Provider che fa sì che quando gli utenti accedono con user e password il codice intercetti i dati e li invii ai siti dei pirati informatici.
Ebbene, questo tipo di attacco è inefficace se il gestore/provider si affida a solide misure di allarme (ne parliamo più sotto) e se, come nel caso dello SPID, ci si deve identificare tramite 2FA (Two Factors Authentication), il sistema di autenticazione a 2 fattori, per esempio tramite codice ricevuto via SMS.
3. Disponibilità
Un altro timore è relativo al cosiddetto “effetto domino”: se uno dei nodi che formano il Sistema Pubblico di Identità Digitale è sotto attacco, allora anche gli altri subiranno lo stesso danno bloccando la disponibilità dello strumento.
In realtà, l’utilizzo dei più recenti protocolli SAML e SSL, unitamente alla cooperazione dei diversi gestori di identità digitale e di servizi SPID, fanno sì che il sistema si presenti come una confederazione composta da vari nodi: se uno di questi non eroga il servizio gli altri nodi continuano a farlo.
Il disagio riguarderà gli utenti che devono utilizzare lo specifico servizio SPID al momento non disponibile, ma gli altri resteranno operativi.
La nuova casella di posta certificata semplice, sicura e conveniente a misura di cittadino.
Identiy Provider al servizio della cybersecurity
Abbiamo più volte accennato agli Identity Provider (IdP) come a soggetti rilevanti anche nell’ottica cybersecurity dello SPID.
I gestori di identità digitale sono aziende private accreditate da AgID – l’agenzia tecnica per l’Italia digitale della Presidenza del Consiglio – che forniscono varie tipologie di attivazione, sia gratuite che a pagamento.
Ogni provider si avvale di presìdi specialistici per la sicurezza informatica dei servizi erogati, al fine di rilevare tempestivamente criticità e pericoli per l’infrastruttura gestita.
Le specifiche console di monitoraggio che segnalano eventi critici sono di due tipologie:
- Piattaforme di prevenzione antintrusione per proteggere applicazioni e dati da attacchi avanzati (Intrusion Prevention).
- Piattaforme per la raccolta degli eventi inerenti alla sicurezza (Security Information and Event Management).
Tali strumenti sono settati per un monitoraggio costante dell’infrastruttura e del servizio, in modo tale da attivare allarmi su diverse tipi di eventi e produrre report analizzati a cadenza settimanale, per studiare l’efficacia dei controlli di cyber security attivi.
Infocert SPID all’avanguardia nella cybersecurity
Infocert è un provider di identità digitale accreditato da AgID che da anni è impegnato a proteggere i dati dell’identità digitale, con azioni di prevenzione e di gestione dei rischi relativi alle frodi informatiche.
Se attivi SPID Infocert sai che i tuoi dati personali sono al sicuro anche grazie all’autenticazione a 2 livelli (password e OTP), nel completo rispetto della privacy.
E se desideri portare la sicurezza informatica al livello successivo, c’è Infocert Care: un pacchetto di servizi di nuova generazione per tutelarsi dal furto delle credenziali e dalle minacce del mondo digitale. Si aggiunge al tuo SPID InfoCert ID automaticamente e in pochi click e ti fornisce:
- un’innovativa insurtech, ovvero un’assicurazione specializzata in rischi derivanti dall’utilizzo di nuove tecnologie;
- un servizio di assistenza in remoto o in loco fruibile contattando la centrale operativa;
- vari contenuti informativi (video-tutorial e vademecum) sulla sicurezza digitale e su come difendersi dai furti d’identità digitale.
