Lo SPID secondo Cassandra

Gli articoli di Cassandra Crossing sono sotto licenza CC BY-SA 4.0 | Cassandra Crossing è una rubrica creata da Marco Calamari col “nom de plume” di Cassandra, nata nel 2005.

Dopo il nostro articolo sullo SPID (che ha ricevuto moltissimi commenti e visite 🧡) abbiamo deciso di raccogliere pensieri, dubbi e profezie di Cassandra sullo SPID. Prendiamo atto di come alcune richieste e necessità siano rimaste quasi del tutto inevase come appunto l’utilizzo di token fisici per il codice OTP: attualmente infatti viene rilasciato solo dal provider Aruba! Rimane infine molto attuale anche l’opinione del NIST (National Institute of Standards and Technology) del 2016.

Buona lettura!

Questo articolo è stato scritto il 21 aprile 2016 da Cassandra

Lampi di Cassandra/ Lo SPID è nato morto?

I sistemi di autenticazione a due fattori gestiti tramite SMS soffrono di problemi strutturali, suggerisce una ricerca dell’Università di Amsterdam. SPID-2 si basa proprio su questo meccanismo.

Probabilmente persino alcuni dei 24 informatissimi lettori non conoscono SPID, acronimo di “Sistema Pubblico di Identità Digitale”, che si autodefinisce “La soluzione per accedere a tutti i servizi online della pubblica amministrazione e dei privati con un’unica Identità Digitale”. Perciò, prima di passare a fosche profezie, Cassandra è obbligata a fornire qualche informazione, peraltro facilissimamente reperibile in Rete. Dunque, SPID, noto anche a chi ha memoria lunga come “Il PIN di Renzi”, è un sistema pubblico di creazione e distribuzione di identità digitali, controllato dallo Stato Italiano e realizzato da fornitori privati da esso certificati ed iscritti un un apposito Albo.Viene infatti gestito esattamente come è stato fatto per la Posta Elettronica Certificata con la quale, per fortuna, si sono creati sia un utile strumento per il cittadino che un onesto business per alcune aziende di servizi informatici.I problemi che attualmente affliggono lo SPID sono di due tipi: commerciali e tecnici.

Quello commerciale, dovuto al solito bando confezionato ad arte (“solo aziende con almeno 5 milioni di euro di fatturato”) pare sia stato risolto di recente.

I problemi tecnici sono appena cominciati, ma preoccupano già molto: vediamo un attimo perché. Chi ha bisogno di una identità digitale la compra da un fornitore a scelta: attualmente ce ne sono tre.

I fornitori, dotati di adeguata struttura amministrativa e tecnica certificata, effettuano il riconoscimento della persona, ne verificano l’identità e rilasciano le credenziali richieste. Con queste credenziali l’utente si potrà (prossimamente) autenticare a tutti i siti e servizi delle pubbliche amministrazioni, ed a tutti i siti e servizi commerciali che la vorranno adottare.

E per i primi due anni le credenziali sono anche gratuite.”Tutti” e “Gratis”. Bello eh?

Si, ma anche no, e vediamo perché.

Esistono tre tipi di credenziali: SPID-1, SPID-2 e SPID-3.SPID-1 è un nome utente fisso con una password modificabile dall’utente: buono per autenticarsi su un social o una mail list, ma certo non buono per una dichiarazione dei redditi, un pagamento, un voto o la presentazione di un bilancio. Secondo Cassandra non avrebbe nemmeno dovuto esistere perché implementa una cultura dell’insicurezza.SPID-3: autenticazione con token digitale. Per ora nessuno la fornisce, quindi è difficile darne un giudizio, se non che è la triplicazione di altri due servizi che potrebbero essere usati con la stessa efficacia, cioè dispositivo di firma digitale e carta nazionale dei servizi (di solito coincide con la tessera sanitaria). Essendo non una duplicazione ma una triplicazione anche SPID-3 non dovrebbe esistere.SPID-2 è una autenticazione a due fattori, nome utente e password, congiuntamente alle generazione di un codice temporaneo che viene inviato via SMS o con app mobile dedicata. Già diffuso ed usato soprattutto dalle banche, è realizzabile anche in una diversa, più sicura e più costosa versione, in cui il codice temporaneo viene generato ogni minuto da un piccolo token con display LCD che si tiene in casa o nel portachiavi.SPID-2 non prevede tuttavia l’uso di un token fisico, ma solo della versione SMS. E qui vengono i dolori.

È infatti stata pubblicata un’interessantissima ricerca dell’Università di Amsterdam dal titolo “How Anywhere Computing Just Killed Your Phone-Based Two-Factor Authentication”, cioè “Come l’integrazione di smartphone e pc ha appena ucciso l’autenticazione a due fattori via SMS”. Si parla appunto delle ben note sincronizzazioni nei vari cloud e tra i vari sistemi operativi dei nostri gadget tecnologici, tanto comode ma anche tanto rischiose, e non solo per la privacy.

Le 17 lucide pagine descrivono dettagliatamente l’implementazione di attacchi mirati per violare i sistemi con codice temporaneo via SMS, sia in ambiente Android che iOS, con una prosa precisa ed implacabile, concludendo che mantenere ragionevolmente sicura l’autenticazione a due fattori via SMS sarà una sfida difficile e costosa. Per chi non troverà il tempo di leggere il paper (e farà male) è importante sottolineare che il problema segnalato non riguarda il semplice exploit di un paio di bachi, che poi saranno corretti in modo da risolvere il problema stesso. Il problema delineato è più sistemico e più profondo, quindi anche più grave e difficilmente correggibile, visto che contrasta con l’usabilità di prodotti. È il problema di permettere a più device di sincronizzarsi automaticamente ed in vario modo tra di loro e col cloud. Meccanismi di questo tipo, che si moltiplicano continuamente perché sempre più necessari, sono violabili anche senza veri e propri bachi software, perché dovendo far parlare device diversi tra loro senza disturbare troppo l’utente (e quindi avere prodotti più “belli”) saranno sempre intrinsecamente deboli perché, per spinte commerciali, devono essere prima di tutto flessibili e facili da usare.Così la sicurezza, da sempre Cenerentola dell’elettronica di consumo, sarà considerata ancora meno, quando invece il paper, nelle sue conclusioni, sottolinea che i problemi intrinseci di sicurezza diverranno sempre più gravi fino al limite dell’ingestibilità. Leggetevelo, anche perché all’Agenzia per l’Italia Digitale non hanno probabilmente avuto il tempo per farlo.

Se SPID-2 fosse invece un’autenticazione a due fattori con token hardware, anche se suscettibile di attacchi tipo Man-in-the-Browser (MitB), sarebbe comunque di gran lunga più difficile da violare e soprattutto da violare su larga scala.

E quindi? Quindi anche se SPID-2 non è nato proprio morto, è purtroppo un neonato a gravissimo rischio. Cassandra la ritiene una soluzione decisamente sconsigliabile, come le sue due sorelle.Nulla rimane da dire quindi sullo SPID come iniziativa digitale italiana.Il problema più vasto di avere una identità digitale univoca merita invece qualche altra considerazione.La violazione delle vostre (ipotetiche) credenziali SPID implica pericoli molto più gravi del semplice svuotamento del vostro conto corrente. Le credenziali sono “voi”, dovunque. Devono essere sicure ed utilizzate con attenzione.Essendo uniche potrebbero essere usate per impersonarvi e realizzare azioni su innumerevoli siti e servizi di cui voi nemmeno conoscete l’esistenza.

Ecco perché, secondo Cassandra, per SPID vale quanto detto a suo tempo per la CEC-PAC ed altre storie dell’orrore digitale italiane.

Neanche gratis.

Questo articolo è stato scritto il 26 maggio 2016 da Cassandra

Lampi di Cassandra 372/ SPID, un dibattito è indispensabile

La segnalazione di Cassandra sulle falle strutturali di SPID èstata raccolta, ma le perplessità restano. E’ per questo motivo che il confronto tra esperti e istituzioni è d’obbligo. Magari nel contesto di e-privacy.

SPID è stato l’oggetto dell’esternazione di Cassandra di qualche settimana fa. Agenda Digitale, testata telematica di informazione che tiene traccia dei passi dell’Italia verso la digitalizzazione, pubblica oggi un articolo di risposta e chiarimenti.
In primis, Cassandra ringrazia per l’interessante dialettica gli autori dell’articolo, due rappresentanti di una azienda che opera nell’ambito della digitalizzazione, e la testata, e coglie l’occasione per invitare aspiranti relatori rappresentanti del quotidiano o dell’AgID all’edizione 2016 di e-privacy che si svolgerà il 24 e 25 giugno a Pisa ed il cui tema “SPID ed Identità Digitale” è appunto integralmente dedicato a queste problematiche.

Detto questo, ed entrando nel merito, l’articolo di chiarimenti di Agenda Digitale è interessante, ma a parere di chi scrive non risponde a nessuno dei punti sollevati nell’articolo di Cassandra, e nemmeno a quelli del paper dell’università di Amsterdam che l’articolo citava. In buona sostanza la risposta degli autori contiene una ottima dettagliata spiegazione di come funzionano gli attacchi “Man in the Browser”, e la riduttiva e poco utile conclusione che se il pc è infettato non c’è nulla che si possa fare; cita anche un interessante articolo sulle responsabilità legali di una situazione di questo tipo.

Lascia però senza risposta la maggior parte delle problematiche sollevate dal paper e dall’articolo di Cassandra: riassumiamole e chiariamole brevemente.

Il paper conclude sostenendo in buona sostanza che, con l’aumento della complessità dell’ecosistema dell’informatica personale, l’autenticazione a due fattori si avvia ad essere insufficiente, e che comunque quella con token software (SMS sul cellulare) è molto più debole di quella con token hardware (portachiavi col numeretto che cambia ogni minuto), e per questo la prima deve essere scartata in favore della seconda.Infatti i malware più evoluti, dopo aver infettato il pc, tentano anche di infettare il cellulare. Quando l’operazione ha successo, invece di dover aspettare che l’utente svolga una singola transazione per fare una ed una sola transazione fraudolenta, essi possono cominciare ad operare a nome e per conto dell’utente in un numero illimitato di transazioni completamente invisibili ad esso.Se poi il metodo compromesso non è quello di una singola banca, ma quello di una identità digitale come lo SPID-2, i malware possono operare non solo sul sito compromesso, ma su qualunque altro sito che usi la SPID-2 con SMS, sempre senza che l’utente, che nel frattempo può anche essere a letto a dormire, possa accorgersi di nulla.Quantitativamente la differenza di rischio è abissale, e l’articolo purtroppo non ne fa cenno.La contromisura sarebbe semplicissima: basterebbe che i fornitori di SPID-2 fossero obbligati ad offrire solo la versione con One Time Password Generator (portachiavi con numeretto che cambia ogni minuto) e tutti questi profili di rischio scomparirebbero.Ma costa di più, e guarda caso nessuno dei tre provider attuali (e futuri) di SPID la offre, come pure nessuno offre la ancora più sicura SPID-3.

L’articolo di Agenda Digitale non risponde nemmeno all’affermazione che la SPID-1, fornita insieme alla SPID-2, è così rischiosa, per motivi simili, che non dovrebbe (a parere di chi scrive) neppure esistere, e che l’unica infrastruttura di identità digitale ragionevolmente sicura è quella SPID-3.

SPID-3 però non solo ancora non esiste, ma non è neppure necessaria, esistendo ben due sistemi già implementati, la CSA — Carta Nazionale dei Servizi (tessera sanitaria) e la Firma Elettronica Certificata (dispositivi di firma normali).Su queste problematiche non c’è stato ancora confronto, ed e-privacy sarebbe un eccellente canale per servire bene il pubblico facendo informazione completa su opportunità e rischi di un sistema pubblico di identità digitale.Rinnovo perciò l’invito a confrontarsi a Pisa il 24 e 25 Giugno.Vi aspettiamo.

Questo articolo è stato scritto il 28 luglio 2016 da Cassandra

Lampi di Cassandra/ SPID2, l’opinione del NIST

Negli USA l’autenticazione a due fattori a mezzo SMS viene bocciata e sparirà presto dalla circolazione. E non è solo questione di malware.

SPID2 è già stato oggetto di esternazioni di Cassandra: la nostra amica sosteneva che l’attuale offerta di SPID, limitata alla SPID2 con SMS, era insicura e controproducente ai fini della sicurezza, particolarmente per la possibilità di infezioni dello smartphone da parte di malware avanzati.

Agenda Digitale, quotidiano telematico di informazione, pubblicava un articolo nel quale, in buona sostanza, si sosteneva che se un device è infetto, e un attacco Man-in-the-Browser o Man-in-the-middle è in corso, non c’è doppio fattore che tenga.

Anche se è senz’altro vero che non avere malware sul proprio smartphone sia cosa buona e giusta, nel contesto SPID si tratta di un’affermazione semplicistica, fuorviante e tecnicamente sbagliata, perché non tratta il nocciolo del problema.

In queste ore, il NIST (National Institute of Standards and Technology), ente statunitense che cura le standardizzazioni tecnologiche e che non è proprio l’ultimo arrivato nel settore, ha pubblicato il final draft del documento “Digital Authentication Guideline — Authentication and Lifecycle Management”. La parte B del documento (Cassandra si scusa della pedanteria) pianta gli ultimi chiodi sulla bara della autenticazione a due fattori con SMS (2FA-SMS). Un sintetico riassunto della questione si trova su Slashdot. Ma citiamo direttamente la raccomandazione contenuta in questa imminente normativa. Il NIST raccomanda che le applicazioni utilizzino token fisici e crittografici. Il documento prevede, quasi a “malincuore”, che essi possano attualmente assumere anche la forma di app per cellulari, quindi di dispositivi che possono essere rubati o “temporaneamente presi in prestito”.

NIST sottolinea poi il fatto che la 2FA-SMS ha un altro punto debole che ha eroso la sua affidabilità, quello dei servizi VoIP: “Se la verifica fuori banda deve essere effettuata tramite un messaggio SMS su una rete pubblica di telefonia mobile, il gestore del processo deve assolutamente controllare che il numero di telefono pre-registrato in uso sia veramente associato con una rete mobile e non con un VoIP (o altro sistema telefonico basato su software)”. Aggiunge inoltre che “la modifica del numero di telefono pre-registrato non deve essere possibile senza una vera autenticazione a due fattori, da utilizzare al momento del cambio numero. Il cambio del numero tramite SMS è deprecato, e non sarà più consentito nelle versioni future di questa guida.”

In buona sostanza, oltre ai problemi legati ai malware avanzati che possono infettare uno smartphone (e certamente lo faranno) rendendo l’autenticazione a due fattori via SMS insicura, NIST individua altri due vettori di attacco: le reti VoIP e le problematiche legate al cambio del numero telefonico su cui ricevere l’SMS, che impediscono di usare la 2FA-SMS come metodo di autenticazione sicuro.Ricordiamo la definizione di base della 2FA: “Qualcosa che sai, più qualcosa che hai”. Gli smartphone e le reti GSM non sono sotto il controllo dell’utente ma di terzi, legittimamente o illegittimamente, quindi non rappresentano un “qualcosa che hai”. E questa è un’ulteriore conferma che la SPID2, realizzata con SMS e non con token hardware, non dovrebbe proprio esistere.

Ma in Italia ci vorrebbe una catastrofe affinché la convenienza della 2FA-SMS, scelta per facilitare il “decollo” del PIN di Renzi della SPID, venisse messa in discussione.

Questo articolo è stato scritto il 7 novembre 2016 da Cassandra

Lampi di Cassandra/ SPID o non SPID?

“Essere o non essere digitali” è il grande quesito al quale noi italiani dobbiamo rispondere. Il rischio di furti di identità c’è ma fino a quando SPID non sarà realmente sicuro è meglio attendere.

Oggi l’amletico dubbio contenuto nel titolo, particolarmente evidente per i lettori che già conoscono le precedenti esternazioni di Cassandra in tema, sarà sciolto razionalmente senza ricorrere alla divinazione, non dubitate.

Riassunto delle puntate precedenti: a parere di Cassandra solo la SPID di livello 2 con token OLTP o la SPID di livello 3 con token crittografico possono essere considerate affidabili.

Visto che a tutt’oggi nessuno ancora le fornisce, non bisogna (almeno per ora) usare o richiedere la SPID perché troppo insicura dal punto di vista informatico: rappresenta un rischio elevato (una grande superficie di attacco) alla propria “identità digitale” intesa in senso esteso.

Sul Fatto Quotidiano online è stato pubblicato di recente un video molto ben realizzato, che spiega come utilizzare mezzi illegali ma semplici, anzi banali, per ottenere l’identità digitale di un altra persona. È bene ripeterlo: per ottenere l’identità digitale di un’altra persona. Il video in questione, oltre che agghiacciante, è pure divertente, e Cassandra ne consiglia fortemente la visione prima di proseguire.

Riassunto del video: Il giornalista si è procurato i dati personali pubblici di una persona, ha rozzamente e velocemente falsificato due documenti di identità, e li ha usati per ottenere la SPID, ingannando l’operatore del fornitore di SPID che li esamina e li autentica utilizzando la webcam del portatile.Bene, sorvoliamo sul fatto che durante la realizzazione del video, così ad occhio (Cassandra fa la profetessa e talvolta l’ingegnere, non l’avvocato), sono stati compiuti almeno tre reati tutt’altro che lievi. Tralasciando come detto queste “pinzillacchere”, citando il grande Totò, analizziamo direttamente la “procedura” seguita.

Quello che è stato violato non è il meccanismo informatico della SPID in quanto tale, ma uno degli svariati metodi per ottenerla da un fornitore certificato (attualmente ce ne sono 4), metodi che sono in parte lasciati all’arbitrio del singolo fornitore di SPID.

Il nocciolo del problema è che se falsificare documenti di identità che debbano essere “utilizzati” nella maniera tradizionale è operazione molto difficile, falsificarli per usarli davanti a una webcam è ridicolmente facile. Non è un caso che per facilitare la diffusione della SPID, tra le varie modalità di rilascio siano previste non solo la tradizionale visita di un apposito ufficio o l’utilizzo di una firma digitale (equivalente all’ancora inesistente SPID livello 3), ma anche modalità online molto semplici e “amichevoli” (ma certo non sicure) come la webcam. E non è nemmeno un caso che di solito le operazioni tradizionali e scomode siano gratuite mentre quelle online, semplici e comode, siano a pagamento. Non dimentichiamo che i fornitori di SPID sono aziende, e che come qualsiasi azienda devono, dopo essersi certificate e operando in base a regole tecniche precise, generare profitto.Ma basta ripetere concetti già noti, che rischiano di diventare noiosi. Se avete preso in considerazione la possibilità di aggiungere la SPID alle altre identità digitali di cui siete probabilmente già in possesso (Tessera Sanitaria, Carta di Identità Elettronica, Carta Nazionale dei Servizi, Firma Digitale) e non lo avete fatto perché negativamente influenzati da Cassandra, adesso dovreste porvi un quesito e trovare la relativa risposta: “Io la SPID non la vorrei avere, ma visto che è possibile che altri la ottengano fraudolentemente al mio posto, forse è meglio che la chieda prima io e poi magari non la utilizzi, tanto è anche gratis.”Domanda sensatissima, tanto più che avendo la SPID potreste chiedere in ogni momento l’elenco degli accessi effettuati e accorgervi se qualcuno la sta usando al vostro posto.

Come aiuto per trovare una risposta, e anche per rendersi conto di quanto siano complesse le problematiche da affrontare, Cassandra consiglia la lettura della pagina FAQ nel sito dell’Agenzia per l’Italia Digitale. Basta consultarla e magari scartabellare anche un po’ tra gli altri regolamenti della SPID, per darsi la risposta. La risposta è “No”.

La SPID appartiene infatti a quella classe di identità digitali che possono essere multiple; insomma voi (e in maniera truffaldina altri) potete ottenerne più di una. Non potete ottenere due carte di identità digitali, come non potete chiedere due tessere sanitarie, ma dovete denunciare la perdita, furto o distruzione della prima e farvene rilasciare una seconda. È invece possibile, ragionevole e in certi casi necessario avere più di una firma digitale, come succede da sempre anche per la firma autografa, ad esempio l’amministratore di un’azienda che firma in un modo per gli atti aziendali e in modo diverso per quelli personali.E poiché il fatto di aver richiesto la SPID non impedisce che altri ne chiedano una seconda, utilizzando metodi fantasiosi come quello illustrato sopra, potete continuare tranquillamente (mica tanto) a farne a meno.Potete quindi continuare pazientemente ad attendere una SPID di livello 2 con token OLTP o di livello 3, sicure e rilasciate con metodi altrettanto affidabili, almeno fino a quando avere la SPID non diverrà obbligatorio.

Obbligatorio?!? Cassandra non vuole azzardare oggi altre profezie di sventura, ma solo far notare che, almeno a sentire i media, lo è già adesso in casi particolari, ad esempio per ottenere il “Bonus 18 anni” di 500 euro, che può essere richiesto solo ottenendo prima la SPID.

L’amletico dubbio se “Essere o non essere digitali” insomma, ha in questo caso una facile risposta.

Questo articolo è stato scritto il 27 febbraio 2017 da Cassandra

Cassandra Crossing/ Difendiamo la SPID3

Un Sistema Pubblico di Identità Digitale sicuro non può fare a meno dei token hardware controllati dall’utente. Ma per facilitare la vita ai pigroni e agli Identity Provider di restare ancorati alle insicure password si può cercare di snaturarlo.

Come i 24 lettori ricorderanno, avendo già subito in questa rubrica ben 5 esternazioni a riguardo, secondo Cassandra solo la SPID2 con token hardware e la SPID 3 con token crittografico avrebbero diritto di esistere. Perché? Perché la società dell’informazione richiede una cultura e una pratica della sicurezza; e un’infrastruttura nazionale collegata alla sicurezza informatica di tutti non può avere niente di meno che una sicurezza a due fattori (qualcosa che sai, più qualcosa che hai). La regolamentazione della SPID, analogamente a quella ormai collaudatissima della Firma Digitale, prevede che gli operatori che la implementeranno e che forniranno il servizio siano aziende, qualificate da AGID e operanti in regime di libero mercato e concorrenza.L’equilibrio tra interesse pubblico e interessi privati, quando funziona, è un’ottima cosa, ma per essere instaurato e mantenuto richiede una continua attenzione e una cura amorevole.

Infatti si potrebbe andreottianamente pensare che l’attuale assenza di un’offerta SPID2 con token OTP fisico e di SPID3 sia causata dal fatto che realizzarle in regime di gratuità non sia sostenibile a livello di business. Probabilmente è vero. Il risultato però è che il massimo di sicurezza che si può ottenere oggi come SPID è la SPID2 con token software.

Cassandra, il NIST e tanti altri (non in ordine di autorevolezza) hanno già dimostrato come questa soluzione non sia sufficientemente sicura. Uno smartphone con un’app è un oggetto troppo complesso per poter essere sicuro. Ma quando ci sarà la SPID3 i patiti del token hardware saranno soddisfatti? Non è detto, e spiegare il perché sarà un po’ pesante. I 24 lettori sono avvertiti…

AGID ha creato nel 2015 un gruppo di lavoro allo scopo di definire uno standard UNINFO per i requisiti di sicurezza che un Identity Provider SPID deve soddisfare per essere accreditato.

Attualmente l’adeguatezza dell’Identity Provider è infatti lasciata alla discrezionalità della valutazione e degli audit di AGID. Questo documento che definirà lo standard, di cui si è discusso durante l’edizione XIX di e-privacy, è adesso in votazione nell’organo tecnico UNI/CT 510/GL 02 ed è intitolato “E14.J1.G62.0 Sicurezza delle informazioni Verifica dei livelli di garanzia dell’autenticazione informatica Valutazione della conformità ai Livelli di garanzia 2, 3 e 4 della norma UNI CEI ISO/IEC 29115”.

SPID3 corrisponde al livello di assurance 4 (LOA4) dell’ISO 29115, che richiede (ripetiamo “richiede”) l’utilizzo di dispositivi fisici (ripetiamo “fisici”) sotto il controllo dell’utente.

Lo standard in corso di valutazione non permette, per realizzare SPID3, l’utilizzo di due soluzioni che per l’Identity Provider sarebbero particolarmente facili ed economiche (qualcuno ha detto “appetibili”?) da implementare:- l’utilizzo di App “interamente software” da installare sullo smartphone dell’utente. Vi ricorda qualcosa?- l’utilizzo di dispositivi di firma remota come strumenti di autenticazione SPID. E qui potrebbe cascare l’asino!Parentesi: la firma digitale remota è un altro esempio di smaterializzazione del token, concepita solo per esigenze particolarissime come i sistemi informatici delle pubbliche amministrazioni, ma oggi venduta con successo ai privati pigri, che sono ben contenti di non doversi portare dietro la smartcard e di cavarsela con una password. Metà delle firme digitali attive in Italia sono ahimè diventate di questo tipo, perché si tratta un prodotto “conveniente” sia per i privati che per le aziende. Peccato che siano meno sicure; ed evviva la cultura e la pratica della sicurezza!Torniamo allo SPID3. In pratica con questa soluzione, i requisiti di SPID3 si applicherebbero al dispositivo remoto situato presso l’Identity Provider, e l’accesso dell’utente al dispositivo di autenticazione potrebbe anche avvenire (ma vedi un po’!) con una semplice password. E comunque non sarebbe “qualcosa che hai”. Mamma mia!

Di conseguenza, alcuni soggetti stanno, legittimamente, premendo per rendere inefficace questa parte dello standard o per modificarla. Sono tra quelli che stanno votando il nuovo standard? Fatevi la domanda, datevi la risposta.

Speriamo che in questo caso sia possibile sapere chi sono, anche se il processo di votazione (che termina in questi giorni) non è pubblico. Il fatto che la questione sia in votazione renderebbe tracciabili i tentativi di modifica, ma non permetterebbe di impedirli.D’altra parte il processo prevede la possibilità che AGID alla fine possa non tenerne conto.Perciò niente profezie oggi. Limitiamoci a sperare bene!

Questo articolo è stato scritto il 22 dicembre 2020 da Cassandra

Cassandra Crossing/ Spid creepshow, la sospensione

Se dobbiamo convivere con la Spid, è meglio conoscerne le storie più oscure.

Gli irriducibili 24 lettori di Cassandra ben sanno che la nostra profetessa, dopo aver mantenuto per anni una posizione fortemente critica sulla Spid, ha controvoglia iniziato a consigliarla, data la sua quasi obbligatorietà nei rapporti con le pubbliche amministrazioni.

Ma consigliare la Spid (link Piped) porta anche la responsabilità di dover segnalare i problemi che il suo uso spesso causa; ecco quindi una nuova serie di articoli sui lati oscuri e le sorprese che possedere una Spid può causare. Il primo articolo della serie è una storia recentissima di vita vissuta. Ma andiamo con ordine.

La Spid è un sistema centralizzato di autenticazione; per questo la sua disponibilità diventa una risorsa doppiamente critica. È critica per la nazione, perché una debacle della Spid impatta tutti i servizi delle pubbliche amministrazioni contemporaneamente; lo ha dimostrato il recente collasso di parte dell’infrastruttura Spid nazionale durante il “click-day” del cashback, come pure il precedente collasso (link Piped) dovuto al Bonus Mobilità.

È critica per chi la possiede; la Spid, quando diventa indispensabile, diventa critica non solo per la nazione ma anche per il singolo utente. Sì, perché i vari Pin e password per gli accessi ai siti, particolarmente delle pubbliche amministrazioni, non vengono più utilizzati, e quindi “scadono” o vengono semplicemente persi e dimenticati. E la Spid diventa, come deve, l’unica chiave di accesso al regno dei servizi pubblici.

E improvvisamente… improvvisamente Cassandra, in una tranquilla domenica, prova ad autenticarsi al sito dell’Inps con la propria Spid2, e riceve un errore criptico. Pensando che possa essere scaduta la password (ma non dovrebbe arrivare prima una mail di avviso?), o comunque successo qualcosa di strano, estrae con baldanza la smartcard della firma digitale e ripete la procedura utilizzando la sua Spid3, che non richiede nessuna password. Ooops… errore ancora più criptico del sito dell’Inps, che denuncia un inesistente timeout; autenticazione di nuovo negata.

Ohibò, esclama Cassandra, vediamo un sito diverso; ripetendo le operazioni sul sito dell’Agenzia delle Entrate (più stabile e “quadrato” di quello dell’Inps), prima con la Spid3 e poi con la Spid2 si ottengono altri due messaggi di errore di autenticazione fallita. Che qualche russo abbia compromesso le credenziali di Cassandra?

Beh, è difficile sovvertire la Spid3, comunque andiamo sul pannello di gestione delle credenziali e… sorpresa, le credenziali della Spid vengono accettate, ma si viene diretti alla maschera di cambio password forzato, perché la password sembra scaduta. La password non dovrebbe essere scaduta, perché dura 6 mesi, e perché la scadenza viene preannunciata da una mail 30 giorni prima, ma un cambio password non si nega a nessuno quindi cambiamo, click su invio e… “Operazione non consentita per password in stato sospesa”.

Il messaggio dice proprio “sospesa” non scaduta. Le password “scadono”, solo le credenziali vengono “sospese”. E se fosse la Spid di Cassandra ad essere stata sospesa? Come mai esista la possibilità di “sospendere” la Spid e a che cosa questo serva sarà magari oggetto di un altro articolo.

Quindi la Spid è stata sospesa, ma da chi e perché? Che qualcuno sia riuscito a disabilitare la mia credenziale Spid3 e poi a entrare nel pannello di gestione della Spid indovinando o carpendo la password? Ma dovrebbe comunque usare la Spid2… I peggiori pensieri attraversano la mente di Cassandra.

Dopo una serie di giri a vuoto sul sito del gestore della Spid di Cassandra, facciamo finta che sia quello di Aruba.it, approdando a pagine di informazioni tanto generiche quanto inutili, finalmente Cassandra giunge a una pagina di spiegazioni, solo apparentemente generica ma in realtà conclusiva che dettagliatamente annuncia:

Identità Digitale sospesa: procedura per la riattivazione
A seguito delle attività di monitoraggio effettuate in qualità di Gestore delle identità digitali (art. 11 del DPCM 24 ottobre 2014), abbiamo temporaneamente sospeso l’identità digitale a lei intestata.
La sospensione, eseguita a scopo cautelare, si è rivelata necessaria poiché il numero di telefono o l’indirizzo email associato alla sua identità risultano condivisi con altre identità digitali.
Le ricordiamo che l’indirizzo email e numero di cellulare rappresentano un canale di contatto riservato e importanti fattori di autenticazione che devono essere riconducibili ad un’unica persona.
Per riattivare l’identità digitale e continuare ad utilizzarla come di consueto, è necessario eseguire le operazioni descritte di seguito entro 30 giorni dal tentativo di utilizzo delle credenziali Spid successivo alla sospensione.
La informiamo che decorsi 30 giorni senza che siano state effettuate le modifiche sopra indicate, la sua identità digitale sarà revocata.

Verissimo: cellulare ed mail di Cassandra, controllati e certificati, compaiono in più credenziali fin da quando sono state rilasciate, mai modificati, perfettamente regolari. Sospendere l’identità per questo senza neppure constatare che sono il numero di telefono e l’indirizzo email associato alle credenziali fin dal loro rilascio?

Se la cosa sembra sospetta può essere ragionevole sospendere la credenziale contattando subito l’interessato, lo fanno anche i gestori di carte di credito, ma sospendere l’identità senza darne comunicazione, e oltretutto revocarla permanentemente dopo 30 giorni è… lasciamo perdere ciò che direbbe Fantozzi, diciamo solo che è assurdo! Un insulto e un grave danno potenziale per il cliente.

E ora come venirne fuori? La password non può essere cambiata perché la credenziale Spid è sospesa, senza password non si possono confermare il numero di telefono e l’indirizzo di posta elettronica, e se non li si conferma non si può riattivare l’identità. Non c’è soluzione, è un incubo.

Rimangono tuttavia due possibilità, estreme ma praticabili. La prima può sembrare strana, ma è ragionevole, gratuita e abbastanza veloce; farsi un’altra Spid e aggirare il problema. Non sapevate di poter avere più di una Spid? La seconda è lunga e foriera di imprevisti; aprire un ticket all’assistenza, senza poter entrare nell’area utente, ma dovendo utilizzare il portale “generico”. Un viaggio periglioso ma che potrebbe risolvere rapidamente il problema. Bene, vista la situazione, meglio fare addirittura le due cose contemporaneamente: vediamo quale finisce prima.

Dopo una mezz’ora di navigazione in un portale di customer care in cui le pagine vanno in timeout due volte su tre, riesco finalmente a postare un ticket, e passo subito a richiedere un’altra Spid, questa volta non ad Aruba ma a Poste Italiane. Utilizzando come metodo di riconoscimento la mia firma digitale, e stavolta con un po’ di fortuna, riesco a richiedere la Spid, facendomi identificare tramite la firma digitale apposta sul contratto, scaricato in formato Pdf e uploadato come Pdf firmato. Vado a vedere in posta se la nuova Spid è stata rilasciata e, sorpresa, trovo un messaggio di Aruba che dice che il problema è stato risolto. Ah… ma cosa devo fare?

Cerco di tornare sul portale di assistenza clienti, e dopo un quarto d’ora di tentativi trovo la risposta del consulente che dice di avermi inviato una password temporanea. Torno nella mail. Nessuna password. Stanno invece cominciando ad arrivare le mail di Poste Italiane, che scandiscono le varie fasi del processo di rilascio della nuova Spid. Avendo scelto un riconoscimento online è tutto molto più facile e funziona anche di domenica.

Torno sul portale del customer care di Aruba, e con un ulteriore quarto d’ora di sforzi riesco ad aprire un secondo ticket di mancato arrivo password. Già che ci sono, non confermo la chiusura del primo ticket e segnalo il mancato arrivo della password anche come commento al primo ticket. Torno nella posta e trovo la mail di conferma della creazione della Spid di Poste Italiane con le istruzioni su come procedere per la prima autenticazione. Dopo poco arriva anche la password temporanea di Aruba, seguita a ruota dal secondo annuncio di risoluzione del problema.

Proviamo. Riesco a cambiare la password e a entrare nel pannello di gestione della Spid, dove scopro che nel frattempo (ma come mai?) è stata già annullata la sospensione della Spid. Che qualcuno si sia accordo dell’orrido loop che aveva creato e che inghiottiva i suoi clienti? Verifico le credenziali Spid di Aruba, che ora funzionano ambedue, e passo a creare e collaudare la nuova Spid di Poste Italiane. Dovrebbe essere velocissimo, invece ci vuole un bel po’; le procedure sono diverse e bisogna familiarizzarsi, ma dopo un’altra ora arrivo alla fine; ne riparleremo in un’altra puntata della nostra rubrica. Questo scherzo è costato mezza giornata di ambasce e lavoro.

Cosa dire, oltre che segnalare con questo articolo la situazione ad Aruba, che sarà certo in grado di riconoscere quale loro cliente si nasconde sotto l’identità di Cassandra? Che la Spid è ancora ingestibile da parte di utenti che non siano naviganti di vecchia data, smaliziati e induriti nell’uso quotidiano della Rete e nella frequentazione di help desk? Che la Spid non è un posto per vecchi pensionati? Troppo ovvio.

Sottolineiamo invece che Cassandra, come qualunque altro utente Spid, avrebbe dovuto prevedere la possibilità di imprevisti; dopotutto la qualità e l’affidabilità dei servizi informatici nel Belpaese non sono mai state particolarmente buone. Quindi avere una seconda Spid con un diverso fornitore diventa necessario. Perché? Per non dipendere da una singola credenziale che può essere improvvisamente “vittima” di errori dell’utente (non è questo il caso) oppure di problemi del fornitore (è proprio questo il caso).

Altrettanto vale per un’altra risorsa informatica che può divenire indispensabile e critica: la firma digitale. Cosa succede se il vostro dispositivo di firma si guasta, o vi accorgete di averlo smarrito, quando vi apprestate ad apporre una firma urgente? Potenzialmente una tragedia. Magari sforate senza rimedio un termine per depositare una perizia o rispondere a un bando di gara. Possedendo una seconda firma digitale, proprio come una seconda Spid, è invece possibile utilizzare quella “di scorta” e poi, con calma, ripristinare quella che ha fallito.

Quindi, fatelo! Fatevi (orrore!) non una sola Spid ma due. E fatevi anche due dispositivi di firma digitale, non uno. Oltretutto, la Spid2 è ancora gratis fino a fine 2020, e con certi fornitori anche la Spid3. Quindi non una Spid, ma due, sono la soluzione in questo Paese dove l’informatica è spesso fatta di servizi mal realizzati e trappole rivestite di buone intenzioni.

Poi non dite che Cassandra non vi aveva avvertito.

Marco Calamari

Unisciti alle comunità