Politica

Identità digitale (Spid), c’è un buco nella sicurezza: “Così ti divento Matteo Renzi”

Doveva essere “facile, veloce e sicuro“. Ma per violare la “grande rivoluzione digitale” del governo Renzi bastano colla, forbici e un computer. A otto mesi dal lancio del Sistema pubblico per l’identità digitale (Spid) si scopre che lo si può usare per carpire i dati sensibili di qualunque cittadino, perfino lo stesso Renzi, e carpire informazioni sensibili: dalla sanità alla dichiarazione dei redditi, dalle tasse all’iscrizione dei figli al nido. Senza essere hacker.

Dal 15 marzo scorso è operativo “Spid”, il Sistema pubblico d’identità digitale che con un pin unico permette di accedere a tutti i servizi online della pubblica amministrazione (Inps, Agenzia Entrate, Comuni, scuole, asl) e interagire direttamente con loro, rendendo il rapporto con la burocrazia “veloce, semplice e sicuro“. Finché arriva qualcuno a guastare la festa, armato dell’astuccio di un bambino e di un computer.

IL FLOP – Vero pilastro del piano Renzi-Madia per la semplificazione 2015-2017, il sistema Spid è partito otto mesi fa, con un anno di ritardo sul ruolino di marcia. Il governo prevedeva di collegare entro il 2017 circa 10 milioni di utenti ma dopo sei mesi le identità digitali rilasciate sono poco più di 140.000 e di questo passo per centrare l’obiettivo non basteranno 25 anni. Dietro al flop, va detto, ci sono ragioni tecniche ed economiche. Le amministrazioni periferiche dello Stato faticano ad effettuare la migrazione dai loro vecchi sistemi di accreditamento (tipo Cns), tanto che solo due regioni (Emilia Romagna e Friuli) sono agganciate a Spid (tutte dovranno adeguarsi entro dicembre 2017). Non aiutano poi la procedura farraginosa e i costi per il cittadino: l’identità digitale è stata pubblicizzata come “gratuita per i primi due anni” ma ottenerla può costargli anche 20 euro.

In ogni caso il dato è imbarazzante per il governo che deve esser corso ai ripari esercitando pressioni sull’Agid, l’Agenzia per il digitale (che fa capo alla Presidenza del Consiglio) e sugli Identity Provider accreditati (Infocert, Tim, Poste) per recuperare il ritardo e scongiurare la figuraccia. Finendo però per farne una peggiore, perché in Italia – lo abbiamo dimostrato e documentato con un video – non è un colosso privato tipo Yahoo o un attacco informatico straniero a insidiare la privacy e la sicurezza dei cittadini. Ma il loro governo. Ecco come.

LA FALLA – Pur di accelerare la distribuzione delle identità l’Agenzia ha consentito il rilascio anche attraverso il riconoscimento Web: usando la WebCam un operatore di un call-center privato (sì, non un pubblico ufficiale!) visiona i documenti che gli vengono mostrati ma dei quali non può accertare l’autenticità, rischiando così di essere facilmente tratto in inganno da chi volesse sostituirsi a un altro cittadino per far incetta dei suoi dati sensibili come la dichiarazione dei redditi e l’Isee, referti e visite mediche, la situazione previdenziale e le denunce di infortuni all’Inail, l’iscrizione all’asilo nido e i congedi di maternità, il pagamento di tasse e bolli, proprietà immobiliari e dichiarazioni di successione. Un’impresa, ad esempio, può sfogliare le fatture elettroniche di un concorrente. Senza che qualcuno se ne accorga.

L’ESPERIMENTO – Il punto di forza diventa così l’anello debole della catena. Chi scrive lo ha sfruttato riuscendo senza difficoltà a farsi accreditare agli occhi dello Stato con l’identità di un collega. Vale la pena ricordare che non è un gioco, che assumere un’identità altrui è un reato e che si è scelto di correre un rischio per portarne alla luce uno maggiore, che riguarda la sicurezza di tutti. Ma va anche detto che lo stesso esperimento si poteva tentare a uno sportello fisico, correndone solo qualcuno in più ma il punto è questo: se fino a ieri con un documento falso non si andava lontano oggi – con l’identità digitale fasulla interconnessa a tutti i servizi della PA – si può carpire una miriade di informazioni su una persona, una famiglia, un lavoratore e un’impresa. E presto operare direttamente sui loro conti correnti, il giorno in cui Spid – come ipotizzano dall’Agid – sarà abilitato in ambito bancario. Il futuro riserva poi lo switch off obbligatorio e allora nessuno sarà esente da rischi, neppure il cittadino Matteo Renzi. Al quale ora tocca chiedere:

a) Quanto è costata l’infrastruttura che rottama 50milioni di CNS (Carta nazionale dei servizi) già distribuite ai cittadini?

b) Chi restituirà a privati e imprese i soldi che hanno pagato di tasca loro per essere accreditati a operare in un sistema che si è scoperto (e dimostrato) permeabile a un bambino?

c) Chi può garantire che i 140mila accreditamenti rilasciati finora siano stati e siano in condizioni di assoluta sicurezza?

d) Chi, come e quando si prende l’impegno di adeguare il sistema mettendolo in sicurezza?