Lo SPID (Sistema pubblico di identità digitale) abbraccia lo standard OpenID Connect: AgID ha infatti rilasciato le linee guida per la sicurezza del servizio di gestione delle credenziali dei cittadini digitali italiani, già utilizzato da 26,4 milioni di utenti.
Nei prossimi mesi, quindi, gli operatori di identità digitale dovranno implementare il nuovo standard per blindare lo SPID.
“È una buona notizia”, spiega Giovanni Manca, Consulente, Anorc, “ma proprio perché è una cosa utile che risolve finalmente molte criticità, ci si domanda perché lo Stato non l’abbia fatto prima. Lo Stato arriva sempre in ritardo sulle cose ovvie, soprattutto perché si trattava di un problema e di un’esigenza di sicurezza. Perché abbiamo dovuto aspettare così tanti anni? Lo SPID compie sette anni ed erano a rischio 26 milioni di utenti: l’adozione di OpenID Connect sarebbe dovuta avvenire da anni. La stessa cosa è successa coi certificati: siamo sempre in ritardo e sempre con la tecnica dell’annuncite. Il lato positivo è che finalmente è stata risolta una criticità, il lato negativo è l’enorme ritardo con cui è stata risolta”.
Indice degli argomenti
Le linee guida di AgID per la sicurezza dello SPID
Con la Determinazione n. 616/2021, l’AgID ha pubblicato le linee guida che, a partire dal primo maggio 2022, dovranno adottare i gestori dell’identità digitale per rendere sicuro il servizio dello SPID. Il Codice dell’Amministrazione Digitale (CAD) ha messo a punto le linee guida, mutuate dal mondo delle applicazioni Web private, e AgID le ha adottate.
Per gli utenti apparentemente non cambia nulla, in quanto non dovranno cambiare modalità con cui usare lo SPID, ma in realtà cambia tutto proprio sul fronte della cyber security, perché passeranno dallo standard poco sicuro Saml, attualmente in uso, allo standard sicuro OpenID Connect.
Dal primo maggio 2022, i gestori dell’identità digitale, i fornitori pubblici e privati, dovranno erogare i propri servizi online adottando questo standard che non offre solo maggiore sicurezza, ma anche interoperabilità e scalabilità.
I punti di forza e di debolezza di SPID OpenID Connect
“L’iniziativa di Agid è un segnale molto importante e positivo”, commenta Gerardo Costabile, CEO di DeepCyber (Gruppo Maggioli): “Si pone l’accento, tra le varie cose, sul fatto che tale approccio sia già seguito, con successo, come standard nel mondo privato. Questa cross fertilizzazione pubblico-privato non è da sottovalutare”.
Da tempo Google, PayPal, Microsoft e i principali colossi del Web hanno implementato OpenID Connect, proprio perché rappresenta un salto di qualità dal punto di vista della sicurezza. Lo standard, infatti, evita agli attaccanti di intercettare le comunicazioni, in primis quando si usano applicazioni per dispositivi mobile. I punti salienti dello standard OpenID Connect sono:
- più sicurezza;
- migliore integrazione in sistemi eterogenei (web, mobile, single-page app, IoT e backend);
- maggiore semplicità d’implementazione sicura di componentistica di terze parti;
- interoperabilità;
- scalabilità.
Inoltre SPID OpenID Connect consente:
- controlli di sicurezza obbligatori, adatti a un ampio ventaglio di casi d’uso governativi;
- ragionevole facilità di integrazione e funzionalità.
OpenID Connect previene potenziali attacchi tramite l’intercettazione delle comunicazioni, innanzitutto nel caso di applicazioni per device mobili. Inoltre, SPID OpenID Connect prevede l’uso delle sessioni lunghe revocabili, per evitare continui inserimenti di password e migliorare la user experience nelle applicazioni mobili. Costabile mette però in guardia su questo punto: “Farei attenzione sulla possibilità tecnica, prevista come nuovo vantaggio, di far durare tanto le sessioni per venire incontro una esperienza più ‘agevole’ dell’utente. Va approfondito sempre l’equilibrio tra usabilità e sicurezza“. Infine, prevede meccanismi con cui gli utenti possono bloccare un’autenticazione già effettuata per accedere a un particolare servizio.
“Il punto più controverso resta ancora irrisolto“, evidenzia Costabile: “Quando parliamo di sicurezza SPID, la minaccia non è soltanto di tipo tecnologico ovvero rispetto alle vulnerabilità. Con la diffusione dello SPID un po’ ovunque e con la tentazione di utilizzarlo anche in ambito bancario, non possiamo sottovalutare la necessità di alzare il livello per una maggiore consapevolezza sull’autorizzazione della transazione stessa”. Conclude l’esperto: “Sarà sempre più importante, quindi, la parte di firma dell’operazione e non solo il mero accesso a doppio fattore. La user experience, di cui tanto si parla, va anche influenzata con maggiore sicurezza e non deve essere solo sinonimo di facilità a tutti i costi“.
La popolarità dell’identità digitale
Oggi lo SPID vanta 26,4 milioni di utenti. A trainarne la popolarità sono stati i servizi associati come il Cashback e poi il Green Pass. Lo SPID è passato da 12,2 milioni alla fine di ottobre 2020 ai 26,1 milioni nello stesso periodo del 2021, per raggiungere quota 26,4 milioni nell’ultimo report dell’Osservatorio del Politecnico di Milano.
L’autenticazione mediante questo sistema di identificazione è quindi passato dal 22% di un anno fa al 43% nel 2021, e l’Italia si piazza in Europa al sesto posto. La classifica europea vede al primo posto l’Olanda col 95% di diffusione di DigiD, l’equivalente delle nostre credenziali digitali, seguita dalla Svezia all’83%, Norvegia (73%), Belgio (46%) e Francia (45%).
