Al prossimo Security Summit, che si terrà presso lo Sheraton Roma, si parlerà della normativa SPID (www.spid.gov.it), il nuovo Sistema Pubblico di Identità Digitale, per quanto riguarda la sicurezza degli Identity Provider e dei sistemi di autenticazione del cittadino, ed il team degli editor spiegherà i cardini relativi agli aspetti di sicurezza su cui hanno costruito la norma tecnica.
Il dott. Massimiliano Pucciarelli dell’ Agenzia per l’Italia Digitale, organo sotto la Presidenza del Consiglio, coordinatore del gruppo di lavoro spiega gli aspetti fondamentali della normativa. A collaborare con l’agenzia vi è laMobysign il cui apporto alla normativa tecnica è frutto dell’esperienza sul campo e della creazione della sua piattaforma innovativa di autenticazione e digital identity che sta trovando successo anche presso le istituzioni britanniche. Dal punto di vista della sicurezza SPID è modulato su tre livelli, in ordine di sicurezza crescente:
- livello 1: è basato su un fattore di autenticazione, come ad esempio la conoscenza di una password
- livello 2: è basato su almeno 2 fattori autenticazione, come ad esempio la conoscenza di una password e il possesso di uno smartphone
- livello 3: è basato sulla PKI, per intenderci la tecnologia utilizzata sulle smartcard di camera di commercio per la firma del bilancio, ma oggi disponibile anche su altri device; anche in questo caso sono richiesti due fattori di autenticazione, come ad esempio il PIN da digitare e il possesso del device.
La norma tecnica fissa i requisiti prendendo in considerazione sia le soluzioni più classiche, sia le soluzioni piu’ innovative. Importante, durante la discussione, la differenza tra i requisiti dell’autenticazione SPID e i sistemi di firma elettronica, quale ad esempio la firma elettronica qualificata: mentre è ammesso utilizzare, almeno oggi, sistemi di firma remota per la firma elettronica a più alto valore legale, nel caso dell’autenticazione SPID tali sistemi non aggiungono livelli di sicurezza alla soluzione implementata, poichè il focus è concentrato sull’autenticazione dell’utente a monte della fruizione di servizi remotizzati.
In particolare Mobysign abilita soprattutto le banche a diventare Identity Provider dei propri clienti, aiutandole a mantenerne la ownership. Questo è un aspetto fondamentale per le banche anche in vista della PSD2, per evitare di essere disintermediate dai TPP, ovvero i Third Party Payment Service Provider, come gli Over The Top, quali ad esempio Google, Apple e Samsung, che stanno entrando prepotentemente nel mondo dei pagamenti. In base alla PSD2 i TPP che forniranno servizi di Digital Identity all’end user, potranno attivare, su sua richiesta, pagamenti sul suo conto corrente senza necessità di un accordo con la banca, riducendola di fatto ad una commodity. La chiave di volta sarà per le banche giocare d’anticipo, offrendo servizi di Digital Identity come SPID ai propri clienti.
Sarà una rivoluzione in cui il mercato dell’Identità Digitale sarà decisivo per i prossimi modelli di business e il driver di una nuova economia più snella ed efficiente, grazie alla facilità con cui sarà possibile autenticarsi ai servizi della Pubblica Amministrazione, della Banca, dei pagamenti ecommerce e retail.
