Portafoglio elettronico al via con patente e tessera sanitaria sull’App IO, ma preoccupano rischi su sicurezza e furti d'identità
L’It Wallet, il portafoglio digitale che permetterà di poter conservare sul cellulare tutti i propri documenti (dalla patente, alla tessera sanitaria) scalda i motori per diventare operativo dall’autunno, come richiesto dal sottosegretario all’innovazione tecnologica Alessio Butti che punta a fare dell’Italia il primo paese Ue a implementare il Wallet.
Ma il rischio è che si aprano delle falle nella sicurezza perché la mera autenticazione tramite Spid rischia di non garantire il rispetto degli standard richiesti dall’Unione europea secondo cui il riconoscimento degli utenti dovrebbe puntare maggiormente sulla biometria.
Bruxelles ha infatti licenziato le linee guida sul portafoglio digitale europeo in cui prevede l’utilizzo della biometria e gli addetti ai lavori si augurano che l’It Wallet segua gli stessi standard di utilizzabilità e sicurezza.
Cosa prevede il Regomento europeo eiDas 2 - Il regolamento europeo eIDAS 2 (regolamento 2024/1183) in vigore dal 20 maggio 2024 definisce il quadro dell’identità digitale Ue e gli standard del Wallet europeo (Ediw, acronimo di European digital identity wallet). L’obiettivo è garantire nel prossimo futuro ai cittadini tutta una serie di servizi come l’apertura di un conto corrente o le operazioni bancarie, l’interazione con i servizi sanitari, finanziari, dell’istruzione e delle telecomunicazioni. Per accedervi basterà autenticarsi con l’Ediw attraverso un sistema a due fattori che predilige tra i vari strumenti la biometria per una serie di ragioni che non sono soltanto di sicurezza.
L’IT Wallet - In Italia l’IT Wallet sarà implementato attraverso l’App IO, l’applicazione dei servizi pubblici gestita da PagoPa. A metà luglio è iniziata una sperimentazione tra un campione di cittadini per caricare sull’app i primi tre documenti supportati (patente, tessera sanitaria e Carta europea della disabilità) che però fino a ottobre non avranno valore legale.
Da ottobre, se la sperimentazione avrà avuto buon esito, il portafoglio digitale italiano entrerà finalmente a regime, interessando potenzialmente una platea di circa 45 milioni di persone. Per IT Wallet (progetto che il Dipartimento per la transizione digitale di Palazzo Chigi guidato da Butti, sta gestendo in collaborazione con l’Istituto poligrafico e Zecca dello Stato, PagoPa e l’Agenzia per l’Italia digitale) il decreto legge Pnrr quater (n. 19/2024) stanzia 300 milioni di euro in tre anni.
Le problematiche - All’App IO si accede tramite Spid e Carta di identità elettronica e proprio questo potrebbe rappresentare il vulnus di sicurezza del portafoglio digitale italiano visto che molti operatori nutrono scarsa fiducia soprattutto in Spid che ha evidenziato molte falle tra cui il rischio di duplicazione dei profili.
La biometria, invece, viene considerata un sistema più sicuro e di più facile utilizzo per l’autenticazione che, in aggiunta, garantisce un recovery dei dati molto semplice per l’utente. Cosa non da poco visto che si stima che oltre il 10% degli utenti Spid abbia problemi di accesso e sia per questo costretto a rivolgersi al call center con conseguente rischio di furti di identità.
“E’ un tema emerso prepotentemente negli ultimi anni e da ultimo durante l’ultima edizione di Forum P.a.”, spiega Andrea Carmignani, ceo e fondatore di Keyless, azienda che si occupa di cybersecurity e riconoscimento biometrico i cui sistemi di riconoscimento sono stati adottati da grandi banche nazionali e internazionali.
“Tra i vari attori presenti, l’Agenzia per la cybersicurezza nazionale ha posto l’attenzione sul tema dei furti di identità e della sicurezza del Wallet. Secondo noi non vanno trascurate soprattutto in settori chiave come quello bancario e finanziario le difficoltà di utilizzo e l’eccessivo ricorso al call center per la fase di recovery delle credenziali dell’account, il che rappresenta anche un grosso costo per la p.a.”
Spetterà ora all’Istituto poligrafico e Zecca dello Stato, a cui compete il compito di rendere sicuro il Wallet, trovare la quadra. E anche il Poligrafico starebbe avanzando più di un dubbio sulla sicurezza delle identità digitali rilasciate tramite Spid.
Per rendere più sicuro l’accesso al Wallet servirebbe quindi uno strumento di filtro che le linee guida europee hanno individuato proprio nella biometria. Non a caso il tema del livello di sicurezza che il Wallet (europeo e italiano) dovrà avere è stato uno dei più dibattuti in sede comunitaria.
E la conclusione è stata che il livello di sicurezza di Spid risulterebbe molto potenziato dal riconoscimento biometrico. E ne beneficerebbe anche la Cie che ad oggi si caratterizza per un non semplice utilizzo. Rispetto ai tradizionali sistemi di riconoscimento facciale (il face Id di Apple per intenderci) che proteggono il telefono ma non fanno altro che sbloccare un pin (con la conseguenza che se si perde il dispositivo non si riesce più ad accedere) i sistemi di riconoscimento biometrico come quelli di Keyless consentono di identificare il soggetto tramite una chiave crittografica generata dalla biometria, conservando l’identità digitale nel cloud in maniera sicura.
Il che offre la possibilità di usare device diversi, a condizione che siano dotati di fotocamera. Insomma, se si perde il cellulare e si ha la necessità di accedere al conto corrente bancario lo si potrà fare senza problemi da un altro telefonino.
Lo stesso sistema, basato sul caricamento del template biometrico sul device dell’utente, potrà essere utilizzato per il riconoscimento facciale negli aeroporti. Lo scorso 23 maggio il Comitato europeo per la Protezione dei Dati (EDPB), ha dato parere favorevole a tale utilizzo, considerato quello che maggiormente rispetta le norme (articoli 5, 25 e 32) del Regolamento europeo sulla protezione dei dati personali (Gdpr).
Fonte: Italia Oggi – di Francesco Cerisano