SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
SPID: le nuove identità digitali
dopo la riforma del CAD
Gianluca Satta
Massimo Farina
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in
materia di Diritto dell’Informatica e dell’Informatica Giuridica
Web site: www.diricto.it
ICT for Law and Forensics è il laboratorio di Informatica Forense del
Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari
Web site: ict4forensics.diee.unica.it
Chi siamo
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Cosa è l’identità digitale?
A cosa serve un’identità digitale?
Esiste un diritto all’identità digitale?
L’identit{ digitale
3
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
“The essential and unique characteristics ofan entity are what identify it.”
H. Abelson e L. Lessig, Massachusetts Institute of Technology
“A Digital Identity is a virtual representation of a real identitythat can be used in electronic interactions with othermachines or people.”
E. Norlin e A. Durand, “Federated Identity Management”, Whitepaper on towards federated identity management
Non è facile dare una definizione esaustiva
Cosa è l’identit{ digitale?
4
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
“The value of Digital Identity is that it allows us to transpose the ease andsecurity human interactions once had when we knew each other or didbusiness face-to-face, to a machine environment where we are oftenmeeting one another (virtually) for the first time in transactions whichmight span vast distances.”
E. Norlin e A. Durand, “Federated Identity Management”, Whitepaper on towards federated identity management
Identità fisica vs Identità digitale
A cosa serve un’identit{ digitale?
Il valore dell’Identit{ Digitale come strumento per trasporre (comodità esicurezza) tipiche delle interazioni umane, in un ambiente di macchine dovespesso ci si incontra virtualmente per la prima volta, nell’ambito di transazioni trasoggetti fisicamente molto distanti
5
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
REAL LIFE
Interazioni umane:
- Agevoli
- Sicure
- Faccia a faccia
VIRTUAL LIFE
Interazioni tra macchine:
- Distanza
- Incertezza
- Insicure
Identità fisica vs
Identità digitale
A cosa serve un’identit{ digitale?
6
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Unica
Univoca
Identità fisica Distribuite
(le informazioni sonodislocate in diversipunti della rete)
Possono essere associate più ID a ciascuna persona fisica
Identità digitale
Identità fisica vs Identità digitale
A cosa serve un’identit{ digitale?
7
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
(1) Instaurare la fiducia negli ambienti online è fondamentale per losviluppo economico e sociale. La mancanza di fiducia, dovuta inparticolare a una percepita assenza di certezza giuridica, scoraggia iconsumatori, le imprese e le autorità pubbliche dall’effettuare transazioniper via elettronica e dall’adottare nuovi servizi.
La fiducia nelle transazioni elettroniche
(2) Il presente regolamento mira a rafforzare la fiducia nelle transazionielettroniche nel mercato interno fornendo una base comune perinterazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche,in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati,nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.
REGOLAMENTO (UE) N. 910/2014 – eIDAS (electronic IDentificationAuthentication and Signature)
considerando
A cosa serve un’identit{ digitale?
8
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
All’interno dell’ordinamento giuridico sono tutelati gli elementi principali diindividuazione della persona, quali il nome e l’immagine.L’identificazione della persona, infatti, presuppone sempre la sua individuazione.
IL NOME trova disciplina e tutela negli articoli 6 - 9 del codice civile, nonché all’art.22 della Costituzione. Se il codice civile all’art. 6 in positivo dispone che ogni personaha diritto al nome, la Costituzione repubblicana all’art. 22 assicura in negativo che“nessuno può essere privato, per motivi politici, del nome”.
L'IMMAGINE è invece un mezzo identificativo innato, essa descrive l'insieme dellesue fattezze in misura e maniera tale da poterla riconoscere. Ciò che circola è la suariproduzione e, pertanto, ad essa è assicurata la tutela del legislatore all'art. 10 c.c.
Esistono varie forme di tutela dell’identità personale. Dottrina e giurisprudenzasono arrivate ad affermare l’esistenza di un vero e proprio diritto all’identitàpersonale, che trova fondamento nell’art. 2 Cost.
Esiste un diritto all’identit{ digitale?
9
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Art. 2, Codice Privacy (D. Lgs. 196/2003)“Il presente testo unico, di seguito denominato "codice", garantisce cheil trattamento dei dati personali si svolga nel rispetto dei diritti e dellelibertà fondamentali, nonché della dignità dell'interessato, conparticolare riferimento alla riservatezza, all'identità personale e aldiritto alla protezione dei dati personali”
E l’identità digitale?......
Esiste un diritto all’identit{ digitale?
10
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
L’identità digitale è strettamente congiunta a quella personale, la primadescrive e rappresenta la seconda.
È necessario assicurare all’identità digitale le medesime tutele egaranzie riconosciute dall’ordinamento per l’identità personale
L’identit{ digitale deve essere oggetto di tutela all’internodell’ordinamento, in quanto strettamente connessa all’identit{ realedella persona
L’identit{ digitale può avere legami più o meno diretti con l’identit{reale: dall’anonimato alla totale associazione
Esiste un diritto all’identit{ digitale?
11
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Attraverso regole che tutelano:
Identità personale in rete
Tecniche di identificazione del soggetto a mezzo di
strumenti informatici
Esiste un diritto all’identit{ digitale?Come tutelare l’identit{ digitale
12
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Esiste un diritto all’identit{ digitale?Dichiarazione dei diritti in Internet
Commissione per i diritti e i doveri relativi ad Internet - 14 luglio 2015
Art. 1 - Riconoscimento e garanzia dei diritti
1. Sono garantiti in Internet i diritti fondamentali di ogni persona riconosciuti dallaDichiarazione universale dei diritti umani delle Nazioni Unite, dalla Carta dei dirittifondamentali dell’Unione Europea, dalle costituzioni nazionali e dalle dichiarazioniinternazionali in materia.2. Tali diritti devono essere interpretati in modo da assicurarne l’effettivit{ nelladimensione della Rete.3. Il riconoscimento dei diritti in Internet deve essere fondato sul pieno rispetto delladignità, della libertà, dell’eguaglianza e della diversità di ogni persona, che costituiscono iprincipi in base ai quali si effettua il bilanciamento con altri diritti.
13
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Esiste un diritto all’identit{ digitale?
Art. 9 - Diritto all’identità
1. Ogni persona ha diritto alla rappresentazione integrale e aggiornata delle proprieidentità in Rete.2. La definizione dell’identit{ riguarda la libera costruzione della personalità e non puòessere sottratta all’intervento e alla conoscenza dell’interessato.3. L’uso di algoritmi e di tecniche probabilistiche deve essere portato a conoscenza dellepersone interessate, che in ogni caso possono opporsi alla costruzione e alla diffusionedi profili che le riguardano.4. Ogni persona ha diritto di fornire solo i dati strettamente necessari perl’adempimento di obblighi previsti dalla legge, per la fornitura di beni e servizi, perl’accesso alle piattaforme che operano in Internet.5. L’attribuzione e la gestione dell'Identità digitale da parte delle IstituzioniPubbliche devono essere accompagnate da adeguate garanzie, in particolare intermini di sicurezza.
14
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Esiste un diritto all’identit{ digitale?
15
Sezione IIDiritti dei cittadini e delle imprese
Art. 3 - Diritto all'uso delle tecnologie 1. Chiunque ha il diritto di usare le soluzioni e gli strumenti di cui al presenteCodice nei rapporti con i soggetti di cui all'articolo 2, comma 2, anche ai finidella partecipazione al procedimento amministrativo, fermi restando i dirittidelle minoranze linguistiche riconosciute.[…]1-quinquies. Tutti i cittadini e le imprese hanno il diritto all'assegnazione diun'identità digitale attraverso la quale accedere e utilizzare i servizi erogatiin rete dai soggetti di cui all'articolo 2, comma 2, alle condizioni di cuiall'articolo 64;
Codice dell’Amministrazione DigitaleModificato dall’art. 3, D. Lgs. 26 agosto 2016, n. 179
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Facciamo chiarezza
È il processo con il quale vengono associate delle credenziali ad un soggetto,per consentire l’accesso a un sistema informativo, generalmente in rete, dopola verifica in automatico da parte di un programma dedicato delle credenzialiche si intende accreditare sul sistema.Risponde alla domanda “Chi sei tu?”La funzione dell’identificazione è quella di rendere conoscibile un entitàall’interno di una moltitudine di entità sconosciute.La digitazione del nome utente (username) equivale all’asserzione: “sono lapersona a cui appartiene questo username”
Identificazione: la determinazione che un individuo sia conosciuto o meno dalsistema
Autenticazione vs Identificazione
16
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Autenticazione: il processo attraverso il quale viene verificata l'identità di unutente che vuole accedere ad un computer o ad una una rete. E’ il sistema cheverifica, effettivamente, che un individuo è chi sostiene di essere.
Una volta stabilita l’identit{ di una persona, il sistema deve essere sicuro chel’utente sia quello che dice di essere. Per questo motivo, il sistema chiede “Comepuoi dimostrare la tua identità?”Con l’inserimento della password corretta, l’utente fornisce la prova che è lapersona a cui appartiene quell’username.Vi sono tre tipi di informazioni che possono essere utilizzate per l’authentication:Something you know: PIN, password, o altra parola chiave.Something you have: token fisico, un generatore di OTP, una smartcardSomething you are: una biometria (volto, impronte digitali, geometria della mano,venature della mano, l’iride, la retina, la firma, la voce, l’orecchio, il DNA)
Autenticazione vs IdentificazioneFacciamo chiarezza
17
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Autorizzazione: il conferimento all’utente del diritto ad accedere aspecifiche risorse del sistema, sulla base della sua identità.
Una volta che il sistema ha identificato e autenticato l’utente, ora si tratta distabilire “cosa puoi fare?”, “a quali risorse, a quali dati puoi accedere?”
Il tutto viene garantito con un controllo agli accessi, in base alleautorizzazioni precedentemente date al profilo dell’utente. Il sistema èpertanto in grado di stabilire quali operazioni consentire e quali vietareall’utente.
Autenticazione vs IdentificazioneFacciamo chiarezza
18
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
«identificazione elettronica», il processo per cui si fa uso di dati di identificazionepersonale in forma elettronica che rappresentano un’unica persona fisica o giuridica, oun’unica persona fisica che rappresenta una persona giuridica;
«dati di identificazione personale», un insieme di dati che consente di stabilire l’identit{di una persona fisica o giuridica, o di una persona fisica che rappresenta una personagiuridica
Art. 3 – Definizioni
«autenticazione», un processo elettronico che consente di confermare l’identificazioneelettronica di una persona fisica o giuridica, oppure l’origine e l’integrit{ di dati in formaelettronica
Autenticazione vs IdentificazioneRegolamento eIDAS (electronic IDentification Authentication and Signature)
REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE
19
Fanno parte del CAD (richiamo art. 1, comma 1-bis CAD)
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Art. 64 Codice dell’Amministrazione Digitale:
CNS (Carta nazionale dei Servizi)
I principali strumenti di identificazione informatica
CIE (Carta di identità elettronica)
20
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
SPID: stato di avanzamento
21
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
CAD, art. 64 del D.lgs. 7 marzo 2005, n. 82 (Codice dell'Amministrazione Digitale) [modificato dal D. Lgs. 26 agosto 2016, n. 179 ]
DPCM 24 ottobre 2014
Determinazione n. 44/2015, sono stati emanati i quattro regolamenti previsti dall’articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014
Determinazione n. 189/2016 del 22 luglio 2016, aggiornate e modificati i regolamenti SPID
Determinazione n. 239/2016 del 7 ottobre 2016, consente anche ai privati di accedere al sistema SPID in qualità di fornitori di servizi
SPID: presupposti normativi
22
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
DECRETO-LEGGE 21 giugno 2013, n. 69 “Disposizioni urgenti per il rilancio dell'economia”,convertito con modificazioni dalla L. 9 agosto 2013, n. 98 (in S.O. n. 63, relativo alla G.U.20/08/2013, n. 194).Art. 17-ter, comma 1 e 2: disposta la modifica dell'art. 64, comma 2, con l'introduzione deicommi 2-bis, 2-ter, 2-quater, 2-quinquies, 2-sexies.
Art. 64 CAD, comma 2-bis, 2-terÈ l’insieme aperto di soggetti pubblici e privati che, previo accreditamento daparte dell'AgID, identificano gli utenti per consentire loro l'accesso ai servizi inrete.
SPID: introduzione
Che cos’è il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID).
Obiettivo: favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da partedi cittadini e imprese, anche in mobilità
23
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
SPID e P.A. (art. 64, comma 2-quater)Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondole modalità definiti con il decreto di cui al comma 2-sexies.
SPID e Soggetti privati (art. 64, comma 2-quinquies)Ai fini dell'erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese,secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà diavvalersi del sistema SPID per la gestione dell'identità digitale dei propri utenti.L'adesione al sistema SPID per la verifica dell'accesso ai propri servizi erogatiin rete per i quali è richiesto il riconoscimento dell'utente esonera l'impresada un obbligo generale di sorveglianza delle attività sui propri siti, ai sensidell'articolo 17 del decreto legislativo 9 aprile 2003, n. 70.
Art. 64 CAD
SPID: introduzione
24
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Art. 17 - Assenza dell'obbligo generale di sorveglianzaNella prestazione dei servizi di cui agli articoli 14, 15 e 16, (mere conduit, caching ehosting) il prestatore (ovvero la persona fisica o giuridica che presta un servizio dellasocietà dell'informazione) non è assoggettato ad un obbligo generale di sorveglianzasulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercareattivamente fatti o circostanze che indichino la presenza di attività illecite.
D. Lgs. 9 aprile 2003, n. 70 (Attuazione della direttiva 2000/31/CE relativaa taluni aspetti giuridici dei servizi della società dell'informazione nelmercato interno, con particolare riferimento al commercio elettronico)
Ad impossibilia nemo tenetur
Cosa significa l’esenzione dall’obbligo di sorveglianza?
Sorveglianza sull’attività nel proprio sito, non in rete!
SPID: introduzione
25
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suopossesso che consentano l'identificazione del destinatario dei suoi servizi con cui haaccordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.
Il sito web che adotta SPID non è a conoscenza dell’identità dei propri utenti o puònon esserlo poiché la gestione delle identità è esterna. L’esenzione riguardal’obbligo di riferire, alle autorità, informazioni ed identità che non possiede e chenon devono più essere richieste al sito ma, eventualmente, all'identity provider.
Ad impossibilia nemo tenetur
Cosa significa l’esenzione dall’obbligo di sorveglianza?
Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore è comunque tenuto:a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa aventefunzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illeciteriguardanti un suo destinatario del servizio della società dell'informazione;
Art. 17 - Assenza dell'obbligo generale di sorveglianza
SPID: introduzione
26
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
SPID: introduzione
27
SPID e atti giuridici (art. 64, comma 2-septies)Un atto giuridico può essere posto in essere da un soggetto identificatomediante SPID, nell'ambito di un sistema informatico avente i requisiti fissatinelle regole tecniche adottate ai sensi dell'articolo 71, attraverso processi idoneia garantire, in maniera manifesta e inequivoca, l'acquisizione della sua volontà.[…].
SPID e accesso ai servizi P.A. (art. 64, comma 2-octies)Le pubbliche amministrazioni consentono mediante SPID l'accesso ai servizi inrete da esse erogati che richiedono identificazione informatica.
SPID e altri strumenti di identificazione (art. 64, comma 2-nonies)L'accesso di cui al comma 2-octies può avvenire anche con la carta di identitàelettronica e la carta nazionale dei servizi
Art. 64 CAD
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
I soggetti SPIDArt. 3, DPCM 24 ottobre 2014
Utente, che potrà disporre di uno o più identità digitali, che contengonoalcune informazioni identificative obbligatorie, come il codice fiscale, ilnome, il cognome, il luogo di nascita, la data di nascita e il sesso;
Gestore dell’identità digitale. Dovrà essere accreditato dall’Agenzia perl’Italia Digitale e ha il ruolo di creare e gestire le identità digitali;Gestore di attributi qualificati: in base alle norme vigenti, può certificareattributi qualificati, come il possesso di un titolo di studio, l’appartenenza adun ordine professionale
Fornitore di Servizi – soggetto pubblico o privato – che eroga servizi on-line, previo riconoscimento dell’utente da parte del gestore dell’identit{digitale.
Agenzia per l’Italia Digitale (AgID)
28
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
L'Agenzia cura l'attivazione dello SPID, svolgendo, in particolare, le seguentiattività:a) gestisce l'accreditamento dei gestori dell'identità digitale e dei gestori
di attributi qualificati, stipulando con essi apposite convenzioni.b) cura l'aggiornamento del registro SPID e vigila sull'operato dei soggetti
che partecipano allo SPID, anche con possibilità di conoscere, tramite ilgestore dell'identità digitale, i dati identificativi dell'utente e verificare lemodalità con cui le identità digitali sono state rilasciate e utilizzate;
c) stipula apposite convenzioni con i soggetti che attestano la validitàdegli attributi identificativi e consentono la verifica dei documenti diidentità.
Art. 4 DPCM 24 ottobre 2014
Il ruolo dell’AgID all’interno di SPID
29
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Le identità digitali sono rilasciate dal gestore dell’identit{ digitale, su richiesta di unsoggetto interessato. Il modulo di richiesta di adesione contiene alcune informazioniobbligatorie
Rilascio delle identità digitali
ATTRIBUTI SECONDARI
Art. 1, comma 1 ,lett. d) DPCMfunzionali alle comunicazioni
il numero di telefonia fissa omobile, l'indirizzo di postaelettronica, il domiciliofisico e digitale, eventualialtri attributi individuatidall'Agenzia
PERSONE FISICHE
Cognome e Nome; sesso,data e luogo di nascita;codice fiscale; estremi diun valido documento diidentità
PERSONE GIURIDICHE
Denominazione/ragione sociale;codice fiscale o P. IVA (se ugualeal codice fiscale); sede legale;visura camerale attestante lostato di rappresentante legaledel soggetto richiedentel’identit{ per conto della società(in alternativa atto notarile diprocura legale); estremi deldocumento di identità utilizzatodal rappresentante legale
ATTRIBUTI IDENTIFICATIVI DELLE
IDENTITA’ DIGITALI
30
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Inoltre, per quanto riguarda l’indirizzo di posta elettronica, igestori dovranno accertarsi, oltre che lo stesso sia unindirizzo corrispondente a una reale casella di posta, che siaunico in ambito SPID, ovvero che esso non sia statoprecedentemente indicato dallo stesso soggetto perl’acquisizione di una identità digitale SPID presso lo stesso oun altro gestore dell’identit{ digitale.
Attributi secondariObbligo di fornire almeno un indirizzo di posta elettronica eun recapito di telefonia mobile, entrambi verificati dal gestoredi identità digitale nel corso del processo di identificazione,inviando un messaggio di posta all’indirizzo dichiarato,contenente una URL per la verifica e un SMS al numero dicellulare con un codice numerico di controllo che deve essereriportato in risposta.
31
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Il gestore dell’identit{ digitale, per una corretta e sicura attuazione del processo:
Attivit{ essenziale nel rilascio dell’identit{ digitale
d) acquisisce i dati necessari alla dimostrazione di identità.
a) fornisce l’informativa sul trattamento dei dati (articolo 13 del D.lgs. 196 del 2003)
b) si assicura che il richiedente sia consapevole dei termini e delle condizioni associati all'utilizzo del servizio di identità digitale;
c) si assicura che il richiedente sia consapevole delle raccomandazioni e delle precauzioni da adottare per l'uso dell’identità digitale;
32
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
A vista(anche da remoto)
Identificazione del soggetto richiedente che sottoscrive ilmodulo di adesione allo SPID, tramite esibizione a vista di unvalido documento d'identità e, nel caso di persone giuridiche,della procura attestante i poteri di rappresentanza
Identificazione informatica
Con documenti digitali che prevedono il riconoscimento a vistadel richiedente all'atto dell'attivazione, fra cui la TS‐CNS, CNS ocarte ad essa conformi
Con altre identità SPID
Art. 7 DPCM - Verifica dell'identità del soggetto richiedente e consegna in modalità sicura delle credenziali di accesso
Come avviene il rilascio dell’identit{ digitale
33
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Art. 7 DPCM - Verifica dell'identità del soggetto richiedente e consegna in modalità sicura delle credenziali di accesso
Richiesta firmata digitalmente
acquisizione del modulo di adesione allo SPID sottoscritto confirma elettronica qualificata o con firma digitale
identificazione informatica fornita da sistemi informatici preesistentiall'introduzione dello SPID che risultino aver adottato, a seguito diapposita istruttoria dell'Agenzia, regole di identificazioneinformatica caratterizzate da livelli di sicurezza uguali o superiori aquelli definiti nel presente decreto.
Sistemi informatici preesistenti
Come avviene il rilascio dell’identit{ digitale
34
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
I gestori dell'identità digitale, ricevuta la richiesta di adesione, effettuano la verifica degliattributi identificativi del richiedente utilizzando prioritariamente i servizi convenzionali[convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono laverifica dei documenti di identità]
Se non è possibile tale verifica, i gestori dell'identità digitale effettuano tali verifiche sullabase di documenti, dati o informazioni ottenibili da archivi delle amministrazionicertificanti, ai sensi dell'art. 43, comma 2, del decreto del Presidente della Repubblica28 dicembre 2000, n. 445, secondo i criteri e le modalità stabilite dall'Agenzia con iregolamenti di cui all'art. 4, fatto salvo il caso di cui al comma 2, lettera e).
L’art. 43 DPR 445/2000 prevede la consultazione diretta da parte di unapubblica amministrazione o di un gestore di pubblico servizio, degli archividell'amministrazione certificante, finalizzata all'accertamento d'ufficio distati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutivepresentate dai cittadini.
Come avviene il rilascio dell’identit{ digitale
35
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
I PASSAGGI PRINCIPALI
a) richiesta di accreditamento
b) accoglimento della richiesta da parte dell’AgID
c) stipula apposita convenzione
d) iscrizione del richiedente nel registro SPID, consultabile in via telematica.
Accreditamento dei gestori dell'identità digitaleArt. 10, DPCM 24 ottobre 2014
36
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni di euro; b) garantire il possesso dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche, da parte dei rappresentanti legali, dei soggetti preposti all'amministrazione e dei componenti degli organi preposti al controllo; c) dimostrare la capacità organizzativa e tecnica necessaria per svolgere l'attività di gestione dell'identità digitale; d) utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi da fornire. Il gestore provvede al periodico aggiornamento professionale del personale; e) comunicare all'Agenzia i nominativi e il profilo professionale dei soggetti responsabili delle specifiche f) essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia;
Art. 10, DPCM 24 ottobre 2014 - Requisiti per l’accreditamentoe Regolamento AgID (versione 2.0 del 22 luglio 2016)
Accreditamento dei gestori dell'identità digitale
37
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
g) trattare i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196;h) essere in possesso della certificazione di qualità ISO 9001, successive modifiche o norme equivalenti.
Se, all'esito dei controlli, accerta la
mancanza dei requisiti richiesti per l'iscrizione
nel registro SPID
Termine per consentire ripristino dei requisiti
adottare le azioni previste dall'art. 12:
sospensione o revoca dell’accreditamento
AgID procede a controlli per accertarela permanenza della sussistenza deirequisiti previsti dal DPCM 24.10.2014
D’ufficio
Su segnalazione motivata di soggetti pubblici o privati
Accreditamento dei gestori dell'identità digitale
38
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
• utilizzano sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti,in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale;
• adottano adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza,l'integrità e la sicurezza nella generazione delle credenziali di accesso;
• effettuano un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione dellecredenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensionedell'identità digitale in caso di attività sospetta;
• effettuano, con cadenza almeno annuale, un'analisi dei rischi;• definiscono il piano per la sicurezza dei servizi SPID, da trasmettere all'Agenzia, e ne garantiscono
l'aggiornamento;
DEFINIZIONI DPCMl) gestori dell'identità digitale: le persone giuridiche accreditate allo SPID che, in qualità di gestoridi servizio pubblico, previa identificazione certa dell'utente, assegnano, rendono disponibili egestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essiinoltre, forniscono i servizi necessari a gestire l'attribuzione dell'identità digitale degli utenti, ladistribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestitee l'autenticazione informatica degli utenti;
Obblighi dei gestori dell'identità digitaleArt. 11, DPCM 24 ottobre 2014
39
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
• allineano le procedure di sicurezza agli standard internazionali, la cui conformità ècertificata da un terzo abilitato;
• conducono, con cadenza almeno semestrale, il «Penetration Test»;• garantiscono la continuità operativa dei servizi afferenti allo SPID;• effettuano ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi,
garantendo la gestione degli incidenti da parte di un'apposita struttura interna;• garantiscono la gestione sicura delle componenti riservate delle identità digitali
degli utenti,• si sottopongono, con cadenza almeno biennale, ad una verifica di conformità alle
disposizioni vigenti da parte di un organismo di valutazione• informano tempestivamente l'Agenzia e il Garante per la protezione dei dati
personali su eventuali violazioni di dati personali• adeguano i propri sistemi a seguito degli aggiornamenti emanati dall'Agenzia;• inviano all'Agenzia, in forma aggregata, i dati da questa richiesti a fini statistici, che
potranno essere resi pubblici.
Obblighi dei gestori dell'identità digitaleArt. 11, DPCM 24 ottobre 2014
40
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Nuove regole sui gestori dell'identità digitale
41
Art. 30 - Responsabilità dei prestatori di servizi fiduciari qualificati, dei gestoridi posta elettronica certificata, dei gestori dell'identità' digitale e deiconservatori
I prestatori di servizi fiduciari qualificati, i gestori di posta elettronicacertificata, i gestori dell'identità digitale di cui all'articolo 64 e i soggetti dicui all'articolo 44‐bis che cagionano danno ad altri nello svolgimento dellaloro attività, sono tenuti al risarcimento, se non provano di avereadottato tutte le misure idonee a evitare il danno.
Responsabilità
Modifiche apportate dalla recente riforma ad opera del D. Lgs. 26 agosto 2016, n. 179 (in G.U. 13/09/2016, n.214)
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Nuove regole sui gestori dell'identità digitale
42
Art. 14‐bis - Agenzia per l'Italia digitale
[…] 2. AgID svolge le funzioni di:
i) vigilanza sui servizi fiduciari ai sensi dell'articolo 17 del regolamento UE910/2014 in qualità di organismo a tal fine designato, sui gestori di postaelettronica certificata, sui soggetti di cui all'articolo 44‐bis, nonché suisoggetti, pubblici e privati, che partecipano a SPID di cui all'articolo 64;nell'esercizio di tale funzione l'Agenzia può irrogare per le violazioniaccertate a carico dei soggetti vigilati le sanzioni amministrative di cuiall'articolo 32‐bis in relazione alla gravità della violazione accertata eall'entità del danno provocato all'utenza; […]
Potere di controllo AgID
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Nuove regole sui gestori dell'identità digitale
43
Art. 32-bis - Sanzioni per i prestatori di servizi fiduciari qualificati, per i gestoridi posta elettronica certificata, per i gestori dell'identità digitale e per iconservatori1. L'AgID può irrogare […] ai gestori dell'identità digitale […], che abbianoviolato gli obblighi del Regolamento eIDAS e o del presente Codice, sanzioniamministrative in relazione alla gravità della violazione accertata e all'entitàdel danno provocato all'utenza, per importi da un minimo di euro 4.000,00 aun massimo di euro 40.000,00, fermo restando il diritto al risarcimento delmaggior danno. […]1‐bis. L'AgID, prima di irrogare la sanzione amministrativa di cui al comma 1,diffida i soggetti a conformare la propria condotta agli obblighi previsti dalRegolamento eIDAS o dal presente Codice, fissando un termine edisciplinando le relative modalità per adempiere.
Sanzioni
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
DEFINIZIONI DPCMi) fornitore di servizi: il fornitore dei servizi della società dell'informazione definiti dall'art. 2, comma1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un'amministrazione o di unente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di serviziinoltrano le richieste di identificazione informatica dell'utente ai gestori dell'identità digitale e nericevono l'esito. I fornitori di servizi, nell'accettare l'identità digitale, non discriminano gli utenti inbase al gestore dell'identità digitale che l'ha fornita;
Art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70"servizi della società dell'informazione": le attività economiche svolte in linea - on line -, nonchéi servizi definiti dall'articolo 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317, esuccessive modificazioni;
PrivatiPubbliche amministrazioni
Fornitori di serviziArt. 13, DPCM 24 ottobre 2014
44
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Art. 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317“servizio”: qualsiasi servizio della società dell'informazione, vale a dire qualsiasiservizio prestato normalmente dietro retribuzione, a distanza, per via elettronica ea richiesta individuale di un destinatario di servizi. Ai fini della presente definizione siintende: per "servizio a distanza un servizio fornito senza la presenza simultaneadelle parti; per "servizio per via elettronica un servizio inviato all'origine e ricevuto adestinazione mediante attrezzature elettroniche di trattamento, compresa lacompressione digitale e di memorizzazione di dati e che e' interamente trasmesso,inoltrato e ricevuto mediante fili, radio, mezzi ottici od altri mezzi elettromagnetici;per "servizio a richiesta individuale di un destinatario di servizi un servizio fornitomediante trasmissione di dati su richiesta individuale;
Fornitori di serviziArt. 13, DPCM 24 ottobre 2014
45
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Obblighi• I fornitori di servizi conservano per ventiquattro mesi le informazioni necessarie a
imputare, alle singole identità digitali, le operazioni effettuate sui propri sistemitramite SPID.
• Nel caso in cui i fornitori di servizi rilevino un uso anomalo di un'identità digitale,informano immediatamente l'Agenzia e il gestore dell'identità digitale che l'harilasciata.
• I fornitori di servizi trattano i dati personali nel rispetto del decreto legislativo 30giugno 2003, n. 196. Nell'ambito dell'informativa di cui all'art. 13 del decretolegislativo n. 196 del 2003, i fornitori di servizi informano l'utente che l'identitàdigitale e gli eventuali attributi qualificati saranno verificati, rispettivamente,presso i gestori dell'identità digitale e i gestori degli attributi qualificati.
Per aderire allo SPID devono stipulare apposita convenzione con l'Agenzia
Fornitori di serviziArt. 13, DPCM 24 ottobre 2014
46
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
1. Nel rispetto dell'art. 64, comma 2, del CAD [oggi
abrogato, il richiamo è da intendersi al comma 2-octies], lepubbliche amministrazioni che erogano in rete serviziqualificati, direttamente o tramite altro fornitore diservizi, consentono l'identificazione informatica degliutenti attraverso l'uso dello SPID.
Art. 14, DPCM 24 ottobre 2014 Adesione allo SPID da parte delle pubbliche amministrazioni in qualità di fornitori di servizi
servizio per la cui erogazioneè necessaria l'identificazioneinformatica dell'utente;
Fornitori di servizi: adesione SPID-PA
2. Ai fini del comma 1, le pubbliche amministrazioni dicui all'art. 2, comma 2, del CAD aderiscono allo SPID,secondo le modalità stabilite dall'Agenzia ai sensidell'art. 4, entro i ventiquattro mesi successiviall'accreditamento del primo gestore dell'identitàdigitale.
Obbligo per la P.A.
47
18 dicembre 2017
SANZIONI
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Art. 15, DPCM 24 ottobre 2014 Adesione allo SPID da parte di soggetti privati fornitori di servizi
DIVIETO
1. Non possono aderire allo SPID i soggetti privati fornitori diservizi il cui rappresentante legale, soggetto prepostoall'amministrazione o componente di organo preposto alcontrollo risulta condannato con sentenza passata in giudicatoper reati commessi a mezzo di sistemi informatici.
OBBLIGO
2. Ai sensi dell'art. 64, comma 2‐quinquies, del CAD, i soggettiprivati che aderiscono allo SPID per la verifica dell'accesso aiservizi erogati in rete, nel rispetto del presente decreto e deiregolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4,soddisfano gli obblighi di cui all'art. 17, comma 2, del decretolegislativo 9 aprile 2003, n. 70 con la comunicazione del codiceidentificativo dell'identità digitale utilizzata dall'utente.
Fornitori di servizi: adesione SPID-PA
48
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Su richiesta degli interessati, sono accreditati di diritto i seguenti gestori di attributi qualificati (nonnecessitano di formalizzare l’accreditamento)a) il Ministero dello sviluppo economico in relazione ai dati contenuti nell'indice nazionale degli indirizziPEC delle imprese e dei professionisti (INI-PEC)b) i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all'attestazionedell'iscrizione agli albi professionali;c) le camere di commercio, industria, artigianato e agricoltura per l'attestazione delle cariche e degliincarichi societari iscritti nel registro delle imprese;d) l'Agenzia in relazione ai dati contenuti nell'indice degli indirizzi della pubblica amministrazione e deigestori di pubblici servizi (IPA) di cui all'art. 57‐bis del CAD.
Art. 16, DPCM 24 ottobre 2014 - Accreditamento dei gestori di attributi qualificati
Definizione DPCMe) attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza equalsiasi altro tipo di attributo attestato da un gestore di attributi qualificati;m) gestori di attributi qualificati: i soggetti accreditati ai sensi dell'art. 16 che hanno il poteredi attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi;
Gestori di attributi qualificati SPID
49
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Il sistema SPID è basato su tre livelli di sicurezza di autenticazione informatica
Art. 6, DPCM 24 ottobre 2014 - Livelli di sicurezza delle identità digitali
I livelli di sicurezza SPID
Processo diretto alla verifica dell’identit{digitale associata a un soggetto ai finidella erogazione di un servizio fornito inrete. A tale verifica di identità è associatoun livello di sicurezza o di garanzia (levelof assurance - LoA) progressivamentecrescente in termini di sicurezza.
Processo di autenticazione informatica
Il risultato dell’intero procedimento chesottende all’attivit{ di autenticazione.Tale processo va dalla preliminareassociazione tra un soggetto eun’identit{ digitale che lo rappresenta inrete fino ai meccanismi che realizzano ilprotocollo di autenticazione al momentodella richiesta di un servizio in rete.
Livello di sicurezza
50
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
I livelli di sicurezza SPIDI livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115.
Garantisce con un buon gradodi affidabilità l'identitàaccertata nel corso dell’attivit{di autenticazione.
Rischio associato: moderato
Sistema di autenticazione: asingolo fattore (la password)
Applicabilità: nei casi in cui ildanno causato, da un utilizzoindebito dell’identit{ digitale,ha un basso impatto per leattività dell’utente
Livello 1(LoA2 dell’ISO-
IEC 29115) Garantisce con un alto gradodi affidabilità l'identitàaccertata nel corso dell’attivit{di autenticazione.
Rischio associato: ragguardevole
Sistema di autenticazione: a duefattori non necessariamentebasato su certificati digitali
Applicabilità: tutti i servizi per iquali un indebito utilizzo dell’identità digitale può provocareun danno consistente
Livello 2(LoA3 dell’ISO-
IEC 29115)
51
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Garantisce con un altissimo grado di affidabilità l'identitàaccertata nel corso dell’attivit{ di autenticazione
Rischio associato: altissimo
Sistema di autenticazione: a due fattori basato su certificatidigitali e criteri di custodia delle chiavi private su dispositiviche soddisfano i requisiti dell’Allegato 3 della Direttiva1999/93/CE
Applicabilità: a tutti i servizi che possono subire un serio egrave danno per cause imputabili ad abusi di identità;questo livello è adeguato per tutti i servizi per i quali unindebito utilizzo dell’ identità digitale può provocare undanno serio e grave
Livello 3(LoA4 dell’ISO-
IEC 29115)
I livelli di sicurezza SPIDI livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115.
52
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
I livelli di sicurezza SPIDAvviso AgID n. 4 – Indicazioni sul livello di sicurezza da adottare per alcuni servizi più diffusi
53
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
I livelli di sicurezza SPIDAvviso AgID n. 4 – Indicazioni sul livello di sicurezza da adottare per alcuni servizi più diffusi
54
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
I livelli di sicurezza SPIDAvviso AgID n. 4 – Indicazioni sul livello di sicurezza da adottare per alcuni servizi più diffusi
55
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
I fornitori di servizi, per verificare le policy di sicurezza relativi all’accesso ai servizi da essierogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggettirichiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il setminimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto emantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall’articolo11 del decreto legislativo n. 196 del 2003.
Art. 27, Modalità attuative SPID - Uso degli attributi SPID
La privacy in SPID
Principi e regole imposte dal Garante per la protezione dei dati personaliPareri all’AgiD del 23 aprile 2015 - 4 giugno 2015 - 17 dicembre 2015
PRINCIPIO DI PROPORZIONALITÀ
(Art. 11, comma 1, lett. d), Codice Privacy)I dati personali oggetto di trattamentodevono essere pertinenti, completi e noneccedenti rispetto alle finalità per le qualisono raccolti o successivamente trattati
PRINCIPIO DI NECESSITÀ (Art. 3 Codice Privacy)I sistemi informativi e i programmi informatici sonoconfigurati riducendo al minimo l’utilizzazione dei datipersonali e dei dati identificativi, in modo da escluderne iltrattamento quando le finalità perseguite nei singoli casipossono essere realizzate mediante, rispettivamente, datianonimi od opportune modalità che permettano diidentificare l’interessato solo in caso di necessità.
56
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Minacce nel processo di registrazione
Furto/usurpazione di identità
Un richiedente dichiara una identità non corretta (ad es. usando un documento d'identità contraffatto)
Ripudio/disconoscimento della registrazione
Un cittadino/impresa nega la registrazione affermando che non ha mai richiesto la registrazione
SICUREZZA
Rischi associati alle identità digitali
57
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Divulgazione/rivelazione
Una chiave generata dal gestore delle identitàdigitali è copiata da un aggressore informatico.
Emissione delle credenziali dipersona, spedizione in buste sigillate con posta raccomandata, uso di una sessione protetta per la spedizione elettronica
Manomissione Una nuova passwordgenerata dal sottoscrittore viene modificata da un aggressore informatico.
Stesse strategie di mitigazione di sopra, uso di protocolli di comunicazione che proteggono la sessione dati.
Emissione nonautorizzata
Rilascio delle credenzialead una persona cheafferma di essere ilsottoscrittore (e in effettinon lo è)
Procedura che assicura che la persona destinataria delle credenziali sia la stessa persona che ha partecipato nel processo di registrazione
Minacce nel processo di emissione delle credenziali/ Strategie di mitigazione
Rischi associati alle identità digitali
58
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Un token per la sicurezza (chiamato anche token hardware, token perl'autenticazione, token crittografico, o semplicemente token) è un dispositivofisico (non sempre) necessario per effettuare un'autenticazione (tipicamenteuna autenticazione a due fattori).
Un token può anche essere di tipo software, ove le informazioni necessarierisiedono direttamente nel computer dell'utente, e non in un oggetto esterno.
(fonte wikipedia)
Minacce associate ai token
Rischi associati alle identità digitali
59
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Tipo token Esempi di minacce
Something we have Può essere perso, danneggiato, rubato o clonato. Ad esempio un aggressore malevolo potrebbe prendere possesso del computer e copiare un token software. Analogamente un token hardware potrebbe essere rubato, manomesso o duplicato.
Something we know L'aggressore potrebbe provare ad indovinare la password o il PIN o installare del software maligno (ad es. keyboard logger) per catturare la password, in alternativa possono essere adottate catture del traffico dalla rete o attraverso tecniche di social engineering
Something we are Può essere replicato, ad esempio un aggressore potrebbe ottenere una copia delle impronte digitali e costruirne una replica assumendo che il sistema biometrico non utilizzi robuste, e consigliate, tecniche di rilevazione
Minacce associate ai token
Rischi associati alle identità digitali
60
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Minaccia/Attacco token
Descrizione Esempi
Furto Un token fisico viene rubato Furto di un cellulare, dispositivo fisico ecc.
Scoperta Le risposte a domande di suggerimento per riconoscere l'utente sono facilmente deducibili o ricavabili da diverse sorgenti disponibili.
Ad es. la domanda "Quale liceo hai frequentato ?" è facilmente ottenibile dai siti web di tipo social.
Duplicazione Il token è stato copiato senza, o con, l’assenso dell'utente.
Password scritta su post-it omemorizzato su un file che viene successivamente copiato da un aggressore.
Le minacce e gli attacchi più comuni in riferimento ai token 1/3
Rischi associati alle identità digitali
61
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Minaccia/Attacco token
Descrizione Esempi
Intercettazione Il token viene rilevato nel momento dell'immissione.
La password viene dedotta osservando l'immissione da tastiera, o con l'ausilio di keylogger software.
Offline cracking Sono usate tecniche analiticheoffline ed esterne ai meccanismi di autenticazione.
Una chiave viene estratta utilizzando tecniche di analisi differenziale su tokenhardware rubati.
Phishing o pharming
L'utente viene ingannato e crede che l'aggressore sia il fornitore di servizi o di identità (sito civetta).
DNS re-routing. Una password viene rivelata ad un sito civetta che simula l'originale.
Le minacce e gli attacchi più comuni in riferimento ai token 2/3
Rischi associati alle identità digitali
62
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Minaccia/Attacco token
Descrizione Esempi
Ingegneria sociale L'aggressore stabilisce un livello di sicurezza con l'utente in modo da convincerlo a rivelargli il contenuto del token.
Una password viene rivelata durante una telefonata ad un aggressore che finge di essere l'amministratore di sistema.
Provare a indovinare (online)
L'aggressore si connette al sito del gestore di identità online e prova ad indovinare il token valido.
Attacchi online basati su dizionari o password note.
Le minacce e gli attacchi più comuni in riferimento ai token 3/3
Rischi associati alle identità digitali
63
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Strategie di mitigazione delle minacce ai token 1/2
Minaccia/Attacco token Tecnica di mitigazione della minaccia
Furto Usare token multi-fattore che devono essere attivati attraverso un PIN o elementi biometrici.
Scoperta Usare metodologie tali da rendere complessa la deduzione di una risposta
Duplicazione Usare token difficilmente duplicabili come tokencrittografici hardware
Intercettazione Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni.
Rischi associati alle identità digitali
64
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Strategie di mitigazione delle minacce ai token 2/2
Minaccia/Attacco token Tecnica di mitigazione della minaccia
Offline cracking e provare ad indovinare (online)
Usare token con elevata entropia. Usare token che causino il blocco dopo un numero limitato di tentativi.
Phishing o pharming Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni.
Ingegneria sociale Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni
Rischi associati alle identità digitali
65
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
1. Nel caso in cui l'utente ritenga, […], che la propria identità digitale sia stata utilizzataabusivamente o fraudolentemente da un terzo, può chiedere, […], la sospensioneimmediata dell'identità digitale al gestore della stessa e, se conosciuto, al fornitore diservizi presso il quale essa risulta essere stata utilizzata. Salvo il caso in cui la richiesta siainviata tramite posta elettronica certificata, o sottoscritta con firma digitale o firmaelettronica qualificata, il gestore dell'identità digitale e il fornitore di servizi eventualmentecontattato verificano, anche attraverso uno o più attributi secondari, la provenienza dellarichiesta di sospensione da parte del soggetto titolare dell'identità digitale e forniscono laconferma della ricezione della medesima richiesta.2. […] il gestore dell'identità digitale sospende tempestivamente l'identità digitale per unperiodo massimo di trenta giorni informandone il richiedente. Scaduto tale periodo,l'identità digitale è ripristinata o revocata ai sensi del comma 3.3. Il gestore revoca l'identità digitale se, nei termini previsti dal comma 2, ricevedall'interessato copia della denuncia presentata all'autorità giudiziaria per gli stessi fattisu cui è basata la richiesta di sospensione.
Art. 9, DPCM 24 ottobre 2014
Uso illecito delle identità digitali SPID
66
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Art. 640-ter c.p.Frode informatica
Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informaticoo telematico o intervenendo senza diritto con qualsiasi modalità su dati,informazioni o programmi contenuti in un sistema informatico o telematico o adesso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, èpunito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro1.032.[…] La pena è della reclusione da due a sei anni e della multa da euro 600 a euro3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale indanno di uno o più soggetti.Il delitto è punibile a querela della persona offesa salvo che ricorra taluna dellecircostanze di cui al secondo e terzo comma o un'altra circostanza aggravante.
Gli illeciti penali legati alle identità digitali
67
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Grazie per l’attenzione
www.gianlucasatta.it
http://www.diricto.it
http:// ict4forensics.diee.unica.it
http:// www.marcafoto.it
Gianluca Satta
www.massimofarina.it
Massimo Farina
Web …
SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire orecitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha
dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usil’opera.
Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra, puoi
distribuire l’opera risultante solo con una licenza identica o equivalente a questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza diquest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra.
Licenza