Clusit, Associazione Italiana per la Sicurezza Informatica, e Associazione Copernicani, uniscono le forze per affermare l’incompatibilità di qualsiasi ipotesi di centralizzazione di SPID con i requisiti di sicurezza e resilienza fondamentali per assicurare il buon funzionamento del sistema stesso.
Secondo le due associazioni, l’attuale modello di SPID, che prevede una gestione distribuita tra soggetti pubblici e privati, presenta un grado di affidabilità che una gestione centralizzata non potrebbe garantire: “Clusit e Copernicani ritengono che l’attenzione principale di chi è chiamato al voto sul decreto legge Milleproroghe in questo momento debba essere rivolta alla capacità di assicurare resilienza ad un sistema critico per la protezione dei servizi offerti dalla Pubblica Amministrazione, quale è SPID”, afferma Claudio Telmon, membro del Comitato Direttivo Clusit.
“Supportare e sollecitare l’adozione dell’identità digitale SPID è il presupposto per una crescente capacità delle organizzazioni pubbliche e private nel proteggere la sicurezza in rete dei cittadini e per contribuire alla definizione e alla difesa del perimetro digitale della Nazione”, aggiunge Davide Formica, segretario di Associazione Copernicani.
Entrambe le associazioni ritengono necessario, in questo contesto, potenziare le capacità di controllo dell’Agenzia per l’Italia Digitale, anche con un più stretto collegamento con la forza pubblica, per garantire una reale capacità di applicazione della legge: “Il caso dell’Autorità Garante per il trattamento dei dati personali ci conferma l’efficacia di un’agenzia pubblica nella sua attività di controllo”, ribadisce Claudio Telmon.
Clusit e Copernicani lanciano inoltre una proposta concreta per favorire la diffusione e la sostenibilità del modello SPID, grazie a cui cittadini e imprese italiane potranno accedere più agevolmente a servizi di altri paesi dell’Unione Europea: “Questo potrà accadere solo se saranno garantiti elevati standard di sicurezza e resilienza”, nota Formica.
Le due associazioni auspicano il coinvolgimento di attori qualificati, quali le banche, in qualità di Identity Provider SPID. Il livello di sicurezza dell’autenticazione ai servizi di home banking è infatti oggi decisamente più alto di quanto offerto dalle Pubbliche Amministrazioni.
Le banche – già soggette a controlli molto stringenti e a regolamenti specifici emanati a livello europeo, quale quello sull’autenticazione forte (strong customer authentication) nell’ambito della Direttiva PSD/2 – dovrebbero quindi effettivamente offrire le proprie credenziali di accesso come credenziali SPID: “Ritenere adeguato il livello di sicurezza richiesto dalle normative di settore, e richiedere soltanto un eventuale adeguamento al Regolamento EIDAS, consentirebbe a milioni di italiani di disporre di credenziali SPID per l’accesso ai servizi della PA senza necessità di azioni aggiuntive, se non accettare una variazione contrattuale con la propria banca”, chiarisce Telmon.
Le due associazioni sottolineano inoltre il ruolo del Domicilio Digitale nella prevenzione del furto di identità su SPID, come in altri contesti, come quello del credito al consumo. L’invio obbligatorio di una notifica presso il domicilio digitale di qualsiasi creazione di credenziale o di autenticazione SPID (o di altre attività come l’apertura di conti correnti, finanziamenti o altro) potrebbe avere un impatto pari a quello dell’introduzione della notifica via SMS per l’utilizzo della carta di credito.