[Soci SLIP] SPiD, ecco come fare a rubare l'identità di chi vuoi

[Enrico Agliotti]

Spid, l’identità digitale italiana ha un buco
Bastano colla, forbici, computer e diventi chi vuoi

Doveva essere “facile, veloce e sicuro“. Ma per violare la “grande
rivoluzione digitale” del governo Renzi bastano colla, forbici e un
computer. A otto mesi dal lancio del Sistema pubblico per l’identità
digitale (Spid) si scopre che lo si può usare per carpire i dati
sensibili di qualunque cittadino, perfino lo stesso Renzi, e carpire
informazioni sensibili: dalla sanità alla dichiarazione dei redditi,
dalle tasse all’iscrizione dei figli al nido. Senza essere hacker.

Dal 15 marzo scorso è operativo “Spid”, il Sistema pubblico d’identità
digitale che con un pin unico permette di accedere a tutti i servizi
online della pubblica amministrazione (Inps, Agenzia Entrate, Comuni,
scuole, asl) e interagire direttamente con loro, rendendo il rapporto
con la burocrazia “veloce, semplice e sicuro“. Finché arriva qualcuno
a guastare la festa, armato dell’astuccio di un bambino e di un
computer.


IL FLOP – Vero pilastro del piano Renzi-Madia per la semplificazione
2015-2017, il sistema Spid è partito otto mesi fa, con un anno di
ritardo sul ruolino di marcia. Il governo prevedeva di collegare entro
il 2017 circa 10 milioni di utenti ma dopo sei mesi le identità
digitali rilasciate sono poco più di 140.000 e di questo passo per
centrare l’obiettivo non basteranno 25 anni. Dietro al flop, va detto,
ci sono ragioni tecniche ed economiche. Le amministrazioni periferiche
dello Stato faticano ad effettuare la migrazione dai loro vecchi
sistemi di accreditamento (tipo Cns), tanto che solo due regioni
(Emilia Romagna e Friuli) sono agganciate a Spid (tutte dovranno
adeguarsi entro dicembre 2017). Non aiutano poi la procedura
farraginosa e i costi per il cittadino: l’identità digitale è stata
pubblicizzata come “gratuita per i primi due anni” ma ottenerla può
costargli anche 20 euro.

In ogni caso il dato è imbarazzante per il governo che deve esser
corso ai ripari esercitando pressioni sull’Agid, l’Agenzia per il
digitale (che fa capo alla Presidenza del Consiglio) e sugli Identity
Provider accreditati (Infocert, Tim, Poste) per recuperare il ritardo
e scongiurare la figuraccia. Finendo però per farne una peggiore,
perché in Italia – lo abbiamo dimostrato e documentato con un video –
non è un colosso privato tipo Yahoo o un attacco informatico straniero
a insidiare la privacy e la sicurezza dei cittadini. Ma il loro
governo. Ecco come.

LA FALLA – Pur di accelerare la distribuzione delle identità l’Agenzia
il rilascio anche attraverso il riconoscimento Web: usando la WebCam
un operatore di un call-center privato (sì, non un pubblico
ufficiale!) visiona i documenti che gli vengono mostrati ma dei quali
non può accertare l’autenticità, rischiando così di essere facilmente
tratto in inganno da chi volesse sostituirsi a un altro cittadino per
far incetta dei suoi dati sensibili come la dichiarazione dei redditi
e l’Isee, referti e visite mediche, la situazione previdenziale e le
denunce di infortuni all’Inail, l’iscrizione all’asilo nido e i
congedi di maternità, il pagamento di tasse e bolli, proprietà
immobiliari e dichiarazioni di successione. Un’impresa, ad esempio,
può sfogliare le fatture elettroniche di un concorrente. Senza che
qualcuno se ne accorga.

L’ESPERIMENTO – Il punto di forza diventa così l’anello debole della
catena. Chi scrive lo ha sfruttato riuscendo senza difficoltà a farsi
accreditare agli occhi dello Stato con l’identità di un collega. Lo
stesso esperimento, va detto, si poteva tentare a uno sportello
fisico, correndo solo qualche rischio in più perché il punto è questo:
se fino a ieri con un documento falso non si andava lontano oggi – con
l’identità digitale fasulla interconnessa a tutti i servizi della PA –
si può carpire una miriade di informazioni su una persona, una
famiglia, un lavoratore e un’impresa. E presto operare direttamente
sui loro conti correnti, il giorno in cui Spid – come ipotizzano
dall’Agid – sarà abilitato in ambito bancario. Il futuro riserva poi
lo switch off obbligatorio e allora nessuno sarà esente da rischi,
neppure il cittadino Matteo Renzi. Al quale ora tocca chiedere:

a) Quanto è costata l’infrastruttura che rottama 50milioni di CNS
(Carta nazionale dei servizi) già distribuite ai cittadini?

b) Chi restituirà a privati e imprese i soldi che hanno pagato di
tasca loro per essere accreditati a operare in un sistema che si è
scoperto (e dimostrato) permeabile a un bambino?

c) Chi può garantire che i 140mila accreditamenti rilasciati finora
siano stati e siano in condizioni di assoluta sicurezza?

d) Chi, come e quando si prende l’impegno di adeguare il sistema
mettendolo in sicurezza?


http://www.ilfattoquotidiano.it/2016/11/04/identita-digitale-ce-un-buco-nella-sicurezza-cosi-ti-divento-matteo-renzi/3093093/

-- 
Inviato dal computer che sto usando in questo momento


Enrico Agliotti
cell. +39-328-0517312
tel. con segreteria: +39-011-23415553