venerdì 21 novembre 2008

Identità digitale

Il 18 dicembre sono stato relatore nel convegno: Identità Digitale- tecnologia e sfide.
Riporto un articolo di Key4biz che illustra bene i vari interventi.
..........................................................................................................................................................................
Teresa Schwarzhoff - William MacGrego
National Institute of Standards and Technology (NIST)
18 Novembre 2008
Centro Congressi Palazzo Rospigliosi - Sala delle Statue
Via XXIV Maggio, 43 - Roma
...........................................................................................................................................................................

Articolo tratto dal www.key4biz.it

12° Seminario Bordoni: identità digitale, tecnologie e sfide. Definire subito regole e strumenti per la PA

Dodicesimo e ultimo appuntamento del ciclo dei Seminari Bordoni per l’anno in corso, quello del 18 novembre, dal titolo: “Identità digitale: tecnologie e sfide”. Un argomento, quello dell’identità digitale e del suo riconoscimento, particolarmente delicato in cui istituzioni e mercato si trovano a misurarsi con nuove sfide e criticità, sia tecnologiche che normative. Applicazioni di dispositivi che trovano spazio e terreno di prova soprattutto nei Paesi industrializzati, quindi USA e Europa. Anche in Italia ovviamente, dove nuovi strumenti sono già stati concepiti da varie istituzioni per le diverse esigenze della Pubblica Amministrazione tra cui: la Carta Nazionale e Regionale dei Servizi (CNS-CNR), la Carta Multiservizi della Difesa (CMD), la Carta d'Identità Elettronica (CIE) e il Passaporto Elettronico (PE). Tra i diversi problemi emersi sicuramente c’è quello relativo all’interoperabilità degli strumenti adottati per un mutuo riconoscimento delle identificazioni. Un’esigenza concreta di definire e di mantenere aggiornati criteri e regolamenti concordati e condivisi tra tutti i soggetti coinvolti. Per tale motivo tecnologie, standard, processi realizzativi e problemi di sicurezza nell'utilizzo costituiscono i capisaldi di un’intensa attività di cooperazione internazionale. Di queste tematiche hanno parlato i due relatori d’eccezione invitati a questo nuovo appuntamento dei Seminari Bordoni: Teresa Schwarzhoff e William MacGregor del National Institute of Standards and Technology (NIST). Entrambi coordinano importanti attività nell'ambito dei programmi di Personal Identify Verification (PIV) e Identity Management Systems (IMS) portati avanti dal NIST.

In particolare, si occupano di normativa tecnica per carte di identificazione digitale compatibili con la Direttiva Presidenziale statunitense n.12 dell’Homeland Security, di standard per l'interoperabilità su scala mondiale e di interfacce biometriche unitamente ai relativi sistemi di gestione. Coordinatore della prima sessione è stato Sebastiano Trigila , della Fondazione Ugo Bordoni , che introducendo i due ospiti ha fissato, nella definizione delle regole e degli strumenti in possesso degli enti pubblici, i temi su cui poi si è dibattuto anche nella consueta tavola rotonda pomeridiana. “…Il rapporto tra Pubblica Amministrazione e cittadini vede nel riconoscimento dell’identità digitale un nuovo processo di cambiamento ancora tutto da decifrare. I processi di digitalizzazione determinano la nascita di nuovi strumenti e l’avvento di nuove sfide, a cui i soggetti pubblici e i cittadini sono chiamati a rispondere con un approccio diverso e per certi versi più complesso. La dematerializzazione del concetto stesso di identità e di identificazione della persona, porta con sé nuove istanze di sicurezza e di tutela dei dati personali, non più solamente nazionali, ma che travalicano i confini e si intrecciano inesorabilmente con il mondo di Internet”.

Un ambiente quindi segnato dai processi di mobilità e dall’esigenza forte di interoperabilità, espressione sia delle istituzioni che dei mercati. Teresa Schwarzhoff del NIST ha mostrato nel suo intervento quanto anche nei piani federali degli Stati Uniti sia centrale la mutualità tecnologica e di processo degli strumenti a disposizione: “… Uno dei più recenti standard federali è stato elaborato all’indomani dell’11 settembre, proprio per migliorare la definizione di sicurezza assieme al concetto di identità digitale. Uno standard che, come per i precedenti, prevede un’adesione totalmente volontaria. I campi di intervento sono stati individuati tramite gli standard ISO/IEC nel settore delle telecomunicazioni, delle biometrie e della sicurezza tecnologica, a cui di recente si è aggiunta quella cibernetica. Attenzione particolare è stata data alla definizione di identità digitale e all’identity management, con l’estensione del dibattito alla biometria e agli strumenti più idonei che la tecnologia ci ha fornito”. Una situazione che evidenzia degli ottimi risultati, anche se ottenuti solo dopo aver risolto numerosi problemi, tra cui la mancanza di un coordinamento tra singoli Stati. Dopo una lunga indagine, che ha visto coinvolte le tante agenzie di sicurezza nazionali e locali, è emerso che negli USA c’erano più di 3.000 sistemi di sicurezza che adottavano altrettanti meccanismi di controllo dell’identità. “…Abbiamo capito - ha sottolineato la Schwarzhoff - quanto era importante un piano di intervento a livello federale per rendere le informazioni più integrabili e interscambiabili. Bisognava in sostanza lavorare su una rete comune, con dati condivisibili e risultati confrontabili. Ecco che lo standard e le sue caratteristiche di interoperabilità hanno acquistato immediatamente un ruolo decisivo nel piano di sicurezza nazionale, sia in termini di risultati immediati, che di contenimento delle spese”.

Un’area di particolare interesse su cui si stanno concentrando gli interventi del governo americano, ha fatto notare la relatrice, è costituita dall’analisi della vulnerabilità dei dati e dal flusso di approvvigionamento informatico della ‘supply chain IT’. Un campo nuovo su cui agire, ma in cui è fondamentale misurare con uno scarto minimo il fattore di rischio, che non può certo essere eliminato, ma sicuramente isolato e limitato nelle conseguenze. Gli strumenti utilizzati dal NIST sono tutti caratterizzati dalla non invasività e dall’accettazione volontaria da parte dei soggetti interessati, quindi anche i cittadini e gli utenti di Internet. Decisivi risultano essere in tale ambito gli standard di interoperabilità, che nel nuovo protocollo ISO/IEC 24727 hanno visto un forte processo di accorpamento di proprietà tecnologiche in un unico set applicativo, in cui racchiudere un ampio sottosistema di standard minori: meccanismi di identificazione e criptografia, di autentificazione e propedeutici i servizi di firma digitale. “…Altrettanto importante in questa fase di studio dello standard- conclude la Schwarzhoff - è stata anche la definizione di una terminologia specifica da tutti riconosciuta, delle componenti base di cui il sistema si deve munire e quindi la standardizzazione degli elementi normativi. Ad oggi, lo standard è utilizzato da un’ampia comunità internazionale, che oltre agli USA vede ad esempio l’Australia, per la certificazione delle patenti di guida, e parte dell’Europa, in particolare in Germania con la carta sanitaria e di identità”.

Più centrato sulla sicurezza dei dati sensibili e sulla lotta alla criminalità digitale è stato l’intervento seguente di William MacGregor, coordinatore dei progetti di verifica e accertamento delle identità, centrato sulle pratiche illecite di appropriamento dei dati personali sempre più esposti ad azioni di appropriazione indebita sul web: “… I virus si appropriano di dati sensibili, stringhe di dati appartenenti a grandi aziende o istituti bancari. Come rendere i sistemi di sicurezza più affidabili? Gli strumenti si realizzano a partire da una precisa definizione di sicurezza da tutti condivisa, anche perché i campi di utilizzo sono molto ampi, dalla sanità all’informazione, dall’e-banking all’e-Gov”. L’entrata nell’era del digitale ha significato una più forte integrazione dei servizi, efficienza e riduzione dei costi, mobilità e sicurezza nell’accesso ai dati in un ambiente partecipativo dove anche gli individui vestono i panni dei cittadini e degli utenti, responsabilizzandosi e condividendo diritti e doveri nuovi. Ovviamente, come ha sottolineato anche MacGregor, i sistemi che sottintendono tale ambiente devono poter controllare le identità dei cittadini/utenti, in modo da accrescere la sicurezza collettiva. “…La cyber scienza si divide- ha continuato il membro del NIST- in alcune discipline, tra cui la sicurezza delle applicazioni, il nuovo Identity Management System (IMS) e la sicurezza del network. La sicurezza passa per la definizione di identità digitale, attraverso le specifiche di identità, il processo di autenticazione e profilazione dell’utente. La complessità delle comunità di riferimento rendono poi tali processi ulteriormente più stratificati, arrivando alla determinazione di sistemi di identificazione molto più articolati, fino ad una verifica comunque certa dell’utente che chiede accesso. Gli strumenti che vengono utilizzati sono identificatori e autenticatori di diverso tipo. I primi servono a denotare le caratteristiche basilari del soggetto analizzato, attraverso password, pin, token e altri elementi direttamente riconducibili all’utente”. Uno dei risultati ottenuti con la Direttiva 12 dell’US Homeland Security del 2004 sono le Personal Identity Verification (PIV) Card, finalizzata al controllo rapido e all’accesso controllato ai diversi sistemi IT logici e a strutture fisiche grazie a una combinazione di avanzate tecnologie di autenticazione quali biometrica, password, PIN, smart card, certificati digitali e molto altro. In conclusione di intervento, a detta di MacGregor sarebbero 1,6 milioni le PIV card in circolazione negli USA: “…I sistemi di identificazione digitale devono mantenere una struttura aperta, proprio per poter integrare le nuove specifiche derivanti dal progresso di avanzamento degli strumenti di lotta alla criminalità digitale. Importante sarà aumentare le capacità dei lettori di interagire con più tipologie di carte elettroniche, mentre la biometria avrà un peso sempre più decisivo, coinvolgendo nuove specifiche fisiche come il riconoscimento dell’iride, l’impronta digitale e il riconoscimento del volto. Lo standard 24727 avrà un ruolo fondamentale per le carte PIV dei prossimi anni, sviluppando interfacce digitali più avanzate. I prossimi dispositivi potrebbero inoltre interfacciarsi con lap top e cellulari”.

A chiusura della prima sessione è intervenuto Franco Guida della Fondazione Ugo Bordoni, il quale ha mostrato il legame che c’è tra le specifiche di sicurezza ICT e la definizione dell’identità digitale. Un legame che passa proprio per il monitoraggio dei sistemi di accesso ai dati, alle risorse e ai servizi offerti dalla rete. In questo settore di studi la FUB affianca da tempo l’ISCOM (Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione) e quindi il ministero dello Sviluppo Economico e della Comunicazione nelle funzioni di certificazione della sicurezza di sistemi ICT e nella verifica del soddisfacimento dei requisiti della direttiva europea 1999/93 EC sulla firma elettronica. “…I sistemi ICT sono molto importanti per contrastare le minacce causate da eventi di varia natura e nella determinazione delle contromisure e dei livelli di sicurezza più adeguati. Generalmente si può verificare l’identità digitale di un individuo attraverso strumenti tradizionali quali PIN, password o chiave di firma, ma anche tramite il possesso di oggetti specifici come carte magnetiche o smart-card,o attraverso le caratteristiche biometriche o comportamentali precedentemente acquisite e misurate. I sistemi caratterizzati, invece, dalla firma elettronica europea contengono la necessità di una forte garanzia che chi utilizza un dispositivo di firma ne sia il legittimo titolare. Questo evidenzia il bisogno di un impegno maggiore nel colmare l’incompletezza o l’assenza di specifiche e verifiche sulle rimanenti parti dei dispositivi di generazione della firma, su cui intervenire per elevare il livello di difesa”.

Come di consueto per gli appuntamenti dei Seminari Bordoni, è seguita al primo panel di relatori una tavola rotonda, in cui varie istituzioni di primaria importanza nazionale hanno presentato gli strumenti di identificazione digitale di propria competenza, per discutere delle sfide poste dall'utilizzazione generalizzata di tali strumenti. Moderatore della sessione pomeridiana è stato Mario Frullone, Direttore delle ricerche della Fondazione Ugo Bordoni, che aprendo i lavori ha dato subito la parola a Giovanni Buttarelli del Garante per la protezione dei dati personali. Un intervento che ha permesso di riportare il concetto di identità digitale nell’alveo dei diritti individuali e dei sistemi normativi internazionali: “…Nel concetto di Digital Identity - ha spiegato Buttarelli- possiamo evidenziare tre distinti diritti tra loro collegati: che i soggetti pubblici possano utilizzare in modo dignitoso le nuove tecnologie, che l’uso di tali tecniche sia conformato in concreto a quelle che sono le tematiche insite nei diritti fondamentali dei cittadini e che le Pubbliche Amministrazioni si adeguino a tali livelli di innovazione tecnologica. Quando si parla di diritti, si parla soprattutto di dignità della persona e anche per il concetto di identità digitale continuano a valere tali specifiche giuridiche. Quando poi si parla di identificazione delle persone, si parla anche di affidabilità delle informazioni raccolte e di sicurezza delle stesse. Pensiamo allora al luogo in cui depositare e conservare questi dati, magari a un ‘one-box-only’, unico spazio di conservazione e tutela dei dati. Certo, sono al vaglio altre ipotesi, perché in molti si chiedono se sia il caso o meno di concentrare tale fonti in un unico luogo fisico. Riguardo alla sicurezza dei dati, c’è da pensare alle modalità con cui determinati soggetti potranno accedere a tali dati, con l’esigenza di predisporre meccanismi ad hoc e altamente definiti in termini di sicurezza e verifica. La conservazione dei dati è un problema molto serio, perché le specifiche tecniche ci dicono che i tempi di tenuta sono sempre più brevi e che i criminali informatici sempre più veloci nel decriptare i sistemi di difesa”.

Sulle novità relative all’identità digitale e alle carte elettroniche ha dato il suo contributo al Seminario anche il ministero degli Interni con Giuseppe Castaldo, il quale ha raccontato le alterne vicende della carta di identità elettronica in Italia che dal 1997 attende una sua completa distribuzione al cittadino: “…Sono anni che il ministero chiede la definitiva introduzione della carta di identità elettronica, ma tra ritardi e mancanza di finanziamenti siamo ancora in una situazione di stallo. Da colmare perché tale supporto elettronico è uno strumento valido di accesso alla rete e ai suoi servizi, con una gestione dei dati ad alto livello di sicurezza e protetti nel rispetto della privacy. Si tratta tuttavia di un sistema da monitorare continuamente per prevenire ogni tipo di vulnerabilità. La carta, che è stata localmente erogata ai cittadini, vede coinvolti circa 80 comuni in Italia ed è supportata da un progetto che prevede sistemi di autofinanziamento sia agli enti pubblici locali che centrali. Sotto il profilo tecnico, invece, bisogna ancora fissare le tante competenze a seconda dei diversi attori chiamati ad agire, tra chi si occupa dell’aspetto economico, chi dei servizi, chi del rilascio della carta elettronica e molto altro. Uno dei problemi che più preoccupa è poi legato alla durata di tali carte. La carta di identità fisica è valida per dieci anni, ma quella elettronica no, non più di cinque. Questo perché purtroppo le specifiche tecniche e tecnologiche di sicurezza non permettono allo stato attuale della ricerca di andare oltre un dato orizzonte temporale”. Più in profondità col suo discorso è sceso Giovanni Manca del CNIPA, che vede nell’interoperabilità sia una necessità, sia un problema di ordine tecnologico e regolatorio: “…Si parla di interoperabilità, di Digital Identity (ID) e di firma elettronica, tutti strumenti molto utili ma ancora da sviluppare. In Europa c’è un’idea di ID diversa per ogni Paese membro, quindi con diversi servizi di identificazione e verifica dei dati personali, con standard molto diversi proprio a livello di cross-bording. Gli standard, inoltre, sono strumenti molto complessi, caratterizzati da scelte tecnologiche altrettanto complesse che poi devono essere messe in condizione di cooperare. Le esigenze del mercato e delle istituzioni possono essere molto divergenti e la necessità di trovare una nuova convergenze di intenti chiede urgentemente un ulteriore tavolo di coordinamento finalizzato alla ricerca di una nuova governance”.

Sulla stessa lunghezza d’onda si è inserito Danilo Bruschi dell’Università di Milano: “…Quale sistema è in grado oggi di gestire decine di milioni di schede dati tutte nello stesso tempo e nelle massime condizioni di sicurezza ipotizzabili? Come si vede si pone subito un problema di scalabilità tecnologica. A questo poi va aggiunto il problema di cui si parlava prima, cioè della tenuta temporale delle specifiche di sicurezza dei sistemi di gestione elettronica delle carte ID, perché per quanto robusti gli algoritmi di difesa siano, questi restano sempre suscettibili a decriptazione periodica. Cosa fare allora? Sicuramente servono molta ricerca e finanziamenti adeguati. In Italia le cose non vanno certo bene, basta considerare che ad oggi la sicurezza informatica non figura neanche tra i primi cento argomenti di interesse per il CNR”.

Di sicurezza informatica e di attività di prevenzione e repressione del crimine digitale ha parlato Stefano Zireddu della Polizia Postale e delle Comunicazioni, fornendo nel suo intervento qualche dato relativo al phishing e alla sottrazione indebita di dati sensibili: “…Parlando di identità digitale si deve pensare a diverse definizioni possibili: anagrafica, giuridica, di Polizia e digitale. Un livello quest’ultimo che necessita di particolare attenzione nella conservazione dei dati e nel loro rilascio, sia a livello di utenti che di macchine utilizzate. Molto più semplice sarebbe la definizione di un unico IP utente, ma al momento ne siamo lontani. Tra le emergenze sicuramente abbiamo l’attività di phishing, con più di 30.000 siti denunciati nel 2007, di social engineering e le truffe via posta elettronica, uno dei mezzi più utilizzati in assoluto per frodare gli utenti della rete”. In rappresentanza dei consumatori e quindi degli utenti finali della rete, le persone che poi rimangono vittime delle attività criminali del web, ha parlato Mauro Vergari dell’Adiconsum: “…Sicuramente l’utente della rete, il cittadino e la persona che siede al suo pc devono partecipare e lasciarsi coinvolgere maggiormente da una cultura del digitale e dell’informazione, che permetta di prevenire le attività illecite limitandone i danni. In molti casi, infatti, sono gli utenti stessi a rilasciare le informazioni sensibili in rete, finendo così vittime dei criminali. È ovvio, comunque, che una governance nuova del settore sia auspicabile, assieme a un parco strumenti più incisivo nella lotta alla criminalità digitale e che veda finalmente la Pubblica Amministrazione protagonista del nostro tempo”.

A conclusione del seminario Frullone ha chiamato il direttore dell’ISCOM Rita Forsi, che ha mostrato le attività dell’Istituto nel campo delle biometrie e della certificazione di sicurezza informatica: “…La certificazione informatica è uno degli obiettivi più importanti per l’ISCOM. Un progetto di ricerca, a riguardo, è quello che vede coinvolto l’OCSI, organismo interno all’ISCOM che svolge certificazione di sicurezza informatica di sistemi e prodotti informatici commerciali, operando anche a livello extraterritoriale. Poi abbiamo un centro di valutazione dei sistemi ICT che è il Ce.Va e quindi un nuovo progetto relativo ai dati biometrici che attualmente stiamo portando avanti con il ComLab dell’Università degli studi di Roma Tre. In questo caso si è data particolare attenzione al trattamento dei dati relativi all’iride e alle impronte digitali, finalizzando i lavori alla creazione di un grande database sintetico. I risultati serviranno inoltre a dare il via a progetti di alta formazione dei dipendenti e dei dirigenti amministrativi, per diffondere e accrescere la cultura della sicurezza informatica, anche all’interno delle Pubbliche Amministrazioni. Il ruolo del legislatore sarà fondamentale in tal senso, ma molto dipende anche dalla capacità di sfruttare le sinergie offerte dagli altri attori sul campo, coinvolgendoli in una governance plurale e che sappia guardare al futuro e non solo al presente”.

Flavio Fabbri