In Evidenza Legge di bilancioOpen ArmsTony Effe
FACT-CHECKINGGoverno Conte IIPaola Pisano

Paola Pisano e la «password di Stato»: che cosa ha detto, come funziona oggi e cosa si rischia

04 Gennaio 2020 - 18:40 David Puente
Un intervento radio di Paola Pisano ha riacceso la discussione sul tema dell'identità digitale

La ministra dell’Innovazione Tecnologica e della Digitalizzazione, Paola Pisano, ha rilasciato delle dichiarazioni – andate in onda durante l’odierna puntata di Eta Beta su Radio1 – dove si è lasciata sfuggire una proposta che avvicinerebbe lo Stato a quella presentata dal renziano Luigi Marattin. Ecco quanto dichiarato in merito all’identità digitale:

Con l’identità digitale noi avremo un’unica e sola user e password per accedere a tutti i servizi digitali, ma questa user e password potrebbe anche essere utilizzata per accedere non solo ai servizi digitali della pubblica amministrazione ma ai servizi digitali anche del privato. Per esempio il nostro conto in banca, per esempio prenotare un’auto in sharing, andare al cinema, per esempio comprare su Amazon. Ogni volta che noi abbiamo una user e una password questa user e password dovrebbe essere data dallo Stato perché lo Stato è l’unico soggetto che ha davvero certezza che quello è quel cittadino, e lei lo sa quante truffe ci sono sull’identità su Internet?

Di fronte alle diverse critiche per la sua proposta, Paola Pisano pubblica un tweet dove cerca di chiarire la sua posizione solo su uno dei punti riportati a Radio1, anche se va contro a quanto detto nella frase «questa user e password dovrebbe essere data dallo Stato»:

Vediamo di sgombrare il campo da ogni equivoco: l’identità digitale sarà rilasciata dallo Stato e servirà a identificare il cittadino in modo univoco verso lo Stato stesso. In futuro, per aziende e cittadini che lo vorranno, POTREBBE essere ulteriore sistema di autenticazione

Non è la prima volta che parla di questo sistema di identità digitale. Quel «potrebbe», inoltre, non era presente nel suo video del 2 dicembre 2019:

Parte delle polemiche punta sulla questione «password», ossia il fatto che nel mondo della sicurezza informatica c’è una «regola di base» molto importante: «mai usare le stesse user e password per accedere ai tuoi servizi». Se usi le stesse credenziali ovunque una volta che qualcuno ne entra in possesso può tentare di penetrare in qualunque sistema in tuo possesso. Ciò che non dice nei suoi recenti interventi è la questione dello SPID, garantendole molte critiche a riguardo.

SPID, il Sistema Pubblico di Identità Digitale

Negli interventi di Paola Pisano dove viene criticata non ne fa cenno, ma esiste già un sistema di identità digitale sul quale voleva già operare: «dovrà essere unica ed erogata gratuitamente dallo Stato, e non più dagli Identity provider, a chi ottiene la carta d’identità elettronica». Si chiama SPID e in molti lo state utilizzando per accedere a diversi servizi della Pubblica Amministrazione.

Come funziona? Attraverso lo SPID potete accedere alle diverse amministrazioni pubbliche ricevendo una password temporanea via SMS o attraverso l’apposita applicazione sul vostro smartphone. Quindi, per poter accedere un malintenzionato dovrebbe rubarvi il cellulare o clonarvelo, impresa non facile ma – purtroppo – non impossibile.

Con SPID siete tracciati?

Secondo quanto riporta il manuale operativo SPID di Infocert, al punto 6 a pagina 27, gli accessi al servizio sono registrati sotto forma di log certificato e il tutto viene conservato nel sistema di conservazione InfoCert, dati che possono essere richiesti dal titolare dell’identità.

La gestione è dei privati

È bene sapere che il sistema è già in mano ai privati. Infatti, i gestori di questo servizio sono aziende accreditate dall’AgID, l’Agenzia per l’Italia digitale. Nel sito Spid.gov.it c’è l’elenco dei 9 identity provider riconosciuti con i rispettivi livelli di sicurezza e servizi:

Accesso SPID per i privati

L’utilizzo dell’autenticazione SPID, inoltre, è già possibile da parte di aziende private. Lo possiamo leggere dal sito di AdID in data 26 giugno 2019:

Grazie alla determina recentemente firmata da Agid, è stato possibile definire nuovi modelli di convenzione con le imprese e rendere il sistema pubblico d’identità digitale la chiave d’accesso anche ai servizi offerti dai privati e non solo dalle pubbliche amministrazioni.

Quello che Paola Pisano auspica è di poter centralizzare tutto a livello statale.

Truffe sull’identità e il «pericolo statale»

Quando Paola Pisano chiede «lei lo sa quante truffe ci sono sull’identità su Internet?» non si comprende come un sistema proposto riesca a risolvere un problema così vasto. Di fatto chiunque potrebbe registrare un dominio web, ad esempio, rubando l’identità di qualcuno, lo fanno i truffatori online entrando in possesso dei dati rubati tramite attività di Phishing, ad esempio. Per arginare questo fenomeno la soluzione non è lo SPID o l’identità digitale, c’è bisogno di un’alfabetizzazione digitale e un insegnamento della sicurezza informatica di base.

In merito all’affermazione «lo Stato è l’unico soggetto che ha davvero certezza che quello è quel cittadino», anche per acquistare anche un biglietto al cinema, potrebbe portare a un sistema che con la scusa della «garanzia» e della «sicurezza» si realizzino certe proposte che in mano a uno Stato dittatoriale – al momento non è il nostro caso – potrebbero risultare molto pericolose, come abbiamo già spiegato in un precedente articolo.

Articoli di FACT-CHECKING più letti