Intervista a Antonio Lioy, Professore ordinario di cybersecurity, Politecnico di Torino

UserId e Password sono secondo molti un sistema di autenticazione superato, oltre che un’arma in mano agli hacker per realizzare furti d’identità e attacchi mirati. Come evolveranno nel prossimo periodo i sistemi di autenticazione e cosa servirebbe per renderli ancora più sicuri ed efficaci? Quali le considerazioni sull’adozione di SPID, il sistema di identità digitale dello Stato italiano, e sulla rete di interoperabilità europea eIDAS? Ne parliamo in questa intervista con Antonio Lioy, Professore ordinario di cybersecurity, Politecnico di Torino, che su questi temi interverrà il prossimo 9 Marzo 2021, nel corso del Tavolo di Lavoro “The New Identity. Innovare l’approccio all’Identity e access management (IAM) per mettere in sicurezza utenti, processi e applicazioni” del Cybersecurity Summit 2021 del prossimo 9 marzo, evento annuale di TIG sull’innovazione della cybersecurity.

Il 2021 sarà probabilmente l’anno in cui molti decideranno di risolvere l’annoso problema della debolezza delle Password come metodo di autenticazione delle persone, anche considerando il fatto che le credenziali rubate sono poi spesso riutilizzate dagli hacker per svolgere ulteriori azioni fraudolente. Qual è il suo punto di vista su questi temi?

Nonostante siano decenni che si avvisino tutti della debolezza delle password in uso, molti continuano a sottovalutare il problema e continuano a usarle in modo poco sicuro anche per accedere a servizi che richiederebbero molta più attenzione. Ora è stato fatto un grosso passo in avanti in Europa richiedendo il doppio fattore di autenticazione per tutte le transazioni finanziarie e per tutti gli acquisti con carta di credito, anche sui diversi siti di e-commerce (la cosiddetta SCA, Strong Customer Authentication, per l’e-commerce). Eppure, anche questo passaggio è stato criticato: ho letto articoli allarmistici secondo cui questi meccanismi avrebbero potuto portare ad un calo dell’e-commerce. Dobbiamo però fare delle scelte e puntare con decisione a educare le persone, se no non si arriverà mai a minimo di sicurezza.

Secondo la PSD2, la direttiva europea sui servizi di pagamento, tutti gli online retailer europei avrebbero dovuto introdurre, entro il 31 dicembre 2020, un’autenticazione a due fattori, quindi, la verifica di almeno due elementi di diversa tipologia per accertare l’identità del consumatore quando effettua un pagamento. Si tratta di una misura sufficiente?

Sicuramente permette di rafforzare la sicurezza nei pagamenti, anche se rimane il rischio che, se invece di collegarci al sito italiano scegliamo il sito USA, lì non c’è questo controllo. Per i consumatori si tratta solo di piccole complicazioni in più, in sostanza un buon prezzo da pagare per una maggiore sicurezza.

Quello che invece servirebbe per migliorare ancora di più la sicurezza potrebbe essere un’autenticazione risk based e context based, ossia, un meccanismo per adattare il livello di sicurezza al singolo caso, sulla base dell’importanza della transazione, o della modalità in cui avviene. Se ad esempio una persona accede con un indirizzo IP e un dispositivo mai usati prima, o effettua un acquisto non usuale, si può pensare a un controllo in più, a una tripla autenticazione. Ma tenere conto sia del fattore di rischio sia del contesto in cui avviene la transazione è molto più complicato, per cui al momento si preferisce estendere il secondo fattore in tutti i casi.

Ad oggi questa autenticazione risk e context based avviene già?

Presso il Politecnico di Torino abbiamo lavorato su questi aspetti per vari progetti in ambito europeo: si tratta di una soluzione utile nell’adattare il livello di complessità al livello di rischio e al valore delle transazioni, quindi per aspetti finanziari importanti sicuramente già oggi avviene. Alcuni meccanismi di questo tipo sono anche utilizzati da anni per le carte di credito anche se ancora non in modo così generalizzato, legato più ad anomalie che non a valutazioni di contesto.

Quali sono oggi i sistemi di autenticazione più efficaci? E come vede l’utilizzo della biometria?

I sistemi biometrici, oltre al problema di non essere standardizzati, sono utilizzabili solo localmente, a livello di singolo device (ad esempio per sbloccare il cellulare o il pc) ma poi per funzionare in rete richiedono altri meccanismi. Una tecnica di autenticazione che invece è decisamente più forte, che potrebbe essere una delle chiavi del futuro, è il sistema FIDO (https://fidoalliance.org/what-is-fido/) che sta prendendo ora piede negli USA.

In sostituzione di userID e password, si tratta di un sistema che utilizza chiavi asimmetriche per l’autenticazione, ed è attivabile con smartphone, o come software installato su PC, o come hardware con chiavette apposite. È un sistema estremamente forte, che rispetta l’anonimato e la non linkability, il tracciamento delle persone. Ma ritengo che spesso si scelga di non adottare queste soluzioni proprio perché lo scopo è quello di tracciarci, di conoscere per ogni individuo abitudini di acquisto e siti visitati.

Nell’ultimo periodo, con molte persone collegate agli ambienti lavorativi direttamente da casa, con un utilizzo molto più ampio del cloud, come sono cambiate le problematiche di sicurezza?

Vorrei sottolineare che oggi c’è un rischio altissimo lavorando da casa, legato al fatto che le persone utilizzano i propri device personali, e mentre lavorano navigano su vari siti. Quindi, da una parte possono infettare il device, mentre contemporaneamente sono attivi su cloud aziendale. Un’autenticazione debole su un sito di e-commerce può permettere quindi a un malware di attaccare PC e bypassare anche l’autenticazione forte verso altri ambienti. Servirebbe invece mettere completamente in sicurezza la postazione di lavoro, e non guardare soltanto al sistema di autenticazione forte.

Parlando di Identità digitale, non si può non citare il successo di SPID, che da marzo 2020 a oggi è passato ad essere utilizzato da 6 a quasi 13 milioni di italiani. Sicuramente l’effetto della pandemia, di alcune iniziative che l’hanno promosso e in generale di una tendenza verso la maggiore digitalizzazione dei servizi delle PA. Cosa servirebbe ancora per migliorare SPID?

Alcuni difetti di SPID sono stati visti da tutti, ad esempio, quando c’è stato il Click day si è notato che i sistemi non erano dimensionati per numeri elevati di accessi. Si tratta però di un problema di giovinezza che nel frattempo dovrebbe essere stato risolto, sia per i server finali della PA sia per i sistemi SPID stessi.

Una cosa sicuramente molto positiva è che il livello di sicurezza di SPID è migliore di tanti altri sistemi. Va ricordato infatti che SPID non è solo un sistema di autenticazione, quanto piuttosto un sistema di identità, ossia c’è la certezza che la persona che si autentica è proprio lei, una sicurezza in più garantita dallo stesso Stato italiano. Diventa molto più difficile organizzare truffe o sostituzioni di persona se si usa SPID. Il suo utilizzo è quindi molto utile, sia per l’autenticazione più forte, sia per la maggiore certezza sui dati personali associati a quelle credenziali di autenticazione, sulla validità legale della transazione abilitata.

Come noto SPID, il Sistema Pubblico italiano per la gestione dell’identità digitale, è stato disegnato in conformità al Regolamento eIDAS, regolamento europeo di interoperabilità delle identità digitali. Come si sta sviluppando la rete eIDAS?

Quello che osservo in questo momento è che eIDAS sta evolvendo molto bene: partecipando al gruppo di lavoro che ha dato origine a eIDAS, vedo arrivare tante richieste (molte collegate proprio al lockdown) di cittadini italiani che devono accedere a PA estere con lo SPID (perché magari sono residenti temporaneamente all’estero), o anche cittadini esteri che hanno bisogno di collegarsi, con la loro identità digitale estera, alla PA italiana (avendo magari lavorato in Italia, o avendo una filiale italiana, o altro). eIDAS permette di fare tutto questo, e in particolare lo SPID, il nostro sistema di identità digitale, è già pienamente parte di questa rete europea, quindi abilita questi accessi e risulta collegato agli altri sistemi nazionali.

La tabella successiva, presente sul sito AGID, mostra lo stato dei nodi eIDAS, con tutti i Paesi della UE, a seconda che siano un Receiving Country (un Paese ricevente, che accetta lo SPID), oppure un Sending Country, che invia, per cui i suoi cittadini possono accedere ai servizi italiani. Le prime colonne mostrano il test di qualità, le seconde invece il fatto che il sistema sia già in produzione. Ad esempio, guardando la tabella si vede che l’Austria accetta già oggi lo SPID, ma non ha ancora attivato il suo sistema per far usare credenziali austriache sul sistema italiano. Per il Belgio invece è tutto completato.

Fonte: AGID, eIDAS node Status

Cosa servirebbe per aumentare l’utilizzo di eIDAS?

Il sistema funziona, sono i fornitori di servizi che devono adeguarsi: ossia, chi oggi eroga servizi tramite SPID, facendo una piccola modifica, rende i suoi servizi accessibili tramite eIDAS e quindi potenzialmente fruibili da tutti i cittadini dell’Unione Europea. Per le PA questo passaggio è obbligatorio già oggi.

All’estero sono più avanti di noi?

In realtà no, l’Italia è tra i paesi messi meglio. La Francia è tra i più arretrati, per sua scelta, mentre Belgio, Austria, Spagna e Portogallo sono già molto avanzati.

Il risultato finale, quando questo percorso sarà completato, sarà che così come oggi si utilizzano carta d’identità o passaporto in qualunque paese europeo, anche l’identità elettronica nazionale potrà essere utilizzata per accedere a tutti servizi delle PA europee. Altro punto importante: eIDAS è l’analogo di SPID, per cui sarà obbligatorio per i servizi governativi. Per i servizi di privati invece è un’opzione. Sarebbe molto bello quindi se riuscissimo a unificarci tutti quanti, semplificherebbe moltissimo la vita al singolo cittadino, che non dovrebbe più utilizzare decine di sistemi diversi di autenticazione (ognuno con vari meccanismi per renderla più forte).

Oggi per quale motivo i privati non usano lo SPID per gestire le identità dei propri utenti?

Penso principalmente per un problema di prezzo: per i privati il costo è oggi diverso rispetto alle PA, ma questo aspetto andrebbe ripensato, perché è una priorità comune, anche dello Stato, che le identità siano forti, e che siano eliminate le truffe: sarebbe un investimento importante per un’infrastruttura digitale sicura a livello di intero Paese.