per la costruzione del Mercato Unico Digitale in Europa • eIDAS impone l’interoperabilità in tutta Europa dal 1/7/2016 • La Firma Elettronica Qualificata ha valore legale equivalente a quella autografa • Il Regolamento implica l’adozione obbligatoria per tutti gli Stati membri 3 eIDAS: l’identità digitale a valore legale in Europa
Maggio 2018 • Il 50% delle imprese è in ritardo • La percentuale fra le associazioni di volontariato e le realtà non profit sale probabilmente al 99,9% • Nessuna esenzione per il terzo settore o non profit: la normativa europea sulla privacy parla di "organizzazioni" di qualsiasi tipo 4 Un'urgenza che riguarda tutti (anche il non profit) fonte: https://www.01net.it/gdpr-organizzazioni-non-profit/
GDPR) • Proteggere i dati e gli eventuali account degli utenti almeno con delle password secondo le normative vigenti • Proteggere gli account amministrativi con l'autenticazione a due fattori • Usare le funzionalità 2FA già disponibili gratuitamente (soprattutto se si ricopre un ruolo tecnico e si hanno privilegi amministrativi) 5 Come proteggere l'identità digitale
comunicazione e consapevolezza Non siamo consapevoli di cosa sia l'identità digitale La tecnologia cambia il nostro habitat velocemente Siamo biologicamente e psicologicamente uguali all'uomo paleolitico Dobbiamo imparare a usare la tecnologia senza averne paura 6 La tecnologia è un problema?
travestimento L'identità digitale è simile a un documento d'identità Possiamo avere molte identità digitali, come accade per i documenti Le identità digitali autentiche sono analoghe tra loro, come lo sono i documenti Quelle false invece non si somigliano 7 Quante identità?
di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica • «dati di identificazione personale»: un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica • «autenticazione»: un processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica 8 Regolamento eIDAS - Art. 3
(“copia e incolla”) 9 L’autenticità e l’Identità nell’era Digitale L’identità è un insieme di dati, un messaggio: come facciamo a sapere chi c’è dall’altra parte del filo o della porta? Se trasmetto quei “bit” che rappresentano la mia identità, qualcuno potrebbe intercettarli, copiarli, e simulare di essere me: rubare cioè la mia identità!
basano su caratteristiche fisiologiche o comportamentali (impronta digitale, scansione dell’iride, calligrafia, riconoscimento facciale o vocale) L’unico vantaggio risiede nel non dover identificare e associare la persona al dato biometrico, e nel non richiedere ad essa di portare con sé un dispositivo
modo univoco alla persona che la possiede e la controlla in modo esclusivo • Garantisce la privacy • È gestibile con lo smartphone • Può essere revocata • Non presenta errori di misura • È “nativa digitale” 11 Identità Digitale basata sulla Crittografia
le quali ne viene scelta una a caso 1010 = 10.000.000.000 cioè dieci miliardi mentre 1075 è un numero con 75 zeri! 1050 = stima del numero di atomi che compongono il pianeta Terra 1075=1.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000000.000 .000.000.000.000.000.000.000.000 cioè mille miliardi di miliardi di miliardi di miliardi di miliardi di miliardi di miliardi di miliardi di chiavi Ne viene scelta una a caso e viene associata alla persona che ne diventa il possessore esclusivo (sostanzialmente è una password numerica un po' lunga) 13 Unicità delle chiavi crittografiche
una chiave unica associata all'utente • una copia della chiave è custodita su dei server che applicano gli stessi livelli di sicurezza bancari • un'altra copia è custodita in modo sicuro sullo smartphone (o su una chiavetta hardware) • la chiave unica e l'orario sono utilizzati entrambi per generare una nuova password ogni 30 secondi
l'account social che abbiamo su Google o Facebook) ne abbia il controllo, si usa la tecnica dei due fattori di autenticazione (detta anche "Strong Authentication") Il primo fattore è una cosa che solo tu sai: la cara vecchia password del tuo account Il secondo fattore è una cosa che solo tu possiedi: il telefono o lo smartphone, che è già sempre con te, a portata di mano (e che ti fornisce le password usa e getta) Una cosa che solo tu sai più una cosa che solo tu hai 15 Il controllo esclusivo tramite due fattori (2FA)
l'account social alla chiave crittografica La chiave crittografica consente di generare le password temporanee OTP (One Time Password) 16 La 2FA in tre mosse
non è come la SIM crittografica della Carta di Credito Quanto è facile clonare una SIM telefonica (non crittografica)? Quanto costano gli SMS? 17 Le OTP ricevute via SMS