Proteggere la propria identità nell'era digitale non è impossibile. Quantomeno dovremmo iniziare a usare gli strumenti disponibili come l'autenticazione a due fattori.
(ha sorpassato la Gran Bretagna) Poche grandi aziende hanno il controllo di servizi fondamentali quali: • telecomunicazioni • logistica e grande distribuzione • cartografia e geolocalizzazione di ogni attività • identificazione e profilazione dei cittadini (un tempo si sarebbe detto schedatura) Le identità digitali sono nuove forme di cittadinanza gestite da chi si sta spartendo il potere nel mondo digitale 4 Digital Transformation
applica dal 25 Maggio 2018 Da una indagine condotta in Europa: • Le aziende conformi sono 55% in UK, 54% in Spagna, 51% Germania e Paesi Bassi, 48% in Italia, 33% in Svezia • il 39% dei consumatori convinti che una data organizzazione protegga i loro dati ha acquistato più prodotti da quell’azienda (In Italia si sale al 47%) 5 GDPR - Un'urgenza che riguarda tutti
per la costruzione del Mercato Unico Digitale in Europa • eIDAS impone l’interoperabilità in tutta Europa dal 1/7/2016 • La Firma Elettronica Qualificata ha valore legale equivalente a quella autografa • Il Regolamento implica l’adozione obbligatoria per tutti gli Stati membri 6 eIDAS: l’identità digitale a valore legale in Europa
dare accesso a tutti i servizi online della Pubblica Amministrazione Italiana con un'unica Identità Digitale • Disponibile per tutti i cittadini che abbiano compiuto il 18°anno di età • Tutta la PA dovrebbe già essere accessibile tramite SPID dal 1/1/2018 • Identity Provider (gestori delle identità digitali): Aruba, Infocert, Intesa IBM, Namirial, Poste, Register, Sielte, Tim e eventuali altri in futuro • SPID è utilizzabile a pagamento da fornitori di servizi privati • Il pricing sembra orientato a grandi fornitori di servizi • la certezza dell’identità del titolare è importante in alcuni procedimenti critici come l’adeguata verifica nell’ambito della normativa antiriciclaggio • utilities e assicurazioni potrebbero acquisire clienti online più rapidamente
eID interoperability for online platforms" pubblicato in ottobre 2017 da Andrea Servida, Head of Unit "eGovernment and Trust" at DG CONNECT, European Commission "By allowing users to freely decide whether they want to use government-issued/recognised eID means, which are at their disposal and already used in other domains, online platforms can empower users and enhance their digital experience – by providing them with extended consumer choice, while ensuring the same or a higher level of convenience, security, trust and respect of privacy and a high level of protection of personal data." https://ec.europa.eu/futurium/en/blog/draft-principles-and-guidance-eid-interoperability-online-platforms-share-your-views
ma non siamo noi! Ogni nostra azione lascia una traccia nelle enormi basi di dati dei provider di servizi "gratuiti" con cui comprano la nostra identità per rivenderla al marketing Servirebbe un registro distribuito e affidabile dove le informazioni sono gestite attraverso chiavi private di cui ogni persona ha il controllo esclusivo Forse un domani la Blockchain di Bitcoin potrebbe diventare una infrastruttura su cui costruire un registro pubblico che possa ridare alle persone il pieno possesso della propria identità
GDPR) • Proteggere i dati e gli eventuali account degli utenti almeno con delle password secondo le normative vigenti • Proteggere gli account amministrativi con l'autenticazione a due fattori • Usare le funzionalità 2FA già disponibili gratuitamente (soprattutto se si ricopre un ruolo tecnico e si hanno privilegi amministrativi) • Educare gli utenti, poiché l'anello debole della catena è quasi sempre il loro comportamento 10 Proteggere l'identità digitale
problema di comunicazione e consapevolezza • Non siamo consapevoli di cosa sia l'identità digitale • La tecnologia cambia il nostro habitat velocemente • Siamo biologicamente e psicologicamente uguali all'uomo paleolitico • Dobbiamo solo imparare a usare bene la tecnologia per padroneggiarla senza averne paura 11 La tecnologia è un problema?
un travestimento • L'identità digitale è simile a un documento d'identità • Possiamo avere molte identità digitali, come accade per i documenti, rilasciati da diversi enti • Le identità digitali autentiche sono analoghe tra loro, come lo sono i documenti • Quelle false ovviamente possono essere dissimili 12 Quante identità?
• «identificazione elettronica»: il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica • «dati di identificazione personale»: un insieme di dati che consente di stabilire l’identità di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica • «autenticazione»: un processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrità di dati in forma elettronica 13 Cosa è l'identità digitale?
informazioni (“copia e incolla”) 14 L’autenticità e l’identificazione nell’era digitale • L’identità è un insieme di dati, un messaggio: come facciamo a sapere chi c’è dall’altra parte del filo o della porta? • Se trasmetto quei “bit” che rappresentano la mia identità, qualcuno potrebbe intercettarli, copiarli, e simulare di essere me: rubare cioè la mia identità!
si basano su caratteristiche fisiologiche o comportamentali (impronta digitale, scansione dell’iride, calligrafia, riconoscimento facciale o vocale) • L’unico vantaggio risiede nel non dover identificare e associare la persona al dato biometrico, e nel non richiedere ad essa di portare con sé un dispositivo
modo univoco alla persona che la possiede e la controlla in modo esclusivo • Garantisce la privacy • È gestibile con lo smartphone • Può essere revocata • Non presenta errori di misura • È “nativa digitale” 16 Identità digitale basata sulla crittografia
tra le quali ne viene scelta una a caso • 1010 = 10.000.000.000 cioè dieci miliardi mentre 1075 è un numero con 75 zeri! • 1050 = stima del numero di atomi che compongono il pianeta Terra • 1075=1.000.000.000.000.000.000.000.000.000.000.000.000.000.000.000000.000. 000.000.000.000.000.000.000.000 cioè mille miliardi di miliardi di miliardi di miliardi di miliardi di miliardi di miliardi di miliardi di chiavi • Ne viene scelta una a caso e viene associata alla persona che ne diventa il possessore esclusivo (sostanzialmente è una password numerica un po' lunga) 18 Sicurezza matematica: l'unicità delle chiavi crittografiche
una chiave unica associata all'utente • una copia della chiave è custodita su dei server che applicano gli stessi livelli di sicurezza bancari • un'altra copia è custodita in modo sicuro sullo smartphone (o su una chiavetta hardware) • la chiave unica e l'orario sono utilizzati entrambi per generare una nuova password ogni 30 secondi
(come l'account social che abbiamo su Google o Facebook) ne abbia il controllo, si usa la tecnica dei due fattori di autenticazione (detta anche "Strong Authentication") • Il primo fattore è una cosa che solo tu sai: la cara vecchia password del tuo account, oppure il PIN della tua carta di credito • Il secondo fattore è una cosa che solo tu possiedi: il telefono o lo smartphone, che è già sempre con te, a portata di mano (e che ti fornisce le password usa e getta), oppure una smartcard • Una cosa che solo tu sai più una cosa che solo tu hai 20 Il controllo esclusivo tramite due fattori (2FA)
fattori è un requisito normativo fondamentale volto a garantire che il titolare di una Firma Elettronica Qualificata ne abbia sempre il controllo esclusivo • In passato si realizzava custodendo la chiave in una smartcard: il possesso della smartcard e la conoscenza del PIN erano i due fattori • Oggi con la Cloud Signature la chiave viene custodita su dispositivi sicuri (HSM) in cloud: il possesso dello smartphone (che genera le OTP) e la conoscenza del PIN sono i due fattori • Lo smartphone è già sempre con noi ed è già un computer connesso a Internet: firmare diventa facile, anche in mobilità!
univoco l'account social alla chiave crittografica • La chiave crittografica consente di generare le password temporanee OTP (One Time Password) 22 La 2FA in tre mosse
SIM telefonica non è come la smartcard crittografica della Carta di Credito o della Firma Qualificata • Quanto è facile clonare una SIM telefonica (non crittografica)? • E poi, quanto costano gli SMS? 23 Le OTP ricevute via SMS
due fattori • OTP esplicite • Push Authentication • Push Signature (Firma Elettronica Qualificata da smartphone) • Integrazione dei provider pubblici • Protezione del seed con PIN o Fingerprint • SDK per integrazione con App aziendali