Clusit e Copernicani: un errore centralizzare SPID

“A rischio i requisiti di sicurezza e resilienza del sistema”:  l’allerta dell’Associazione Italiana per la Sicurezza Informatica con l’Associazione Copernicani  se non dovesse essere confermato l’attuale sistema distribuito di SPID, in discussione nel decreto legge Milleproroghe

Milano, 29 gennaio 2020

Clusit, Associazione Italiana per la Sicurezza Informatica, e Associazione Copernicani, uniscono le forze per affermare l’incompatibilità di qualsiasi ipotesi di centralizzazione di SPID con i requisiti di sicurezza e resilienza fondamentali per assicurare il buon funzionamento del sistema stesso.

Secondo le due associazioni, l’attuale modello di SPID, che prevede una gestione distribuita tra soggetti pubblici e privati, presenta un grado di affidabilità che una gestione centralizzata non potrebbe garantire:

“Clusit e Copernicani ritengono che l’attenzione principale di chi è chiamato al voto sul decreto legge Milleproroghe in questo momento debba essere rivolta alla capacità di assicurare resilienza ad un sistema critico per la protezione dei servizi offerti dalla Pubblica Amministrazione, quale è SPID”,

afferma Claudio Telmon, membro del Comitato Direttivo Clusit.

“Supportare e sollecitare l’adozione dell’identità digitale SPID è il presupposto per una crescente capacità delle organizzazioni pubbliche e private nel proteggere la sicurezza in rete dei cittadini e per contribuire alla definizione e alla difesa del perimetro digitale della nazione”,

aggiunge Davide Formica, segretario di Associazione Copernicani.

Entrambe le associazioni ritengono necessario, in questo contesto, potenziare le capacità di controllo dell’Agenzia per l’Italia Digitale, anche con un più stretto collegamento con la forza pubblica, per garantire una reale capacità di applicazione della legge: “Il caso dell’Autorità Garante per il trattamento dei dati personali ci conferma l’efficacia di un’agenzia pubblica nella sua attività di controllo”, ribadisce Claudio Telmon.

Clusit e Copernicani lanciano inoltre una proposta concreta per favorire la diffusione e la sostenibilità del modello SPID, grazie a cui cittadini e imprese italiane potranno accedere più agevolmente a servizi di altri paesi dell’Unione Europea: “Questo potrà accadere solo se saranno garantiti elevati standard di sicurezza e resilienza”, nota Formica.

Le due associazioni auspicano il coinvolgimento di attori qualificati, quali le banche, in qualità di Identity Provider SPID. Il livello di sicurezza dell’autenticazione ai servizi di home banking è infatti oggi decisamente più alto di quanto offerto dalle Pubbliche Amministrazioni.

Le banche – già soggette a controlli molto stringenti e a regolamenti specifici emanati a livello europeo, quale quello sull’autenticazione forte (strong customer authentication) nell’ambito della Direttiva PSD/2 – dovrebbero quindi effettivamente offrire le proprie credenziali di accesso come credenziali SPID:

“Ritenere adeguato il livello di sicurezza richiesto dalle normative di settore, e richiedere soltanto un eventuale adeguamento al Regolamento EIDAS, consentirebbe a milioni di italiani di disporre di credenziali SPID per l’accesso ai servizi della PA senza necessità di azioni aggiuntive, se non accettare una variazione contrattuale con la propria banca”,

chiarisce Telmon.

Le due associazioni sottolineano inoltre il ruolo del Domicilio Digitale nella prevenzione del furto di identità su SPID, come in altri contesti, come quello del credito al consumo. L’invio obbligatorio di una notifica presso il domicilio digitale di qualsiasi creazione di credenziale o di autenticazione SPID (o di altre attività come l’apertura di conti correnti, finanziamenti o altro) potrebbe avere un impatto pari a quello dell’introduzione della notifica via SMS per l’utilizzo della carta di credito.

Clusit, Associazione Italiana per la Sicurezza Informatica, è stata fondata nel 2000 presso il Dipartimento di Informatica dell’Università degli Studi di Milano; oggi è la principale associazione italiana nell’ambito della sicurezza informatica e rappresenta oltre 500 organizzazioni appartenenti a tutti i settori del Sistema-Paese. Clusit collabora a livello nazionale con Ministeri, Authority e Istituzioni, con la Polizia Postale ed altri organismi di controllo, con numerose Università e Centri di Ricerca, con Confindustria e Confcommercio, con Associazioni Professionali e dei Consumatori. In ambito internazionale, Clusit partecipa a diverse iniziative in collaborazione con la Commissione Europea, con ENISA (European Union Agency for Network and Information Security) e UNICRI (Agenzia delle Nazioni Unite che si occupa di criminalità e giustizia penale). Dal marzo 2019 gestisce la Clusit Community for Security.
Maggiori informazioni sulle attività del Clusit sono disponibili su www.clusit.it.

Copernicani è un’associazione indipendente di studenti, lavoratori, imprenditori, docenti, ricercatori e politici innamorati del futuro, che hanno deciso di trasformare le proprie idee in azioni, per stimolare una cultura dell’innovazione e pungolare i partiti in modo trasversale.
L’associazione propone policy concrete e attuabili per migliorare le prospettive dell’Italia, consapevole della complessità e delle difficoltà del contesto. Utilizzando il metodo di contaminazione transpartitico usato dal movimento Radicale per portare il tema dei diritti civili nel dibattito politico, lavora in modo analogo per il diritto al futuro. Innovazione, giovani, concorrenza, futuro sono le parole chiave per uno sviluppo sostenibile per consentire a tutti di sfruttare le opportunità offerte da un mondo in profonda evoluzione.

Per ulteriori informazioni alla stampa si prega di contattare l’Ufficio Stampa Clusit:
dsarti@clusit.it – Tel. 335 459432

Scarica il Comunicato Stampa_in formato PDF