L’identificazione, presupposto per qualsiasi corretta relazione economica e sociale, assume sempre più rilevanza nel mondo digitale e dematerializzato.
Già con il Regolamento 910/2014 - eIDAS, l’UE aveva ben chiarito quanto fosse indispensabile creare le condizioni adatte per il riconoscimento reciproco transfrontaliero di funzioni essenziali - quale l’identificazione elettronica - affinché potesse realmente svilupparsi un mercato unico digitale. L’attuale pandemia, e la conseguente necessità di distanziamento sociale, ha portato a un utilizzo massivo di strumenti di interazione a distanza: il tema dell’identificazione elettronica appare essere sempre più un nodo cruciale da gestire con la massima attenzione, a qualsiasi livello.
L’identificazione è necessaria per Legge
Infatti, seppur con differenti livelli di certezza - che si tratti di un sito di e-commerce, di un’Amministrazione pubblica o di un istituto bancario/assicurativo - l’identificazione dei propri utenti (e la loro successiva corretta autenticazione) rappresenta un’attività ormai imprescindibile e, in molti casi, necessaria per Legge (basti pensare agli oneri di adeguata identificazione della clientela previsti dalla normativa sull’Antiriciclaggio). In tal senso, anche il FATF (Financial Action Task Force) nella sua attività di contrasto al riciclaggio di denaro e lotta contro il finanziamento del terrorismo, ha pubblicato una nuova Guida in materia di Identità Digitale (ID) nella quale pone, tra l’altro, particolare attenzione alla possibile non presenza fisica del cliente al momento dell’identificazione.
L’equilibrio tra security e usabilità
Se da un lato, quindi, assistiamo a una forte crescita dell’offerta di servizi informatici avanzati (e al loro conseguente utilizzo), dall’altra emerge sempre più l’evidente necessità di facilitare le interazioni: entrambi questi fattori rendono ormai indispensabile dotarsi di identità digitali in grado di fornire certezza a qualsiasi successiva identificazione elettronica che, seppur sempre più semplificata, non può e non deve abbassare la guardia rispetto ai rischi legati a possibili frodi basate sui furti d’identità che, nel mondo informatico, possono assumere dimensioni preoccupanti.
Ovviamente il tema dell’identità digitale non è nuovo. Volendo provare a ricostruire i requisiti che un’identità digitale dovrebbe avere è possibile rifarsi a due principali gruppi di norme tecniche:
- NIST SP 800-63-3 Digital Identity Guidelines
- NIST SP 800-63A Enrollment and Identity Proofing
- NIST SP 800-63B Authentication and Lifecycle Management
- NIST SP 800-63C Federation and Assertions
- ISO/IEC TS 29003:2018 IT Security techniques — Identity proofing
- ISO/IEC 290115:2013 IT Security techniques -- Entity authentication assurance framework
Standard UE e USA
Mentre le norme del NIST sono il riferimento per il mercato americano, in Europa la UE ha definito (con il Regolamento di esecuzione 1505/2015) i livelli di garanzia per i mezzi di identificazione elettronica previsti dal Regolamento eIDAS basandosi sui richiamati standard ISO. Entrambi i gruppi (che presentano comunque posizioni e soluzioni comparabili e non molto distanti tra loro), in considerazione delle effettive esigenze di certezza dell’identità digitale, individuano differenti livelli di garanzia per i sistemi di identificazione elettronica. Il livello di garanzia dipende dal grado di sicurezza fornito dagli stessi mezzi riguardo all’identità pretesa o dichiarata da una persona, tenendo conto dei procedimenti (ad esempio, controllo e verifica dell’identità, autenticazione), delle attività di gestione (ad esempio, l’entità che rilascia i mezzi di identificazione elettronica e la procedura di rilascio degli stessi) e dei controlli tecnici messi in atto.
Tre livelli di rischio
Concentrandoci sul panorama europeo, i livelli di garanzia previsti dal Regolamento eIDAS sono tre, distinti in base al grado di riduzione del rischio di uso abusivo o alterazione dell’identità: basso, nel caso di semplice riduzione del rischio; significativo, nel caso di significativa riduzione del rischio; elevato, nel caso in cui si punti a eliminare tale rischio. Per ogni identità digitale viene poi distinta la fase di rilascio (caratterizzata dal cd. Identity proofing, ovvero il controllo e la verifica dell’identità dichiarata) da quella di suo successivo utilizzo (che corrisponde dalla cd. autenticazione, mediante la quale è possibile attestare ad un sistema terzo la propria identità digitale).
Presupposti indispensabili affinché la propria identità digitale sia correttamente attestata sono quindi il controllo e la verifica di quanto dichiarato al momento della richiesta. Ad esempio, per ottenere un controllo e verifica dell’identità con garanzie di livello significativo, il Regolamento di esecuzione 1502/2015 richiede che, in caso di presentazione di uno o più documenti d’identità (intesi come prova), oltre a verificare che il documento sia in corso di validità e sembri autentico, dovrà essere comprovato anche il riferimento al soggetto, adottando tutte le misure necessarie per ridurre al minimo il rischio che l’identità non corrisponda a quella dichiarata, tenendo conto, ad esempio, delle variabili di smarrimento, furto, sospensione, revoca o scadenza.
Tali regole valgono sia per controlli effettuati in presenza che per quelli effettuati a distanza ed è proprio questa seconda modalità, esplosa con la recente pandemia, che richiede (specialmente quando l’attività d’identificazione non è presidiata da alcun operatore) maggiore attenzione nell’individuazione di concrete ed efficaci modalità di riduzione del rischio di furto d’identità (posto spesso alla base di frodi informatiche e non) partendo dalla corretta validazione delle prove d’identità presentate.
Proveremo ad approfondire questa e altre tematiche riguardanti l’identità digitale durante il prossimo DIG.eat 2021 anche con il contributo del Dott. Salvatore Mafodda, esperto antifrode certificato ACFE (Association of Certified Fraud Examiners). «Tutti sappiamo che la pandemia sta determinando un cambiamento, tra gli altri, nei comportamenti di acquisto delle persone e una accelerazione digitale tanto intensa quanto indietro sono le abitudini digitali di una popolazione rispetto allo stato dell’arte globale. Ogni cambiamento va affrontato nella consapevolezza che comporta dei rischi nuovi e che questi vanno assolutamente presieduti. Il Benchmarking Report ACFE sulle frodi all’alba del Covid (Fraud in the wake of Covid 19) evidenzia una prevedibile accelerazione delle frodi specialmente in ambito digitale e sul furto di identità. Il 54% della base intervistata in questo sondaggio è negli USA, un Paese abbastanza avanti nei servizi digitali e nonostante questo viene previsto un possibile peggioramento dei tentativi di frode. Questo rischio diventa più probabile durante un processo di cambiamento come quello che stiamo vivendo e potrebbe avere un impatto esponenziale con l’utilizzo della identità digitale il cui punto debole diventa principalmente la genesi dell’identità stessa».
Questo articolo è stato pubblicato sul numero di dicembre 2020 di AziendaBanca.
DIG.EAT “C’ERA UNA VOLTA” -
IL PRIMO RACCONTO DIFFUSO SUL DIGITALE DAL 18 GENNAIO AL 12 FEBBRAIO 2021 IN STREAMING
Il DIG.eat 2021 non sarà la semplice replica di un convegno fisico, ma un’autentica esperienza digitale che coinvolgerà lo spettatore in un viaggio senza precedenti. Quattro settimane per raccontare il passato, presente e futuro del digitale, attraverso più di 100 eventi tra webconference, talk, webinar, podcast e speciali, per un totale di 80 ore di streaming, con oltre 150 relatori.
Il DIG.eat 2021 è in programma dal 18 gennaio al 12 febbraio, su piattaforma dedicata: è ancora possibile partecipare come protagonisti del racconto, diventando sponsor ufficiale dell’evento. Non perdere l’occasione di partecipare al primo racconto diffuso sul digitale di ANORC.
Pagina ufficiale Cerchi altre informazioni? Contattaci: [email protected]
