Ricerca & Sviluppo – Security

L’unità di Ricerca & Sviluppo, in ambito Security, sta lavorando a “Spidasec – SPID Advanced Security”, che beneficia di un finanziamento “POR CALABRIA FESR-FSE 2014-2020”.

Spidasec è un sistema che punta a migliorare la sicurezza di SPID. SPID consente ad utenti ed imprese di accedere da vari dispositivi con un’unica identità digitale ai servizi online della pubblica amministrazione e delle imprese aderenti. Spidasec, inoltre, punta a migliorare il “trust” tra le parti coinvolte.

In questa avventura Consulthink non è da sola, ha come partner l’Università della Calabria, le aziende Catenate e Coremuniti, L’Istituto di Calcolo e Reti ad Alte Prestazioni del Consiglio Nazionale delle Ricerche (ICAR-CNR) ed inoltre può contare sull’appoggio di Poste Italiane.

Obiettivo di Spidasec, quindi, è il miglioramento del lato sicurezza di SPID, il “sistema pubblico dell’identità digitale”. SPID punta alla semplificazione dei rapporti tra il cittadino ed i servizi offerti dalla pubblica amministrazione. Grazie a SPID, ogni utente possiede la propria identità digitale e con questa può accedere ai servizi online di pubblica amministrazione e di tutte le imprese che hanno aderito a SPID. Il vantaggio dell’identità digitale è che non ci sarà bisogno di ricordare ed utilizzare tante password e nomi utente per accedere ai vari servizi, basterà ricordare solo quelli della propria identità digitale.

Per ottenere l’identità digitale, l’utente deve farne richiesta ad uno degli 8 gestori attualmente accreditati, tra cui figura anche Poste Italiane S.p.A. Questi verifica l’identità dell’utente e gli rilascia le credenziali.

I vantaggi del sistema SPID sono sia lato utente che lato service provider. L’utente, infatti, potrà accedere a numerosi servizi online con delle credenziali uniche di identificazione; il service provider, invece, non si dovrà preoccupare di censire gli utenti, otterrà solo i dati dell’utente strettamente necessari per portare a termine quella specifica transazione, non avrà oneri relativi alla conservazione dei dati personali e non dovrà preoccuparsi di eventuali attacchi informatici per il furto delle credenziali. Inoltre, i Service Provider avranno a disposizione profili con un’identità certa, eliminando i cosiddetti “falsi profili”, ed univoca, eliminando i duplicati.

Quali sono gli obiettivi di Spidasec? SPID presenta una serie di limiti, soprattutto lato sicurezza e Spidasec si pone l’obiettivo di superarli. In SPID il furto di identità è semplice a causa del meccanismo utilizzato per identificare l’utente. Infatti, esibendo un documento falso, ci si può appropriare di tutte le informazioni di quel cittadino in relazione ai suoi servizi. Spidasec, quindi, introduce degli algoritmi di “Social Trust” per far fronte a tale vulnerabilità. Tali sistemi si possono avvalere di fonti aperte, come ad esempio i canali social. I dati raccolti possono contenere informazioni riguardanti l’utente da identificare, come immagini e posizione. Correlando tali informazioni, si può ottenere un livello di trust sull’identità dell’utente. Impiegando concetti di Trust e di Reputation si possono definire anche opportune politiche di sicurezza basate su livelli di rischio crescenti.

Altre due problematiche di sicurezza riguardano l’utilizzo di SAML (Security Assertion Markup Language) e dei certificati nel protocollo SSL. Per quanto riguarda l’utilizzo di SAML, il protocollo fa delle asserzioni e una volta che queste risultino verificate, non ripete il controllo per un tempo più o meno lungo. Il problema è che se un browser è infetto potrebbero partire da questo delle richieste improprie che risulterebbero ugualmente soddisfatte. Per quanto riguarda l’utilizzo dei certificati nel protocollo SSL, invece, questi potrebbero essere non aggiornati o mal configurati, non garantendo la sicurezza della trasmissione dei dati.

Spidasec, però, ha come obiettivo anche promuovere la diffusione del servizio: sono ancora poche le pubbliche amministrazioni che utilizzano SPID, così come sono poche le aziende private che propongono online i propri servizi. Attualmente i servizi online delle pubbliche amministrazioni a cui si può accedere sono: pagamenti di Tasi e bollo auto, prestazioni sanitarie, fascicolo dell’Inps, riscatto della laurea, richiesta degli assegni familiari, richiesta di bollettini, saldo via web di tributi regionali e pagamento della mensa scolastica. Questa integrazione e comunicazione in un unico ambiente, però, non è semplice e può portare ad una scarsa usabilità della piattaforma. Spidasec, quindi, è la soluzione ai limiti di SPID!

Per ulteriori informazioni sul progetto, potete visitare il sito web di Spidasec.

 

Nell’immagine, potete vedere il logo di Spidasec.

Logo di Spidasec, il progetto di Consulthink per migliorare la sicurezza del sistema SPID

Ultime News

Send this to a friend