Vulnerabilità nei processi di creazione di identità digitali SPID: come un criminale potrebbe operare a tuo nome – Stefano Fratepietro
Durante la Cyber Crime Conference 2024, Stefano Fratepietro, Cyber Security Strategic Consultant, ha presentato una ricerca focalizzata sulla creazione di utenze fraudolente attraverso il Sistema Pubblico di Identità Digitale (SPID), una piattaforma cruciale per l’accesso ai servizi della pubblica amministrazione in Italia.
Guarda il video completo dell’intervento:
SPID, Struttura Decentrata e Resilienza del Sistema
SPID, un sistema introdotto nel 2016, opera attraverso una struttura decentrata con 12 service providers che erogano identità digitali. Questo design promuove una resilienza elevata, poiché la mancanza di centralizzazione riduce il rischio di un “single point of failure”. Tuttavia, come sottolineato durante la relazione, l’utente deve creare un’utenza SPID separatamente con ciascun provider per garantire un servizio ininterrotto, il che introduce una complessità notevole nel mantenimento della sicurezza.
Processo di Creazione di un’Utenza SPID e Verifica dell’Identità
Nel suo intervento, Fratepietro ha descritto il processo di creazione di un’utenza SPID, inclusivo della registrazione presso un provider scelto e la successiva verifica dell’identità, che può avvenire sia di persona che a distanza. Un’eccezione importante è per coloro che possiedono già una firma digitale, per cui non è richiesta ulteriore verifica identitaria per creare un’utenza SPID. Questo dettaglio è cruciale poiché apre ad una importante vulnerabilità: se il processo di ottenimento della firma digitale è compromesso, lo è anche la sicurezza dell’utenza SPID.
Creazione Fraudolenta di Utenze SPID
L’analisi ha dimostrato l’esistenza di metodi per creare utenze SPID fraudolente sfruttando proprio questo punto debole. Un esperimento condotto in collaborazione con alcuni giornalisti ha mostrato come fosse possibile ottenere una firma digitale, e di conseguenza un’utenza SPID fraudolenta, utilizzando documenti falsificati senza che il soggetto incaricato di verificare l’identità intervenisse adeguatamente. Questo scenario sottolinea il rischio di affidare parte del processo di verifica a terzi che potrebbero non avere le competenze o le misure di sicurezza adeguate per gestire tali responsabilità critiche.
Implicazioni di Sicurezza delle Utenze SPID Fraudolente
Attraverso la sua ricerca, Stefano ha esplorato le implicazioni di sicurezza di tali vulnerabilità, dimostrando come utenze SPID fraudolente possano essere utilizzate per accedere indebitamente a servizi sensibili, come conti bancari e dati sanitari, che rappresentano un rischio significativo sia per la privacy individuale che per la sicurezza finanziaria.
SPID Provider, Necessità di Controlli Più Rigorosi e Audit Estesi
La ricerca ha anche messo in luce la necessità di un controllo più rigoroso e di un audit esteso non solo ai provider di SPID ma anche alle parti terze coinvolte nel processo di verifica dell’identità. La proposta di Stefano di migliorare le notifiche ai cittadini quando viene creata un’utenza SPID a loro nome è un passo verso una maggiore trasparenza e sicurezza, assicurando che gli utenti siano prontamente informati di attività potenzialmente fraudolente.
SPID, Raccomandazioni per il Rafforzamento della Sicurezza
In conclusione, l’intervento ha evidenziato una serie di sfide e raccomandazioni cruciali per rafforzare la sicurezza del sistema SPID, sollecitando una riflessione approfondita su come migliorare le infrastrutture digitali nazionali, rendendole così più sicure contro gli abusi e fornendo una base più solida per la protezione delle identità digitali degli utenti.
Il programma completo della Cyber Crime Conference 2024 è disponibile al seguente link: https://www.ictsecuritymagazine.com/eventi/cybercrimeconference2024#programma
Iscriviti alla nostra newsletter per rimanere aggiornate sulle nostre iniziative: https://www.ictsecuritymagazine.com/newsletter/
