Riflessioni sul Furto di Identità

di Avv. Alessandro Frillici Coordinatore Osservatorio Privacy e Sicurezza Informatica (CISM1 CGEIT2)

Dietro ad ogni furto d’identità riuscito, si cela la falla di un “sistema di autenticazione”. I sistemi di autenticaziImmagine attivaone sono quei sistemi (informatici o tradizionali) che identificano le persone. Il processo di identificazione si fonda sulle “credenziali di autenticazione”. L’esito positivo dell’attività di autenticazione può essere definito come accreditamento. Sull’accreditamento, a loro volta, si fondano i “sistemi di autorizzazione”, ovvero quei sistemi che definiscono i privilegi di una persona accreditata (come illustrato nella figura 1).

Al ladro d’identità le informazioni personali della vittima interessano al fine di superare il processo di autenticazione ed ottenuto l’accreditamento, poter illegittimamente utilizzare i privilegi della vittima. Il furto di identità non è fine a se stesso ma è sempre funzionale alla commissione di almeno un altro reato, se non di una lunga serie. Inoltre, quell’identità rubata è una merce, un asset rivendibile sul mercato nero della c.d. “Underground Economy”, l’economia sotterranea che, negli ultimi mesi, ha visto una pericolosa escalation, arrivando a “fatturare” cifre uguali o addirittura superiori al traffico di armi, al traffico di esseri umani e di droga.
L’attuale “insicurezza” che è alla base del furto di identità è alimentata da diverse cause, una delle principali, a nostro avviso, risiede nell’ambiguità propria di un sistema ibrido (tradizionale-elettronico) che, anziché caratterizzare un momento transitorio di passaggio dalla cultura tradizionale (carta) a quella elettronica (byte), costituisce la normalità.
L’ambiguità di un sistema ibrido (ovvero l’insicurezza) ha origini socio-culturali piuttosto che economiche o tecnologiche e si espande continuamente per effetto del “dilaniamento” operato da due forze contrapposte: da un lato “la spinta tecnologica” dall’altro “il freno organizzativo” (come illustrato nella figura 2).

Nessun ente può ormai permettersi di ignorare il progresso tecnologico; normalmente all’interno delle organizzazioni le istanze innovatrici sono promosse dall’ICT (che suggerisce nuovi e più efficienti strumenti) e dal settore Commerciale (che dovendo promuovere il business confrontandosi con il mercato, richiede un continuo adattamento alle condizioni sociali e tecnologiche). Questa forza, nell’illustrazione è rappresentata dalla “spinta tecnologica”.
A livello di vertici amministrativi, tuttavia, manca il coraggio e la fiducia di sposare appieno la scelta tecnologica, atteggiamento che può essere sintetizzato nella frase “un pezzo di carta è sempre un pezzo di carta”. Questo è il “freno organizzativo”, ovvero, il principale responsabile del perdurare dei sistemi misti ed il vero ostacolo al cambiamento.
E’ noto che la ridondanza di strutture, ove non sia scientemente operata ed attentamente coordinata, è fonte di ambiguità e, dunque, di insicurezza, per meglio comprendere questa affermazione occorre analizzare più approfonditamente il processo di autenticazione al fine di individuarne le criticità.
Le Credenziali di Autenticazione utilizzano la combinazione di una componente “riservata” ed una “pubblica”. La componente riservata è tale in quanto nota al solo “identificando”, ovvero , nel suo esclusivo possesso, ovvero propria di lui solo; essa ha la funzione di “legare” la componente pubblica (parte dichiarativa) alla persona.
Ad esempio nella carta di identità la fotografia, l’altezza, il colore degli occhi, in quanto esclusivamente propri dell’identificando, costituiscono la componente riservata mentre: il nome, il cognome, l’indirizzo, la professione, costituiscono la componente pubblica.
E’ evidente che l’elemento più delicato del processo di autenticazione è la “componente riservata” e che l’autenticazione è tanto più forte quanto tale componente è inscindibile dalla persona ed inalterabile.

Ciò detto si possono distinguere due livelli di autenticazione:
l’autenticazione primaria, ovvero il processo attraverso il quale si collegano dati identificativi ad una persona fisica attraverso elementi esclusivi ed inscindibili della persona (componente riservata). A nostro avviso gli unici elementi tecnologici che soddisfano tali requisiti sono i dati biometrici.
L’autenticazione secondaria, invece, si fonda su dispositivi o informazioni di esclusivo possesso della persona; rientrano in questo secondo livello i sistemi basati ad esempio su carte, token, password, PIN, ecc…
Le credenziali di autenticazione secondaria dipendono da un precedente processo di autenticazione primaria. Infatti le prime sono elementi costitutivi della persona (si posseggono dalla nascita) mentre le seconde sono rilasciate da un’autorità di autenticazione previa identificazione del richiedente. La differenza può essere colta dal confronto dei due sistemi di firma autografa e digitale.Figura 3

La prima trova il suo fondamento nell’esclusiva caratteristica dei segni tracciati dalla persona (tali segni sono fisicamente legati a ciascun individuo), la firma digitale invece si basa su dispositivi che sono rilasciati alla persona da un’autorità di autenticazione previa identificazione del richiedente.
E’ evidente che, per quanto possa essere raffinato il processo di autenticazione della firma digitale, se alla base c’è un vizio di identificazione della persona che la detiene, tutto il processo e ciò che ne segue (accreditamento ed autorizzazione) è viziato.
E’ altresì evidente che mentre la componente riservata biometrica è molto difficile da separare da colui cui appartiene, i dispositivi o le informazioni, alla base degli altri tipi di credenziali, offrono una vulnerabilità maggiore.
Tornando all’analisi delle cause di insicurezza alla base del furto di identità, ci sembra che le problematiche possano essere sintetizzate in due ordini:
il prevalente uso di sistemi di autenticazione di secondo livello;
il perdurare della prevalenza della carta sull’elettronica.
La tecnologia ha raggiunto alti livelli di affidabilità alla portata di tutti, la sicurezza dei sistemi informativi progredisce continuamente, eppure, alla base di tutto, paradossalmente, rimangono i “pezzi di carta”.
Nonostante la raffinata evoluzione dei sistemi di transazione bancaria, ancora questi spesso si basano su fogli ove sono apposte firme illeggibili e, peraltro, il sistema misto (cartaceo-elettronico) porta ad utilizzare immagini, di quei fogli, ove l’elemento identificativo della firma autografa (il segno ed il tratto) sono inutilizzabili. Enti ed imprese continuano ad affidare importanti transazioni ed atti allo strumento principe dell’ambiguità elettronico-cartacea: il fax. L’identificazione delle persone è ancora affidata a “pezzi di carta” (carta di identità, patente, passaporto).
L’azione di contrasto ad un rischio non deve limitarsi ai “sintomi” (benefici transitori), ma deve ricercare le cause ed agire su di esse. La soluzione radicale dunque, a nostro avviso deve agire, da un lato imponendo coerenza ovvero terminando il transitorio periodo dei sistemi misti (carta-byte), dall’altro utilizzando, per quanto possibile, sistemi di autenticazione primaria (biometria).
Per quanto al furto di identità, il fronte tecnologico è ben presidiato, le carenze permangono sul fronte organizzativo, sociale e culturale; qui, spesso, i problemi profondi si celano dietro a problematiche che, seppure esistenti, non sono insormontabili, la principale tra queste è la “privacy”.
Si ritiene che i dati personali, se trattati con strumenti elettronici, siano più vulnerabili rispetto ai sistemi cartacei tradizionali, i sistemi di autenticazione biometrica, poi, sono spesso banditi in nome della riservatezza.
Eppure la “privacy” non vieta, ma impone di considerare primariamente i diritti delle persone, ovvero impone l’uso delle tecnologie (mai benigne o malvagie, ma strumenti neutri) in modo lecito, trasparente, corretto.
La tecnologia non deve essere vista come minaccia, ma come alleato, l’attenzione deve essere spostata sull’uso degli strumenti, sulle strategie, la gestione l’organizzazione degli enti, diversamente, il rombo dell’insicurezza è destinato inesorabilmente ad espandersi.

Questa voce è stata pubblicata in furto identità. Contrassegna il permalink.

I commenti sono chiusi.