L’Italia e la transizione al digitale. Considerazioni post convegno ANDIG

L’Italia e la transizione al digitale. Considerazioni post convegno ANDIG

Nella giornata di ieri, 25 ottobre 2019, si è tenuto presso la LUISS il convegno organizzato dall’ANDIG (Associazione Nazionale Docenti d’Informatica Giuridica) e riguardante la trasformazione digitale dell’Italia. Scrivo questo articolo per chi non è potuto esser presente ma anche per chiarire alcuni punti che non è stato possibile approfondire durante i 20 minuti di presentazione.

Il punto…in breve

Durante la presentazione ho snocciolato alcuni numeri tra cui quegli degli attacchi da gennaio a ottobre 2019 che sono stati rivendicati e che l’Italia avrebbe subito. Ho citato 65 attacchi (più di 6 al mese) ma in realtà sono stati 82 e quindi la media passa ad oltre 8 attacchi al mese. Il problema non è tanto il numero, che comunque è indicativo di una generale sottovalutazione del problema “sicurezza informatica”, quanto la tipologia di attacco.

Ripeto l’esempio fatto al convengo e che normalmente faccio a lezione: quando un 17enne apre un caveau di sicurezza con un paio di forcine il problema non è che un diciassettenne ha rubato il problema è che un caveau di sicurezza è stato aperto con un paio di forcine. Del primo problema, infatti, se ne occuperanno gli organi inquirenti mentre i tecnici dovrebbero capire bene come mai un paio di forcine possano aprire porte così tanto grandi. Fuor di metafora ci si domanda come mai, nel 2019 davanti a sfide europee e mondiali come la messa in sicurezza del 5G, alcuni siti istituzionali abbiano ancora password come adminadmin o come gestore12345 o similari. Come dicevo è un problema di cultura e di etica, argomenti che sono stati largamente trattati all’interno di questo blog e che meritano sempre un’attenzione particolare per la loro attualità.

La faccenda SPID, eIDAS, CNS etc…

Qualsiasi tecnico rispettabile avrebbe problemi ad introdurre nello stesso sistema informatico, sistemi d’identificazione a autorizzazione “forti” accanto a sistemi d’identificazione e autorizzazione “deboli”. la maggior parte dei siti istituzionali possiede questa dicotomia, come frutto dell’autonomia legislativa di cui gode. Pensiamo ai siti sanitari regionali che, al momento della scrittura del presente articolo, prevedono una situazione come quella descritta.

Portale “In Linea” città di Milano

Inoltre vi è un difetto in questa “libertà” tecnologica: quella di creare molta confusione nel cittadino che, invece di accedere con un sistema uniforme di cui può prendere conoscenza e confidenza, si ritrova a dover fronteggiare una scelta tra tre sistemi:

  1. Username e Password
  2. SPID
  3. CNS

Ovviamente di questi tre solo due sono considerati sistemi “forti” e sono SPID e la CNS (Carta Nazionale dei Servizi). Username e Password non è paragonabile agli altri due. Ma il problema è perchè averne tre? È una complicazioni in termini effettivi che dimostra come, invece di andare verso la semplificazione, si sta rimanendo verso la complessità(inutile).

Due parole su SPID, il dott. Stefano Arbia ha fatto un intervento molto interessante. SPID, in origine, sarebbe dovuto essere a pagamento per garantire il sostentamento del modello di business. L’applicazione mobile sarebbe dovuta esser venduta a 95 centesimi, niente di gravoso, meno di una colazione. Il cambio di governo ha portato la gratuità imposta di SPID che, di conseguenza, è stato mantenuto finanziato dagli identity provider. Per farvi capire cosa significa: Poste, solo per l’invio di SMS legati al servizio, ha sostenuto e speso oltre 1,3 milioni di euro. Comprendete quindi che SPID oggi viene portato avanti grazie anche alla fiducia che gli identity provider hanno per questa soluzione.

Arbia ha anche confermato che esisterà un’identità digitale diversa per gli operatori professionale: quindi l’identità del cittadino sarà differente da quella del professionista. Questa seconda firma sarà a pagamento per il famoso sostentamento del modello di business.

Il nuovo Spid per uso professionale permetterà di farsi riconoscere da una pubblica amministrazione, o da un ente privato, in quanto professionista, e consentirà di accedere ad alcuni servizi riservati agli intermediari in possesso di determinati requisiti: pensiamo, ad esempio, ai servizi dell’Inps e delle Entrate riservati ai consulenti del lavoro ed ai commercialisti. Ad ogni modo, lo Spid ad uso professionale non sarà riservato agli iscritti agli albi, ma potrà essere utilizzato anche da professionisti non iscritti, che però non avranno accesso ai servizi che sono prerogativa degli appartenenti agli ordini.

Fonte: https://www.laleggepertutti.it/258788_spid-identita-digitale-per-i-professionisti

Interessante anche il commento circa la modalità anonima di SPID che, per quanto libero e utilizzabile su social come FaceBook e Twitter, potrebbe essere utile a limitare fenomeni di reati poiché la Polizia di Stato potrebbe comunque identificare utenti limitando la proliferazione di reati tra cui anche fenomeni diffamatori e persecutori. A parer di chi scrive, giusto per ribadirlo, SPID è un ottimo strumento (sicuramente perfettibile) ma inaccostabile a sistemi meno sicuri e apparentemente più semplici da utilizzare.

Semplificazione e Digitalizzazione

La semplificazione non è solo necessaria: la semplificazione passa per la digitalizzazione e la digitalizzazione è un obbligo di legge per tutte le Amministrazioni che, di fatto, dovrebbero avere procedure e attività interne nativamente digitali ossia create e portate avanti in modo digitale al fine di abbreviare le lungaggini, ridurre la burocrazia e garantire più trasparenza al cittadino che, nel 2019, fin troppo spesso si trova nell’oscurità più totale. Ripeto, la digitalizzazione non è uno slogan, è un obbligo di legge. Ciò significa che chi non ha procedure nitidamente digitali è al di fuori del contesto normativo.

Basta slogan

Una parte del mio intervento si è concentrato sulla contestazione dei termini slogan come, ad esempio, blockchain. Questi slogan sono spesso oggetto di lucro da parte di persone che in realtà poco conoscono dell’ambito tecnico e di applicazione delle stesse. La blockchain è stata stimata per l’uso su praticamente qualsiasi ambito, cosa assurda e tra l’altro non raccomandabile in taluni casi. Un altro esempio di slogan fu proprio il GDPR per la massa di persone che, lucrando, scrivevano di essere abilitate a vendere certificazioni per praticare la professione di Data Protection Officer. Sappiamo per certo che non è necessaria alcuna certificazione per svolgere il ruolo di DPO.

Basta slogan, c’è bisogno di più serietà e trasparenza nei confronti dei clienti e tale trasparenza si ottiene anche attraverso un atteggiamento più scientifico e meno casuale. La sicurezza informatica si basa su dati ed evidenze oggettivamente riscontrabili ma non è solo una questione di sicurezza. Molti progetti informatici oggi vengono realizzati senza rispettare i requisiti minimi in termini di documentazione da produrre: documenti di sicurezza, studi di fattibilità, documenti di requisiti, non sono solo una spesa aggiuntiva per il cliente, sono fonte di trasparenza e garanzia qualità produttiva però sappiamo anche che trasparenza e qualità sono spesso cose non volute.

Le istituzioni

Ruolo importante lo hanno le istituzioni che, però, sono tra i principali soggetti attaccati a livello di cybersecurity e spesso hanno criteri di sicurezza inadeguati. Vi è poi il fatto che le istituzioni sono le apri-pista dello sviluppo economico e tecnologico del nostro Paese, essendo deputate ad ufficializzare mezzi e tecnologie adottate nella quotidianità. Ma come rendere tutto più decifrabile? Le leggi possono aiutare ma spesso sono scritte in modo poco chiaro e portate avanti con ancor meno chiarezza, un esempio? Il CAD (Codice dell’Amministrazione Digitale) ha avuto un’evoluzione che personalmente ho trovato molto difficile da accettare. Se la prima edizione risultava leggibile e facilmente comprensibile, le successive revisioni lo sono state molto meno. Stessa sorte si potrebbe dire per il nuovo codice degli appalti.

Conclusioni

Ben vengano attività come quelle dell’ANDIG, ben vengano iniziative finalizzate a far aumentare la consapevolezza nei confronti di questi argomenti. Chissà che l’Italia del domani non possa essere più preparata, responsabile e idonea ad accogliere le sfide future che riguardano lei e l’Europa. L’auspicio è quello di un cambio di tendenza che porti il Paese verso un destino più tecnologico e consapevole.