La vita digitale di cittadini e consumatori è caratterizzata da una numerosità di transazioni online (e-commerce, pagamenti, richiesta di informazioni), e di conseguenza, dalla necessità di instaurare nuovi schemi per garantire la fiducia (il trust) nel mondo digitale.
I costi procurati dal cyber crime sono in continua crescita, e un filone molto florido per gli hacker è quello collegato al furto di identità digitali. Si tratta in sostanza della raccolta, da parte di attori malevoli, di informazioni collegate a singoli individui (documenti d’identità, numero della carta di credito, dati personali come nome, indirizzo, mail, numero di telefono, fino a UserID e password per accedere al conto corrente online) da rivendere nei dark market o da riutilizzare per varie tipologie di frodi.
Anche emerge anche dai risultati della survey “Cyber Risk Management 202”1 (sarà presentata il prossimo 9 marzo in occasione del Cybersecurity Summit 2021 organizzato da The Innovation Group), considerando tutti gli impatti osservati dalle aziende italiane che nel 2020 hanno subito incidenti di cybersecurity, al primo posto si posiziona il furto di identità degli utenti.
Le statistiche globali descrivono una continua crescita del problema della perdita di credenziali personali: il numero di consumatori che riportano danni associati a frodi collegate ai propri account è infatti in costante crescita. La Federal Trade Commission USA riporta un numero di notifiche da parte di cittadini americani che hanno subito queste frodi passato da 86mila nel 2001 a oltre 650mila nel 2019 (Consumer Sentilel Network Data Book, FTC, Gennaio 2020).
(Figura: Numero di Frodi, Furti d’Identità, altre notifiche per anno. FTC, gennaio 2020)
Si stima che il furto di identità digitale contribuisca ad almeno l’80% delle perdite da frodi con carte di credito. Di recente la Commissione Europea ha intervistato 27mila persone per capire come avrebbero reagito in caso di furto della loro identità digitale: è emerso che in media il 70% degli europei sarebbero pronti a rivolgersi alle forze dell’ordine una volta accortisi di aver subito un furto online di credenziali personali, e che i più pronti a rivolgersi alla Polizia sono gli Svedesi (92%).
L’Agenzia europea Enisa riporta infine (nel report “Identity theft, From January 2019 to April 2020”) che la crescita nei furti di identità digitali si riflette in gran parte nell’andamento dei data breach, che nel 2019 sono stati pari a 3.800 casi resi pubblici, con 4,1 miliardi di record esposti, in aumento del 54% rispetto al 2018.
Come stanno evolvendo i sistemi di identificazione delle persone
Il tema della diffusione di Identità digitale nella popolazione è oggi molto sentito: questo “passaporto per operare online” sta diventando un elemento abilitante fondamentale della diffusione dell’Economia digitale e della crescita economica delle Nazioni, e gioca oggi un ruolo di primo piano nel favorire l’inclusione, accrescere la partecipazione politica e sociale, ridurre l’ineguaglianza e il “digital divide”, migliorare la trasparenza nel rapporto tra istituzioni e cittadini.
Il tema è però diventato come garantire sistemi di Identità digitale che siano nel contempo sicuri, a basso costo, semplici da utilizzare e unitari per un gran numero di diversi utilizzi. UserId e Password sono secondo molti un sistema di autenticazione superato, oltre che un’arma in mano agli hacker per realizzare furti d’identità e attacchi mirati.
Tra i trend che si osservano oggi maggiormente con riferimento ai sistemi di identificazione digitale, siano essi pubblici o privati, pensati per un singolo servizio (es. il conto corrente online) o per una serie di servizi (SPID, per accedere a tutti i servizi della PA italiana), possiamo sinteticamente indicare il ricorso ai seguenti aspetti:
- Maggiore domanda di sicurezza e privacy: dopo il noto caso di Cambridge Analytica del 2018, molte persone hanno sviluppato una consapevolezza maggiore del tracciamento che avviene online sulle proprie abitudini, e hanno cominciato a propendere per sistemi di identificazione che abbiano una base legale, comprendano aspetti di sicurezza e un privacy-by-design che permetta al singolo utente di conoscere in ogni momento l’uso che viene fatto dei propri dati, e poter esprimere un consenso. Questo favorisce gli schemi di identità digitale con origine nazionale.
- Esigenze di autenticazione a livello locale: la crescita delle smart cities; di comunità locali in cui i diversi individui si trovano a interagire tra loro e hanno bisogno di identità sicure per connettersi; la stessa comunicazione tra molteplici oggetti connessi che avranno anch’essi bisogno di sistemi di riconoscimento certificati; tutto questo richiede un rinnovato impegno da parte delle autorità pubbliche, che dovranno garantire, con regole certe, fondate su un trust condiviso e con opportune misure di sicurezza e privacy, le relazioni che si andranno a formare nel nuovo mondo virtuale.
- Mobile First: la gestione delle identità sta sempre più spesso passando attraverso App mobile. Vediamo ad esempio come il passaggio a soluzioni di autenticazione multifattore (MFA) passino attraverso codici trasmessi da App con l’ausilio di sistemi di identificazione della persona basati sul possesso di credenziali o sulla verifica di elementi biometrici.
- Autenticazione biometrica: attraverso uno score probabilistico, le tecniche biometriche effettuano scan di tratti fisici personali (impronte, retina, lineamenti, timbro vocale ecc.) e stabiliscono se si tratta della stessa persona vista in precedenza. La biometria si sta sempre più affermando, essendo possibile abbinarla all’uso di device mobile, quindi facilmente in possesso della singola persona in ogni momento e luogo.
- Behaviour Analytics: rappresentano un elemento aggiuntivo per effettuare un controllo costante sulla bontà delle transazioni effettuate dai singoli individui.
- Social Login: un trend che ha visto un’esplosione negli ultimi anni è stato quello di permettere agli utenti di utilizzare i loro account social (Facebook, Twitter, Linkedin, o anche Microsoft, Google) per accedere o registrarsi o un sito. È una pratica che viene “venduta” come metodo di autenticazione più veloce e user friendly (rispetto al classico mettono con email e password), ma nasconde in realtà dei problemi. Si definisce OAuth (standard Open Authorization) e l’autenticazione di fatto è gestita come servizio dal social scelto (tramite quindi API del singolo social network). Quando si accede al sito, Facebook o Google inviano un token che dice: “Questa persona è chi dice di essere. Procedete pure”. Ma oltre a questo, cosa succede? l’autorizzazione si porterà dietro una serie di informazioni, ossia il sito avrà i dettagli dall’account social (ad esempio, profilo dell’utente, suoi “amici”) e potrà quindi profilare meglio i suoi utenti. La sicurezza di questa pratica dipende quindi dal livello di sicurezza impostato per l’account social. Il caso di Cambridge Analytica era proprio basato su uno scambio di dati “facile” da Facebook all’app presente sul social “Thisisyourdigitallife”.
- Interoperabilità tra sistemi di identificazione diversi: il Regolamento europeo eIDAS (European Union’s Electronic Identification and Signature regulation), entrato in vigore nel luglio 2016, rappresenta oggi lo schema per garantire l’interoperabilità dei sistemi di identità digitale nazionale. Al momento l’adozione di Eidas è obbligatoria solo per le Pubbliche Amministrazioni, non per tutti.
- Collaborazione pubblico privato: quello a cui assisteremo sempre di più, sarà una maggiore collaborazione in futuro tra enti pubblici e organizzazioni private, volta a individuare schemi comuni e a realizzare sistemi di identificazione sicuri, semplici da gestire, inclusivi, aperti a tutti ed economici, che facilitino da un lato la crescita dell’economia digitale, dall’altro lato semplifichino la vita delle persone e riducano per la società il peso e i danni legati alle frodi.
Come evolveranno nel prossimo periodo i sistemi di autenticazione e cosa servirebbe per renderli ancora più sicuri ed efficaci? Quali le considerazioni sull’adozione di SPID, il sistema di identità digitale dello Stato italiano, e sulla rete di interoperabilità europea eIDAS?
Abbiamo affrontato questi temi nell’intervista con Antonio Lioy, Professore ordinario di cybersecurity, Politecnico di Torino: “IDENTITÀ DIGITALE, UN IMPERATIVO STRATEGICO PER IL 2021”.
Inoltre avremo una Roundtable dedicata, su “THE NEW IDENTITY. INNOVARE L’APPROCCIO ALL’IDENTITY E ACCESS MANAGEMENT (IAM) PER METTERE IN SICUREZZA UTENTI, PROCESSI E APPLICAZIONI”, il prossimo 9 Marzo 2021, nel corso del CYBERSECURITY SUMMIT 2021, evento annuale di TIG sull’innovazione della cybersecurity.