Sicurezza e internet: in arrivo la carta d’identità virtuale?

In Attualità

Il mio campo di studi è la sicurezza informatica. Penso, quindi, di parlare con cognizione di causa maggiore rispetto al politico medio in cerca della sparata facile per raccattare qualche voto.

C’è chi, semplicisticamente – e forse fermo all’epoca del DOS – propone di chiedere il codice fiscale in fase di iscrizione ai social; mentre chi propone addirittura una “carta d’identità virtuale“.

Ritengo che sia abbastanza infattibile e vi spiegherò qui come mai.

Piccola spiegazione del problema

Il problema da risolvere è: legare a un account social, o a più di uno dove ciò è ammesso, una persona fisica.

Sembra facile, ma non lo è. Infatti il metodo di identificazione dev’essere sia sicuro sia semplice da usare.

Identificare una persona non è facile, tant’è che oggi il miglior modo, in quanto a sicurezza, per aver la ragionevole certezza di avere la chiave pubblica di una persona è incontrarla di persona, magari con carta d’identità a portata di mano se serve una certezza in più.

Sia chiaro, quando non si tratta della conservazione o fruizione di dati sensibili è possibile, e più semplice, verificare una specifica identità su internet stesso, magari sul sito della persona in esame. Ma qui stiamo parlando di una questione di pubblica sicurezza, non di un uso tradizionale dei social.

Il metodo dev’essere anche economico: Porre troppi obblighi ai fornitori di servizio, alla lunga, rischia di rendere il mercato debole e più in preda ai monopoli.

Nel settore bancario online, dove questa pratica – denominata KYC – è ritenuta molto importante, soprattutto nel campo delle crittovalute, ha comportato aggravi di spesa e di tempo non indifferenti.

Perché i mezzi classici non vanno bene

Qualcuno dice basti usare la Carta d’identità. Eppure ci sono principalmente tre problemi:

  • Una CdI, specialmente cartacea, è semplice da falsificare con mezzi comuni come Photoshop
  • Non sempre ad una CdI corrisponde una persona fisica: chi di noi non ha in casa, come ricordo, i documenti di un parente deceduto?
  • È abbastanza semplice, con un po’ di ingegneria sociale, ottenere CdI italiane.

Inoltre bisogna anche capire come vogliamo strutturare questa verifica: Dev’essere un file blindato al quale accedono le forze dell’ordine in caso di necessità o dev’essere verificato?

Nel primo caso sarebbe abbastanza deludente trovarsi la carta d’identità di Paolino Paperino per un investigatore, nel secondo chi si prende l’onere di fare le verifiche?

Certo, si potrebbe fare un identificativo unico in stile SPID. O usare direttamente quello.

Ma lo SPID è nazionale italiano. Dite che chi deve diffondere fake news facendo bei soldini avrà difficoltà ad assumere uno scagnozzo per aprire l’account in Svizzera e fregarsene di questa legge o, direttamente, usare una VPN e usare Facebook da un Paese senza verifiche? È, tra l’altro, infattibile pensare ad un controllo internazionale per il semplice fatto che esistono Stati dove non è presente il concetto stesso di Carta d’identità; ciò non nel terzo mondo: nel Regno Unito.

Certo, la sezione Trasparenza di Facebook segnalerebbe l’anomalia, ma chi segue pagine di fake news difficilmente lo noterà.

E qui arriviamo alla conclusione fondamentale.

Cos’è l’identità su internet?

Queste misure andrebbero a rendere difficile la vita all’utente quadratico medio che apre Facebook e scopre di doversi procurare lo SPID in posta, non di certo al professionista delle fake news.

Ciò deriva da un’errata interpretazione del concetto di identità, come se fosse corrispondente con la Carta di Identità.

Ma nessuno di noi, nella vita, gira con i dati personali stampati in faccia, però lascia dei segni. E questi segni sono, nel mondo informatico, cose come l’IP o il fingerprint del browser.

Se avete un account classico, ma su falso nome, e fate qualcosa di grave – ad esempio minacciare di morte o istigazione al suicidio -, vi trovate la polizia a casa dopo poco. Perché, anche se vi chiamate Ciccio Formaggio, l’IP riconduce a voi o, al massimo, al vostro operatore che sa grosso modo cosa fate.

E nel caso ciò sia reato, vi sequestrano il PC. Lo analizzano, molto probabilmente trovano tracce, come possono essere file di cache o il fingerprint del browser, e agiscono di conseguenza.

Se, invece, volete nascondervi agendo dall’Italia comperate una VPN italiana, vi accedete tramite TOR e mettete una Carta d’identità trovata da qualche parte. Se servisse lo SPID semplicemente prendete la VPN all’estero, e lo SPID non esiste più.

E quando la Polizia andrà dai gestori della VPN a chiedere informazioni su di voi apparirà che avete pagato con una carta virtuale della Corea del Sud, o magari in Monero, da un IP del Turkmenistan e che avete commesso il reato con un IP del Lussemburgo con un computer assolutamente anonimo con un fingerprint inconcludente.

Per carità, se sono davvero bravi o hanno già sospetti su di voi riescono a trovarvi, ma diventa molto più difficile.

Una norma del genere, però, avrebbe ampio potenziale per perseguire delitti in stile lesa maestà computi in anonimato, per i quali Stati più liberali non rilasciano informazioni. Con l’identificazione obbligatoria diventa ben più semplice per il politico identificare il “Mario Rossi” che gli risponde piccato per fargli avere grane giuridiche. Ricordate che in Italia, esistendo l’obbligatorietà dell’azione penale, è relativamente facile farlo.

Può avere senso limitatamente?

Limitando l’idea a determinate categorie può aver senso. Se, ad esempio, volessimo certificare chi gestisce pagine politiche con più di un tot di diffusione la cosa diverrebbe ben più semplice e risponderebbe anche alle esigenze di vari social network in materia. Ma ciò deve avvenire anche in un’ottica di maggiore sicurezza dell’account: Chi ha un account con una pagina di tale valore dovrebbe essere molto più al sicuro in termini si autenticazione rispetto all’account del gestore del gruppo di cucina.

Recent Posts
Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.

Not readable? Change text. captcha txt

Inizia a scrivere e premi Enter per cercare