Con il termine “identità digitale” si fa riferimento a un insieme di risorse digitali univocamente associate a una persona fisica. Essa può essere concepita come una collezione di documenti archiviati in un sistema elettronico che riguardano una specifica persona. L’identità digitale è principalmente utilizzata per accedere a servizi digitali, che possono essere di natura statale, medica o di intrattenimento, oltre che per firmare documenti in forma digitale.
L’obiettivo fondamentale di un’identità digitale è garantire a una persona, organizzazione o sistema dall’altra parte di un servizio digitale che l’identità di una persona reale corrisponde effettivamente a chi dichiara di possedere tale identità digitale. È importante sottolineare che questa garanzia di corrispondenza non richiede necessariamente il rilascio integrale dell’intera identità della persona fisica.
È evidente che esistono numerosi standard e linee guida che specificano come ottenere tale garanzia. Tali documenti, spesso concepiti per essere pubblicamente revisionabili e studiabili, facilitano l’intero processo di creazione, utilizzo ed eventuale distruzione delle identità digitali, incrementando in modo particolare l’interoperabilità dei sistemi. In effetti, un’azienda che desideri offrire un nuovo servizio digitale, e necessiti di garantire la veridicità dei suoi utenti, può adottare uno standard e semplificare l’accesso ai suoi servizi per coloro che dispongono già di un’identità digitale supportata da tale standard.
Esaminiamo ora le entità coinvolte in un modello di infrastruttura digitale che supporta l’identità digitale.
Le entità coinvolte nell’ecosistema dell’identità digitale
Tra le entità fondamentali nell’utilizzo dell’identità digitale vi sono le persone comuni e fisiche, considerate utenti in cerca di un determinato servizio. Oltre a questi utenti, vi sono tipicamente il fornitore di servizi di credenziali, gli erogatori di documenti e i fornitori di servizi generali.
- I fornitori di servizi di credenziali (da ora denominati fornitori di credenziali per semplificare) sono aziende o organizzazioni che si occupano della creazione iniziale dell’identità digitale di un individuo, gestendone l’iscrizione e registrazione, e fornendo ad altre entità la prova di correlazione tra un individuo registrato e la sua identità digitale.
- Gli erogatori di documenti sono aziende o organizzazioni che aggiungono documenti all’insieme di quelli digitali associati all’identità digitale di un individuo.
- I fornitori di servizi generali sono aziende o organizzazioni che offrono uno o più servizi all’individuo correlato a un’identità digitale.
Per comprendere meglio come queste entità possano interagire, è utile considerare un caso pratico di utilizzo dell’identità digitale.
Un caso pratico di utilizzo dell’identità digitale
Si consideri il caso di una persona che, per motivi lavorativi, è frequentemente impegnata in viaggi tra Roma e New York e necessita di noleggiare un’automobile. Questa persona scopre un’applicazione che consente di archiviare sia biglietti aerei che patente di guida, simile ad Apple Wallet o Google Wallet, e in grado di funzionare sia in Europa che negli Stati Uniti.
In preparazione per un viaggio, l’utente si registra all’applicazione, dimostrando la propria identità mediante la carta d’identità e una fotografia recente. Successivamente, aggiunge il biglietto aereo e la patente nell’applicazione. Al momento del check-in in aeroporto, presenta il biglietto salvato sull’applicazione, e successivamente, per ritirare il veicolo noleggiato, mostra la patente di guida tramite l’app.
Data la semplicità dell’esperienza utente, essa potrebbe apparire apparentemente fluida. Tuttavia, il procedimento sottostante è più complesso. L’iscrizione a un fornitore di credenziali richiede un attento processo di verifica. Il fornitore deve proteggere i documenti dell’utente e garantire l’invio sicuro di prove della correlazione tra l’utente e l’identità digitale. Gli erogatori di documenti possono includere siti web delle compagnie aeree e delle scuole guida, mentre i fornitori di servizi generali gestiscono il controllo dei documenti al gate e al noleggio dell’autovettura.
Considerando il ruolo delle varie entità, è fondamentale analizzare i rischi connessi ai servizi di identità digitale.
Attacchi ai fornitori di credenziali e mitigazioni
Durante l’iscrizione a un fornitore di servizi di credenziali, un attaccante potrebbe tentare vari tipi di attacchi, quali l’impersonificazione, la falsificazione di documenti digitali e la compromissione del fornitore stesso.
Nel caso dell’impersonificazione, l’attaccante cerca di farsi riconoscere come una persona reale per accedere ai servizi di credenziali. Per mitigare tale rischio, i fornitori devono effettuare verifiche approfondite sull’identità dell’individuo, ad esempio attraverso l’analisi biometrica.
In merito alla falsificazione, è necessario implementare meccanismi di verifica affidabili per garantire l’autenticità dei documenti. È altrettanto cruciale garantire la confidenzialità e l’integrità dei dati durante la trasmissione, utilizzando algoritmi di crittografia adeguati.
Infine, per prevenire la compromissione dei fornitori di credenziali, è fondamentale stabilire un corretto sistema di autenticazione e garantire la disponibilità dei servizi, evitando attacchi che possano bloccare l’accesso degli utenti.
Minacce alle credenziali dell’identità digitale
Le credenziali devono essere protette sia nel fornitore di credenziali che durante il loro trasferimento. Queste credenziali comprendono componenti come nome utente e password, e possono includere ulteriori misure di sicurezza come i codici OTP e l’autenticazione a più fattori.
Attacchi come l’eavesdropping, il phishing e il social engineering rappresentano minacce reali al recupero non autorizzato delle credenziali. Le aziende devono educare gli utenti su questi rischi e installare misure di sicurezza appropriate.
Pertanto, le buone pratiche di sicurezza e la consapevolezza degli utenti rivestono un ruolo cruciale nella protezione delle identità digitali.
Gli standard europei: EUDI-ARF ed eIDAS 2.0
EUDI-ARF, acronimo di “EUropean Digital Identity – Architecture and Reference Framework”, fornisce raccomandazioni per l’implementazione del Regolamento Europeo sull’Identità Digitale, delineando l’architettura dell’ecosistema del portafoglio di identità digitale dei cittadini europei.
Il Regolamento eIDAS 2.0 definisce i requisiti per l’identificazione elettronica e i servizi fiduciari, facilitando la creazione di servizi internazionali e aumentando l’usabilità degli strumenti digitali.
Gli standard statunitensi: NIST SP 800-63, W3C-VC e W3C-DID
Negli Stati Uniti, l’assenza di una legislazione federale equivalente all’EUDI-ARF è compensata da normative fornite dal National Institute of Standards and Technology (NIST), includendo linee guida per l’identità digitale. Gli standard W3C-DID stabiliscono le specifiche necessarie per gestire le identità digitali in modo sicuro e interoperabile.
Il futuro dell’identità digitale
L’identità digitale possiede il potenziale di semplificare notevolmente l’accesso a documenti e servizi digitali a livello globale. L’ecosistema che la sostiene è complesso e richiede attenzione ai vari attacchi potenziali e alle mitigazioni necessarie.
Fortunatamente, standard come EUDI-ARF e W3C-DID forniscono strumenti essenziali per garantire la sicurezza e l’interoperabilità delle identità digitali, rimanendo aggiornati rispetto ai rapidi cambiamenti tecnologici inclusi l’intelligenza artificiale e la crittografia post-quantistica.
