Piero Todorovich
Superare le vecchie logiche dell’autenticazione grazie ai dispositivi mobili, per fare della gestione delle Identità Digitali una risorsa; rendere più sicure le transazioni elettroniche; abilitare nuovi servizi facili da usare per l’utente.
Questa è la sfida per molte realtà del settore privato e pubblico, oggi alle prese con progetti che riguardano nuovi servizi digitali sempre più spesso fruiti attraverso uno smartphone.
Ne parliamo con Fausto Jori partner di e*finance Consulting Reply.
È un’esperienza comune usare ID e password per accedere a servizi online, ma cosa si intende oggi esattamente per Identità digitale?
L’Identità digitale è ciò che permette al cittadino di farsi riconoscere e quindi interagire con differenti servizi digitali. Purtroppo i siti web non parlano tra loro e demandano la sicurezza all’accortezza degli stessi utenti, chiamati a scegliere password o codici segreti non facilmente individuabili, funzione delle diverse criticità proposte da social networking, e-commerce e sistemi di pagamento.
Demandare all’esperienza della persona comporta rischi di perdita dei dati e di uso fraudolento delle credenziali. L’Identità digitale rappresenta l’individualità nel mondo digitale. È come un passaporto a cui possono aggiungersi differenti attributi – come lo stato coniugale, la professione, l’iscrizione a circoli e tanti altri dati – che è possibile certificare.
Parliamo quindi di identità “più ricche” rispetto a quelle usate in passato. Ma per fare cosa?
Serve per dare supporto alla crescente offerta di servizi sui canali digitali, sia da parte degli operatori esistenti sia di quelli che si aggiungeranno in futuro. Lo sviluppo di servizi – sempre più complessi e a pagamento – dovrà essere accompagnato da più efficaci sistemi d’accesso e profilazione degli utenti. Servizi pensati per la fruizione con dispositivi mobili, quindi senza chiavette o lettori di smart card. L’accesso a servizi a pagamento, certificati anagrafici, cartella clinica e così via renderanno più critico l’aspetto di gestione della privacy, mentre cresceranno le occasioni per fare pagamenti online. Il pagamento diventerà un “momento trasversale” dell’esperienza utente, dovrà essere facilitato e gestito in modo più coerente con la gestione dell’identificazione.
Quali sono gli approcci più efficaci nella gestione delle Identità?
Hanno senso approcci globali, anche se oggi si riscontrano molte differenze tra Paesi latini e anglosassoni. In “Paesi giovani”, come l’Estonia, è stato creato un sistema nazionale che presenta un’adesione altissima (80% dei cittadini) creando le basi per un’Identità digitale unica, sfruttabile per i pagamenti delle tasse come per l’e-commerce e i servizi privati.
Le Identità vengono oggi gestite in tre modalità. La prima, meno desiderabile, è “a silos”: ad ogni servizio (banca, e-commerce, ecc.) corrisponde un’identità indipendente. La seconda, prevede un gestore unico dell’identità, in grado di imporsi come standard comune ai differenti servizi. La terza, infine, prevede la convivenza dei diversi gestori attraverso sistemi che parlano tra loro e quindi permettono l’interoperabilità. L’ultima modalità è quella verso la quale ci si sta oggi orientando, mediante la creazione di standard tecnici e di sicurezza in comune.
Avere a livello nazionale un ente che normi l’interoperabilità tra gestori di identità che forniscano l’identità digitale per accedere servizi essenziali come la sanità o le tasse, sarebbe un fattore decisivo per ottenere risultati soddisfacenti. Questa condizione ha garantito in Europa il decollo di alcuni progetti nel settore dell’ID ed ha accelerato i tempi d’implementazione. Purtroppo in Italia abbiamo fatto molti errori con la Carta d’Identità Elettronica, mentre sul fronte della Carta sanitaria si è utilizzata una tecnologia obsoleta.
Può darci notizia di esempi virtuosi?
Un progetto interessante è stato varato dal Governo inglese con 25 servizi digitali, tra i quali ci sono la registrazione elettorale, la visione dei punti-patente, le richieste di benefici per le badanti, la prenotazione delle visite ai detenuti. Il Governo ha finanziato la creazione di un framework per la gestione integrata dell’identità digitale, al quale anche i privati possono fare riferimento per loro servizi.
In Italia, l’Agid (Agenzia per l’Italia digitale) ha riconosciuto il tema dell’ID tra i più importanti per la modernizzazione del Paese ed è coinvolta nello SPID, il Sistema Pubblico di Identità Digitale nazionale. I servizi individuati per dare al sistema la necessaria massa critica riguardano il pagamento delle imposte, le certificazioni e la firma. Pensato per la PA centrale e locale, vede anche la partecipazione di società private che hanno, già, propri sistemi di identificazione, come Poste Italiane, CartaSì ed alcune banche. La prospettiva è creare uno standard aperto per l’accesso a siti e-Commerce, social media, news magazine.
Quali saranno i vantaggi?
Il cliente ottiene credenziali associate a un insieme d’informazioni garantite, che può sfruttare in modo sicuro con differenti fornitori di servizi online. Inoltre, chi aderisce al sistema d’identità digitale di uno dei player potrà usare le stesse credenziali per pagare in banca, firmare un contratto o richiedere un certificato in Comune. Sarà quindi più facile e sicura la fruizione dei servizi. A livello di “sistema Paese”, un valido standard permette una riduzione dei furti di credenziali e delle frodi nei pagamenti.
Come si declina questo nell’ambito della Mobile Identity?
Lo sviluppo dei dispositivi mobili rende cruciale metterli al centro delle strategie che riguardano la gestione ID. La “strong authentication” prevede che il riconoscimento debba avvenire con almeno due differenti elementi scelti tra: qualcosa che conosco, come la password, qualcosa che ho, come lo smartphone e qualcosa che sono, come l’impronta del dito. Ciò significa che un dispositivo mobile dotato di un lettore d’impronta o di un software che rilevi un template biometrico del viso può essere utilizzato per un riconoscimento sicuro.
La Mobile identity rappresenta per noi di Reply una grande opportunità di business. Ci sono player che gestiscono le identità di migliaia o anche di milioni di clienti, la digitalizzazione delle quale potrebbe rappresentare un enorme valore per l’offerta di nuovi servizi.
Cosa si può fare in Italia?
Pensiamo ai registri degli iscritti nelle università italiane, ai clienti delle banche, ai contribuenti… I loro ID possono essere usati per nuovi servizi che non riguardano soltanto l’accesso a una mensa o al conto corrente. Il compito che, come Reply, ci siamo posti è di individuare le opportunità maggiori e quindi applicare le nostre competenze per creare sistemi di identificazione e autenticazione sicuri, resistenti alle intrusioni e conformi alle prescrizioni di legge. Sono molti gli aspetti su cui c’è da lavorare. Per sviluppare servizi a valore serve aggiungere nuovi attributi ai dati di base.
Un esempio è il riconoscimento ai fini dell’antiriciclaggio. Se la banca ha già esaminato e certificato un soggetto come “non a rischio” per le pratiche di riciclaggio, questo dato ha un valore commerciale per l’Istituto. Reso accessibile anche a terzi, eviterebbe al cliente di dover certificare il suo stato per ogni altro ente con cui viene a contatto. Insomma c’è lo spazio per fare cose importanti.
