Il caso dell’Estonia e del bug delle CIE: cosa accadrebbe se succedesse in Italia?

Nel 2017 in Estonia un problema al chip della Carta di identità elettronica così come l’hanno pensata lì ha messo a rischio i dati di oltre metà della popolazione del paese. In India un big di sistema ha portato a emergere centinaia di migliaia di numeri Aadhaar (che identificano i cittadini come un’identità digitale). Nel dibattito SPID CIE che si sta tenendo in questi giorni, è impossibile non guardare a casi come questi – che dovrebbero insegnare a tutto il resto del mondo a cosa bisogna prestare massima attenzione – e chiedersi, in particolar modo in riferimento al caso CIE Estonia – cosa succederebbe se capitasse nel nostro paese.

LEGGI ANCHE >>> Quintarelli, inventore dello SPID, sulla migrazione dati nel wallet europeo: «Difficile pensare sia completata entro il 2028»

Cie Estonia: la questione del bug nel 2017

Come riporta un articolo di Engadget di novembre 2017, l’Estonia ha dovuto bloccare le carte di identità dei residenti a causa di una falla di sicurezza che avrebbe potuto portare al furto di identità dei cittadini. Il punto è stato – quando degli esperti hanno individuato la falla nel chip utilizzato per il documento elettronico – che i malintenzionati avrebbero potuto impossessarsi dell’identità di buona parte della popolazione (760 mila persone colpite su una popolazione totale di un milione 317 mila abitanti). In Estonia il documento elettronico già nel 2017 veniva utilizzato per tutto, dall’home banking al voto online.

All’epoca, il paese ha dovuto bloccare per un intero fine settimana l’accesso a tutti i servizi per oltre la metà dei suoi residenti così da poter risolvere la vulnerabilità. Le carte di identità bloccate all’epoca furono quelle emesse da ottobre 2014 a ottobre 2017, congelate fino al momento in cui i possessori dell’identità non avessero chiesto un certificato aggiornato con la correzione. Pur potendolo fare online, il servizio continuava a bloccarsi e il risultato fu che moltissime persone presero d’assalto le stazioni di polizia e altri uffici governativi per ottenere il documento aggiornato.

Cosa è accaduto? A inizio settembre 2017 dei ricercatori hanno individuato i chip difettosi (un problema del produttore di quei chip, che ha colpito i sistemi informatici dei clienti in tutto il mondo). Nonostante non sia stato individuato nessun uso improprio delle carte di identità estoni – come dichiararono le istituzioni – si tratta di un grave episodio che apre a una necessaria riflessione rispetto alla CIE.

«L’Estonia è grande come il Trentino, ci hanno messo poco a rimediare – fa notare Stefano Quintarelli, ideatore dello SPID, in uno scambio di mail con la nostra redazione -. Immaginiamoci un domani, tra otto anni, in Italia 50 milioni di CIE distribuite e la scoperta di un bug di sicurezza nel chip: rimani senza sistema di autenticazione e quanto ci metti a ri-rilasciare 50 milioni di carte di identità elettroniche?». Dall’altro lato – parlando del sistema SPID – Quintarelli sottolinea: «Immagina la scoperta della vulnerabilità di uno dei dieci identity provider con l’app SPID. Quanto ci metti a sistemarla? Ore».

Il buco nella sicurezza del sistema indiano, con migliaia di numeri persi

Un altro caso che vale la pena citare – e che aumenta decisamente il numero di persone coinvolte – è quello relativo alla perdita di centomila numeri Aadhaar in India (si tratta di un codice di dodici cifre che identifica i cittadini indiani e che è correlato a dati biometrici come l’impronta digitale o il riconoscimento facciale). Questi numeri vengono utilizzati per qualsiasi servizio che comporti una verifica dell’identità digitale, dall’iscriversi a servizi statali elettorale, sociali o politici fino a quelli finanziari.

A causare il problema è la conseguente accessibilità ai dati è stato un buco nella sicurezza, come riporta TechCrunch. Non si è trattato del frutto di una violazione diretta del database centrale gestito dall’autorità Aadhaar Unique Identity Authority of India (UIDAI), eppure la vulnerabilità di un sistema che è stato reso accessibile da una falla di sicurezza ha permesso di accedere a tutta una serie di dati di 166 mila lavoratori indiani.

Alla fine, tra il caso dell’India e quello dell’Estonia, è evidente che il rischio che si corre – qualora chip e software non funzionino perfettamente – è potenzialmente alto.