Il dibattito sulla sicurezza dell’identità digitale si concentra quasi sempre sul furto delle credenziali: password sottratte, phishing, malware, accessi non autorizzati, compromissione dell’account SPID già in uso dal cittadino. Tutto corretto, naturalmente. Ma forse stiamo guardando solo una parte del problema.
Esiste uno scenario più sottile e, per certi versi, più insidioso: non rubare l’identità digitale esistente di una persona, ma crearne una nuova, parallela, formalmente valida, intestata alla stessa persona e controllata da un soggetto diverso dal reale titolare.
Potremmo chiamarlo Digital Identity Shadowing: la creazione di un’identità digitale “ombra”, perfettamente spendibile nei processi fiduciari, ma invisibile o comunque non immediatamente percepibile dal cittadino che ne subisce l’abuso.
Il punto non è demonizzare SPID. Sarebbe una lettura superficiale e tecnicamente scorretta. SPID è un’infrastruttura fondamentale della trasformazione digitale italiana e ha abilitato milioni di cittadini all’accesso ai servizi pubblici e privati online. Il problema non è lo strumento in sé, ma la governance complessiva della fiducia digitale, soprattutto quando più processi indipendenti vengono concatenati tra loro.
Un cittadino può avere più identità SPID, anche presso gestori diversi. Questa non è una vulnerabilità, ma una caratteristica del modello federato. La criticità nasce quando questa molteplicità non è accompagnata da una visibilità altrettanto forte, semplice e centralizzata per il cittadino.
Se una nuova identità digitale viene rilasciata su un codice fiscale già associato ad altre identità, il legittimo titolare dovrebbe poterlo sapere in modo certo, tempestivo e tramite canali indipendenti da quelli dichiarati nella nuova registrazione.
Perché proprio qui sta il punto
Se un criminale riuscisse a superare fraudolentemente il processo di riconoscimento presso un identity provider, potrebbe teoricamente creare una nuova identità digitale intestata alla vittima utilizzando indirizzi email e numeri telefonici sotto il proprio controllo.
A quel punto, il cittadino potrebbe non ricevere alcuna comunicazione sui propri canali abituali. Non verrebbe necessariamente avvisato sullo SPID già in uso. Non avrebbe necessariamente una vista immediata e unica di tutte le identità digitali attive a suo nome.
Cambia completamente la prospettiva di sicurezza
Ed è proprio questo aspetto che cambia completamente la prospettiva.
Non siamo più nel campo del semplice furto di credenziali. Siamo davanti alla possibilità di generare una nuova radice fiduciaria, formalmente valida, da usare per interagire con servizi pubblici e privati. L’attaccante non si limita a impersonare la vittima dentro un account già esistente. Crea una nuova proiezione digitale della vittima, riconosciuta dal sistema come autentica.
La pericolosità emerge davvero quando questa identità-ombra viene inserita in una catena di processi legittimi.
Immaginiamo uno scenario concreto. Un’identità digitale parallela viene utilizzata per accedere a un servizio pubblico online e produrre una denuncia o segnalazione di smarrimento della SIM. Quella documentazione viene poi presentata a un operatore telefonico per richiedere una SIM sostitutiva o una eSIM.
Una volta ottenuto il controllo del numero, l’attaccante può intercettare SMS OTP, codici di recupero, notifiche o procedure di riassociazione utilizzate ancora da servizi bancari e piattaforme digitali.
Ogni singolo passaggio, preso isolatamente, può apparire legittimo
La Pubblica Amministrazione si fida dell’identità digitale. L’operatore telefonico si fida della denuncia. La banca si fida del numero di telefono. Il criminale non attacca necessariamente un singolo controllo tecnico: sfrutta la fiducia accumulata tra sistemi diversi.
Questa è la parte più scomoda del problema. La sicurezza non si rompe sempre nel punto tecnicamente più debole. A volte si rompe nel punto in cui ogni soggetto presume che qualcun altro, prima di lui, abbia già svolto un controllo sufficiente.
Il SIM swap, in questa lettura, non è più solo un problema telefonico. Diventa un effetto collaterale di una governance identitaria incompleta. Lo stesso vale per l’eSIM: tecnologia comoda, efficiente, coerente con l’evoluzione dei servizi digitali, ma ad alto impatto se inserita in un processo di sostituzione non adeguatamente presidiato.
Una eSIM sostitutiva richiesta dopo una denuncia di smarrimento dovrebbe essere trattata come evento ad alto rischio, non come semplice operazione amministrativa.
Lo stesso ragionamento vale per il mondo bancario. Finché l’SMS resta un fattore di autenticazione, un canale di recupero o un elemento centrale nei processi di riattivazione, il numero telefonico continua a essere un asset critico.
Non basta dire che la banca applica la Strong Customer Authentication. Bisogna chiedersi quanto quel modello sia resistente quando il fattore “possesso del numero” viene compromesso a monte.
Servono controlli architetturali e di governance
La creazione di una nuova identità digitale su un codice fiscale già presente dovrebbe generare un alert indipendente verso il cittadino, usando canali già noti alla Pubblica Amministrazione: app IO, domicilio digitale, PEC, CIE ID o altri strumenti istituzionali consolidati.
Non basta notificare l’email o il cellulare indicati durante la nuova registrazione, perché se quei canali sono controllati dall’attaccante l’avviso diventa parte del problema, non della soluzione.
Servirebbe, inoltre, un cruscotto unico nazionale, chiaro e accessibile, dove ogni cittadino possa vedere quali identità digitali risultano attive a proprio nome, presso quali gestori, quando sono state create e quando sono state utilizzate. Non per curiosità amministrativa, ma per controllo sovrano della propria identità digitale.
Gli operatori telefonici dovrebbero trattare sostituzione SIM, eSIM e smarrimento come eventi a rischio elevato, soprattutto quando la richiesta avviene a ridosso dell’emissione di una nuova identità digitale o tramite canali remoti.
Le banche dovrebbero correlare cambio SIM, nuovo dispositivo, reset credenziali, nuovo beneficiario e aumento dei limiti dispositivi. Se più segnali anomali si presentano nello stesso arco temporale, l’operazione non dovrebbe procedere in modo ordinario.
Il Digital Identity Shadowing mette in evidenza una frattura culturale prima ancora che tecnologica: continuiamo a progettare processi digitali per dominio, mentre gli attaccanti ragionano per catene.
La PA vede l’autenticazione. L’operatore vede la sostituzione SIM. La banca vede il dispositivo o il numero. L’attaccante vede l’intero percorso.
Per questo il tema merita attenzione. Non perché SPID sia “insicuro”, non perché l’eSIM sia “pericolosa”, non perché la denuncia online sia un errore. Tutti questi strumenti sono utili e necessari. Ma la fiducia digitale, quando attraversa più settori, deve essere governata come un sistema unico.
La domanda non è più soltanto: “qualcuno può rubarmi lo SPID?”. La domanda più scomoda è: “qualcuno può creare un’identità digitale a mio nome senza che io lo sappia?”.
Fino a quando questa possibilità non sarà affrontata con piena visibilità, notifiche indipendenti, controlli antifrode coordinati e responsabilità chiare tra gli attori coinvolti, continueremo ad avere un punto cieco nell’identità digitale nazionale.
Un’identità digitale non dovrebbe mai avere un’ombra.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Sandro Sana
Source link
