Mediterranews

Dal token allo SPID: l’autenticazione sicura

Il mondo della tecnologia, nato per facilitare attività e operazioni agli utenti di tutto il mondo, con l’aumento dei servizi e delle attività telematiche ha dovuto implementare le misure di sicurezza in relazione ai dati personali e bancari, oltre che quelle connesse alle transazioni monetarie.

Foto di Pixabay: https://www.pexels.com/it-it/foto/codice-sorgente-270408/

La questione delle password, in questo scenario, è fondamentale: siti e portali tendono a richiedere parole d’ordine sempre più complesse e diverse per gli accessi da sito a sito, contenenti spesso maiuscole, caratteri alfanumerici o speciali, ma anche numeri, e spesso di lunghezza adeguata per essere contraddistinte come “forti”. Ne consegue che l’immissione di password diverse e magari aggiornate con frequenza diventa poco agevole per gli utenti che ogni volta devono ricordarsi il codice segreto. Dall’altro lato le imprese del web non possono rinunciare alla tutela degli utenti, ma anche alla correttezza dei dati, specialmente quando questi sono necessari a una qualsiasi compravendita.

In questo contesto di doppie necessità incrociate, si sono via via affermate tecnologie passwordless per l’autenticazione, che risultano semplici agli utenti, da un lato, mentre dall’altro garantiscono una completa e totale sicurezza.

Secondo un report di Ponemon Institute, infatti, almeno il 57 per cento dei naviganti non ama gestire le password, e preferirebbe utilizzare tecnologie sicure ma senza codice per autenticarsi online e registrarsi ai servizi digitali. Non solo: la reimpostazione delle password – qualora dimenticate – arriva a coprire anche il 60 per cento dei tempi di lavoro delle aziende. 

L’autenticazione a due fattori

Se esistono dei Password Manager per gestire le numerose password che un utente crea per accedere a siti e servizi, vero è che il problema del phishing e del furto di identità resta di primaria importanza e urgenza.

Per questo motivo, col tempo, si è delineato uno scenario che vede l’utilizzo sempre più massiccio dei sistemi di autenticazione a due fattori. In cosa consistono, nello specifico, i 2FA o MFA, acronimi di Two-Factor Authentication e Multi Factor Authentication? Si tratta di un accesso che prevede l’uso di uno di questi quattro fattori, in maniera combinata: una password di cui solo chi naviga è a conoscenza, un token bancario o un altro strumento in possesso esclusivo dell’utente, dati biometrici come scansioni di iride, pupilla, impronta digitale, posizione geografica degli utenti rilevata dai siti, come ad esempio le banche.

L’uso di questi sistemi, sebbene non sia ancora implementato da molte delle aziende italiane consente una impenetrabilità dei dati di accesso, soprattutto quando si utilizzano i servizi finanziari o bancari, ma anche i social network, gli account e-mail, le VPN e i siti aziendali, in qualità di dipendenti. I token software, in particolare, funzionano con l’invio di codici OTP temporanei simili a quelli che vengono inoltrati via SMS oppure via mail, per entrare in un sito o per reimpostare le password: i token di questo genere garantiscono però un livello di protezione in più. 

Autenticarsi con lo SPID 

Da quando in Italia è stato introdotto lo SPID, l’autenticazione ai servizi di enti pubblici e aziende private ha visto un passo in avanti verso la sicurezza, la protezione dei dati personali, e la correttezza delle informazioni. Lo SPID, noto come Sistema Pubblico di Identità digitale, è stato attivato da 32,2 milioni di italiani, con una crescita del 30 per cento rispetto al 2021. Il servizio è stato utilizzato in media 25 volte all’anno e si prevede una crescita ulteriore per il prossimo futuro, visto che sono stati rinnovati per ulteriori due anni i contratti tra Agid, Agenzia per l’Italia Digitale, e Identity Provider dello SPID.

Ma quali sono i servizi a cui si può accedere con l’identità digitale? Innanzi tutto, si può entrare nei siti Inail e Inps, visualizzare il cassetto fiscale sul portale dell’Agenzia delle Entrate, attivare la firma digitale e la Carta del Docente. Alcune università e atenei permettono inoltre di entrare nei portali di segreteria online tramite SPID, ma anche aziende private come banche e istituti di credito usano questa metodologia, in piena sicurezza. Di recente, nell’ambito del gioco legale, si sono inoltre muniti di questa forma di autenticazione i casinò online con SPID quale mezzo per registrarsi, accertando la maggiore età ed evitando errori manuali e lungaggini nella compilazione delle form. Non mancano, tra gli operatori che accettano e supportano lo SPID, piattaforme di servizi quali trading online e compravendita di criptovalute. Questi ultimi comparti, per loro natura, richiedono misure certe rispetto alla sicurezza dell’utente: lo SPID in questo senso è una garanzia perché le procedure di attivazione passano dal riconoscimento della reale identità del soggetto. 

L’identità digitale è ormai una conquista che non prevede passi indietro, ma soltanto una maggiore diffusione: ne è un esempio la nuova CIE, attualmente in possesso di 35 milioni di italiani. Per mezzo del doppio sistema di riconoscimento, via QR code e OTP, la carta, svincolata da ogni supporto fisico, consentirà di entrare via app all’interno di servizi di pubblica utilità. Si potranno fare domande per i concorsi pubblici, cambiare residenza, dichiarare i redditi. 

Per ora usata parallelamente allo SPID, i due sistemi, nelle previsioni degli analisti, potrebbero in un prossimo futuro anche fondersi in un unico wallet multiservizio e, soprattutto, a prova di cybersecurity.

Exit mobile version