Il governo Estone ha deciso di bloccare i certificati di oltre 760.000 carte d’identità elettroniche per un rischio di sicurezza informatica. Nonostante questo, l’Italia ha molto da apprendere sul futuro digitale della sua PA
Il governo Estone ha deciso di bloccare i certificati di oltre 760.000 carte d’identità elettroniche a partire dalla mezzanotte del 3 novembre.
Per il Paese europeo più digitale dell’Unione, e probabilmente del mondo, attualmente anche alla presidenza del semestre Europeo, può sembrare un duro colpo, ma così non è.
e-Estonia
L’Estonia (ne abbiamo già parlato ampiamente qui), 1.3 milioni d’abitanti, e 24.000 e-resident da 137 Paesi. Cosa vuol dire? Vuol dire che l’Estonia conferisce un servizio di cittadinanza digitale che, una volta ottenuta, dà la possibilità di aprire un’impresa online in sole 3 ore dalla compilazione dei documenti alla loro approvazione. Tutto online e ad oggi sono 3.200 le aziende così costituite. In Estonia infatti solamente 3 servizi pubblici, a fronte dei 2500 erogati digitalmente, necessitano della presenza fisica della persona: il matrimonio, il divorzio e l’acquisto di un immobile. Più che ragionovole vien da pensare.
Ma allora, se anche l’Estonia è in pericolo, vuol dire che non siamo troppo diversi da loro dopo il caso del voto elettronico in Lombardia? No, anzi.
Cosa è successo
Il governo a partire dalla notte del 3 novembre, non riconoscerà più come validi i certificati di sicurezza delle carte d’identità elettroniche. Il motivo è che i chip di queste carte, prodotte da un’azienda Svizzera, non possono più garantire la loro sicurezza e ciò potrebbe comportare furti d’identità e fughe di dati personali, in special modo quelli sensibili come i sanitari, che metterebbero a rischio i cittadini estoni.
Anche se non risultano ancora furti d’identità, secondo le forze dell’ordine la minaccia si è fatta concreta e per questo il primo ministro Jüri Ratas ha preso la decisione di bloccare i certificati per evitare rischi.
Estonia will block the certificates of 760 000 ID cards as of the evening of 3 November https://t.co/gb1y15K2lP pic.twitter.com/qbiKctx9zF
— Estonian Government (@EstonianGovt) November 3, 2017
Come si è comportato il governo estone nella gestione di questa “crisi”
Lo abbiamo chiesto a Pierluigi Paganini, Chief Technology Officer presso CSE Cybsec e Membro ENISA ETL Group.
Il governo estone ha operato al meglio, in casi come questo è necessaria la revoca dei certificati emessi al fine di evitare abusi. Per i non addetti ai lavori, ogni certificato è associato all’identità di un singolo individuo. La falla in oggetto, denominata ROCA e scoperta di recente, consentirebbe ad un attaccante di recuperare la chiave privata associata al certificato consentendo di fatto all’attaccante di assumere l’identità della vittima.
Il Governo ha quindi dapprima revocato i certificati per poi riemettere nuove carte non affette dalla falla. L’immediata revoca consente al Governo di evitare che i propri cittadini siano vittime di furto d’identità. Va detto che il governo non è responsabile in alcun modo della falla che ricordo essere presente in una moltitudine di altre carte con chip utilizzate da organizzazioni nei più disparati settori in tutto il mondo.
Molto semplice dunque e soprattutto una soluzione subito disponibile: per i cittadini estoni sarà sufficiente aggiornare il certificato di sicurezza. Questo potrà essere fatto online o presso gli uffici di Polizia e della Guardia di Frontiera. La precedenza negli uffici sarà data nel weekend a coloro che usano la carta per lavoro come dipendenti pubblici, medici, dipendenti del ministero di Giustizia.
Comunque il problema non sussiste per le carte emesse prima del 16 ottobre 2014 o per le nuove prive del difetto di sicurezza.
Cosa può imparare l’Italia dall’Estonia
Tralasciando che l’Estonia è attiva sulle politiche digitali dal 2002, l’Italia può imparare molto dall’esperienza Estone. Il governo estone ha infatti sottolineato quanto sia fondamentale che la fiducia sull’uso di queste tecnologie non sia minata.
È un dato di fatto che qualsiasi software possa avere delle falle, essendo programmato dall’uomo che per natura è fallibile. Ogni software contiene infatti un disclaimer secondo cui l’utente accetta di usarlo “così com’è”, con tutti i suoi possibili difetti. Ciò è dovuto al fatto che nessuno ne può garantire l’infallibilità.
Accettato questo, resta fondamentale vigilare sulla presenza di eventuali difetti e attacchi informatici. Una volta accertato il pericolo, è necessario prendere le opportune precauzioni. Nel caso queste debbano essere drastiche visto il pericolo da scongiurare, come privare i cittadini di uno strumento fondamentale come la carta d’identità elettronica, allora bisogna essere in grado di fornire una soluzione tempestiva. Nel caso estone dando la priorità e l’assistenza necessaria a chi lavora con quello strumento, anche se si tratta del weekend.
Per fare un esempio non lontano nel tempo, il giorno del voto elettronico in Lombardia, l’help desk che avrebbe dovuto assistere chi aveva riscontrato problemi con i tablet è risultato irraggiungibile tutto il weekend.
La digitalizzazione dell’Estonia ha dato al Paese un vantaggio competitivo in termini di attrattività, grazie alle e-residency, e ha portato a un risparmio di tempo e carta per ogni pratica pari a 5 giorni lavorativi e una pila di documenti alta come la Tour Eiffel. La strada è lunga per la nostra PA ma ci sono buoni esempi da cui prendere ispirazione.