Ulteriori speculazioni su autenticazione e credenziali di accesso: codice fiscale e fotografie di documenti

Posted on Nov 13, 2020

Ho l’impressione che alcune società ed enti trattino il codice fiscale (che in Italia identifica univocamente un cittadino) come se fosse un “segreto” che solo il titolare può conoscere; questo non è lo scopo per cui il codice fiscale esiste ed è un grave errore che mi costringe alla ridicola posizione di considerare il mio codice fiscale come riservato.

Finora non ho incontrato una società che garantisca qualche accesso previa esibizione del solo codice fiscale, però, per esempio, alcune utility* energetiche garantiscono la registrazione e l’accesso ai servizi telematici accettando come credenziali il codice fiscale e il codice di fornitura associato al contratto. Un po’ poco: chiunque riesca a intercettare una fattura, possiede tutti i dati necessari a registrarsi sul sito, spacciandosi per il destinatario, e richiedere modifiche del contratto e quant’altro.

Il fatto che sia possibile richiedere la consegna della fattura per via telematica non salva dal pericolo: alcune società spediscono (spedivano?) al cliente email con un url da cui è possibile scaricare la fattura senza eseguire un accesso autenticato all’area riservata del sito; l’email è spedita in chiaro, senza cifratura del contenuto, perciò è facilmente intercettabile da tutte le società che partecipano all’infrastruttura di Internet (per esempio: il modem router che ho in casa potrebbe intercettare tutto).

In sè, il codice fiscale è tutt’altro che segreto:

e cosí via. È chiaro che se sono costretto a fornire il codice fiscale a tutti: non possa mantenerlo segreto.

Un altro grosso, simile problema è la consegna di fotografie della carta d’identità e della tessera sanitaria/regionale che riporta il codice fiscale. Alcuni fornitori di servizi di hosting e alcune banche che offrono servizi telematici, permettono la registrazione dei clienti previa spedizione di queste fotografie (mi sembra che non tutte le banche chiedano un bonifico bancario di identificazione, anche perché: se uno non ha ancora un conto corrente…); è chiaro che solo io possiedo le tessere originali, ma se ne scatto delle fotografie e le spedisco a una società: la società stessa ora le possiede e può spedirle a sua volta per stipulare contratti a mio nome. Il possesso delle fotografie non è equivalente alla titolarità dei documenti. Perchè dovrei fidarmi dei dipendenti di queste società?

Una soluzione a molti di questi problemi sarebbe la firma digitale, che però è di uso difficile da diffondere e non sempre a buon mercato; inoltre, sarebbe una soluzione solo se fosse l’unico modo autenticarsi per la stipulazione di contratti.

Piú facilmente, sarebbe utile un’estensione del protocollo di autenticazione spid (magari con limiti di accesso alle informazioni) che permettesse ai cittadini di autenticare la titolarità del codice fiscale, anche nei contratti con società che non sono pubbliche amministrazioni. spid non sarebbe utilizzato per l’accesso telematico ai servizi (login), ma solo per l’autenticazione iniziale dei dati forniti. Non sarebbe una soluzione esente da problemi: sia il fornitore di spid che lo Stato potrebbero tracciare l’attività privata (non solo economica) dei cittadini.

Però quale sarebbe l’alternativa? Continuare a usare il possesso di una sim telefonica come meccanismo di autenticazione? L’uso della sim telefonica per questo scopo fornisce gli stessi servizi dello spid, senza le garanzie di sicurezza dello spid.