Sicurezza e fiducia (digitale) per abilitare il business
A cura di Danilo Cattaneo
Ogni business si basa sulla fiducia: i clienti si fidano del fornitore, i dipendenti si fidano del proprio datore di lavoro, l’imprenditore si fida che ci sarà una competition equa, o che comunque il sistema sarà in grado di individuare e correggere i comportamenti non corretti.
In una economia sempre più digitale, basata sulla gestione di dati e informazioni, in qualsiasi settore tradizionale o innovativo che sia, la fiducia può essere messa a dura prova da attacchi, incidenti, data breach, furti di identità, arrivando seriamente a compromettere l’immagine delle organizzazioni, la loro operatività, il vantaggio competitivo e l’efficacia di business.
Ecco perché per le organizzazioni pubbliche e private una strategia efficace di cybersecurity e di utilizzo dei servizi digitali avanzati contribuisce a costruire e mantenere la fiducia alla base del business, al contempo garantendo una governance efficace dei rischi e della compliance.
In questa strategia, un ruolo molto importante è ricoperto dagli strumenti di digital trust: le firme elettroniche, l’identità digitale, le comunicazioni certificate, l’archiviazione elettronica dei documenti offrono alle organizzazioni strumenti per costruire e governare il proprio trustworthy digital life-cycle dell’informazione digitale, nel quale in ogni fase sono garantite sicurezza, integrità, accountability e, se necessario, la corretta allocazione delle responsabilità tra tutte le parti coinvolte interne ed esterne.
Per fare qualche esempio, l’entrata in relazione con la nuova clientela, il cosiddetto onboarding, è reso più sicuro grazie a strumenti e tecnologie di identità digitale, che abilita la riduzione dei tassi di frode di identità. La diffusione sempre crescente di identità affidabili come SPID e CIE in Italia, che in futuro convergeranno nel Wallet Europeo di identità digitale (EUDI), crea un asset fondamentale che le organizzazioni possono sfruttare per rendere veloce, facile ed economico riconoscere da remoto un prospect o un dipendente. L’ingresso in questi ecosistemi di identità è favorito dalla presenza sul mercato di soggetti aggregatori, come quelli previsti da AgID nella federazione SPID, che svolgono il ruolo di proxy per omogeneizzare e semplificare l’integrazione e l’utilizzo della identità digitale, mantenendo un forte presidio sulle dimensioni di compliance e di sicurezza.
Le soluzioni di identity verification entrano invece in gioco in tutti quei i casi in cui il soggetto non è già in possesso di una identità digitale, ma deve essere identificato. In questo momento le soluzioni best of breed sono di tipo hybrid unattended: si tratta di processi non presenziati, in quanto non richiedono la compresenza della persona e di un operatore durante il processo di verifica dell’identità, e si basano su un estensivo utilizzo di tecnologie AI. Questi processi, regolamentati dal technical standard ETSI 119 461, richiedono un processo di raccolta delle foto del documento di identità da dispositivo mobile al fine di ottenere evidenze con una buona risoluzione. Una volta raccolta foto del documento, la soluzione ne valida le caratteristiche di sicurezza grazie a tecnologie di document anti-tampering, estraendo e validando le informazioni rilevanti per l’identificazione come il numero del documento, la data di validità, il tempo di validità standard per quel tipo di documento, altre caratteristiche specifiche.
È in seguito necessario eseguire il binding, ovvero la sua associazione con la persona che l’ha presentato: entrano pertanto in gioco tecnologie di liveness detection e di biometria facciale, per garantire che la persona che sta presentando il documento sia reale (e non, ad esempio, una immagine artificiale) e che le caratteristiche del volto della persona siano compatibili con quelle della foto estratta dal documento validato.
Dove necessario, il tutto viene ulteriormente verificato da un operatore in back-office, appositamente formato, che mette in campo ulteriori controlli per validare, oppure rigettare, l’identità della persona.
Ora, è evidente come sia l’uso della identità digitale preesistente sia i processi di verifica dell’identità implicano un gran numero di controlli e verifiche e di come questi processi lascino “tracce” digitali che sono vere e proprie evidenze probatorie, che li rendono processi molto più sicuri degli equivalenti analogici e del riconoscimento in presenza, dove spesso si ha solo la fotocopia di un documento magari falso e quanto ricorda un operatore di sportello.
Una volta identificato il cliente in maniera certa, viene naturale ricorrere agli strumenti di firma elettronica, quando vi è l’esigenza di sottoscrivere dei documenti, che con la firma anche se elettronici diventano immutabili. Tra questi la firma elettronica qualificata è certamente la soluzione più sicura e che garantisce la maggiore sicurezza grazie all’impiego di soluzioni PKI e tecnologie crittografiche, peraltro che stanno evolvendo verso algoritmi quantum-proof, e grazie alla presenza dei Prestatori di Servizi Fiduciari Qualificati (QTSP), soggetti a un complesso sistema di controlli, garanzie, auditing e governance tra i più robusti al mondo.
Le stesse tecnologie sono alla base di un particolare tipo di firma elettronica, la validazione temporale, che consente di dare certezza al momento in cui è avvenuta una transazione, fondamentale in contesti ad alto valore.
Nell’interazione con l’esterno dell’azienda, le soluzioni di eDelivery ricoprono un ruolo fondamentale per mantenere trust e sicurezza nello scambio di documenti, dati e informazioni. In Italia la soluzione più utilizzata è certamente la PEC, che infatti si fonda sulle stesse tecnologie crittografiche su cui si basa la firma qualificata. La Posta Elettronica Certificata sta per evolvere nella direzione di una ancora maggiore certezza, grazie alla trasformazione in REM – Registered eMail Qualificata: con l’evoluzione della normativa ogni casella sarà associata univocamente a una identità certa, e sarà necessaria la strong customer authentication per accedervi in scrittura e lettura. Il tutto in un framework europeo di interoperabilità che consentirà anche di poter interagire con altri sistemi di delivery basati sugli stessi standard.
Inoltre, alcuni servizi di PEC presenti oggi sul mercato integrano anche una serie di feature di sicurezza aggiuntive rispetto a quelle richieste dalla normativa: prodotti come phishing protection, password protection, security premium forniscono garanzie di protezione da frodi, furti di dati, attacchi informatici.
Per lo scambio documentale sicuro è anche possibile utilizzare sistemi di eDelivery di tipo “store and notify”: questo tipo di sistema prevede che il mittente depositi presso il TSP documenti o dati indicandone il destinatario. Questi è poi notificato dal TSP così che, accedendo allo spazio riservato, possa entrare in contatto con il contenuto digitale. Tutte le azioni sono tracciate ed è anche possibile procedere alla identificazione del mittente a vari livelli di sicurezza, a garanzia della effettiva consegna di quanto inviato al corretto soggetto.
Nel digital transaction lifecycle per quanto descritto possiamo garantire sicurezza dalla creazione del documento, la sua gestione, la sua spedizione individuando i livelli di garanzia e trust più adeguati al contesto.
L’ultima fase del ciclo di vita è infine la sua archiviazione digitale: non è sufficiente lo storage dei dati e dei documenti in un disco o nel cloud, ma è necessario applicare processi e usare soluzioni che garantiscano il mantenimento non solo dell’integrità, dell’immutabilità e della disponibilità dei dati, ma anche della loro leggibilità. Sono soluzioni in cui il l’Italia ha una grande esperienza, e che stanno diventando anche uno standard a livello europeo grazie all’evoluzione del Regolamento eIDAS 2, che vede l’archiviazione diventare un servizio fiduciario, anche qualificato. Le soluzioni di ePreservation garantiscono non solo il mantenimento nel tempo del contenuto digitale, ma anche la sua distruzione sicura alla scadenza del suo retention period, consentendo pertanto il rispetto delle normative sul trattamento dei dati.
Le soluzioni di digital trust pertanto sono oramai strumenti fondamentali in una corretta governance aziendale delle informazioni. Sono soluzioni in cui l’Europa, e soprattutto l’Italia, ha una leadership consolidata e che sempre di più stanno diventando building blocks fondamentali su cui fondare modelli di business e vantaggi competitivi.