Il+portafoglio+digitale+UE+e+le+relative+implicazioni+su+sicurezza+e+privacy
cryptohackit
/il-portafoglio-digitale-ue-e-le-relative-implicazioni-su-sicurezza-e-privacy/amp/
Cyber Security

Il portafoglio digitale UE e le relative implicazioni su sicurezza e privacy

Come parte della sua iniziativa per digitalizzare servizi pubblici e privati e favorire la fiducia, la Commissione europea sta promuovendo l’adozione del portafoglio europeo di identità digitale (portafoglio EUDI). Ciò comporterà che, entro la fine del 2023, ogni Stato membro dell’UE offrirà gradualmente ai propri cittadini, residenti e imprese un portafoglio basato su dispositivi mobili per l’identificazione e l’autenticazione online.

Immagine | Envato Elements

Il Portfoglio UE tra impegni e preoccupazioni

La proposta della Commissione europea mira a rafforzare il controllo degli utenti sui propri dati, in linea con la strategia 2020 “Shaping Europe’s digital future”. Si riconosce che, offrire ai cittadini piena fiducia nel quadro europeo per l’identità digitale, richiede un elevato livello di sicurezza, compresa l’emissione di portafogli EUDI. Vi è l’impegno a rispettare la legislazione sulla protezione dei dati, incluso il GDPR. La relazione che accompagna la proposta evidenzia la complementarità con la nuova legge sulla cybersicurezza e i suoi sistemi comuni di certificazione.

Il dibattito ha sollevato preoccupazioni sulla protezione dei dati riguardanti l’uso del portafoglio. 

Nelle sue osservazioni formali sulla proposta del 28 luglio 2021, il Garante Europeo della Protezione dei Dati ha sollevato preoccupazioni riguardo alla sufficiente efficacia delle salvaguardie specifiche, affermando che ciò dipende principalmente dalla tecnologia utilizzata per implementare la proposta.

Le modifiche esaminate per proteggere la privacy e i dati degli utenti nell’utilizzo del portafoglio EUDI, possono essere suddivise in quattro gruppi principali. Il primo riguarda la minimizzazione e la divulgazione selettiva dei dati degli utenti, tramite la riduzione dell’impronta digitale, l’introduzione della cronologia delle transazioni e la “prova a conoscenza zero”. Inoltre, gli utenti dovrebbero avere la possibilità di gestire le proprie credenziali e attributi identificativi e utilizzarle per l’identificazione online e offline. Il secondo gruppo si concentra sulla protezione dei dati e sulla privacy, utilizzando il principio della privacy by design come caratteristica standard del portafoglio EUDI. Questo gruppo include emendamenti che rendono tecnologicamente impossibile per gli emittenti dei wallet e dell’attestazione elettronica degli attributi, nonché per i facenti affidamento sulla certificazione, di ricevere qualsiasi informazione sull’uso del Wallet o dei suoi attributi senza il consenso degli utenti. Il terzo gruppo riguarda la sicurezza del portafoglio EUDI, includendo disposizioni per prevenire gli attacchi informatici e garantire la sicurezza dei dati dell’utente. Infine, il quarto gruppo propone l’uso di una “prova a conoscenza zero” per la verifica dell’età dei minori.

Abbinamento di credenziali fisiche e digitali

Oggi è fondamentale essere in grado di dimostrare la propria identità non solo con credenziali fisiche come carte d’identità, tessere sanitarie e patenti di guida, ma anche online. In questo contesto, il Mobile ID rappresenta un’ottima soluzione per autenticare l’identità digitale, ma è essenziale stabilire un ponte tra il mondo digitale e quello fisico. A tale scopo, il portafoglio Digital ID offre ai cittadini una piattaforma affidabile in grado di mantenere in modo sicuro le loro credenziali digitali e fisiche.

Il portafoglio europeo Digital ID consente di unire il mondo fisico e digitale, garantendo agli utenti il completo controllo dei propri dati e aprendo interessanti possibilità per nuove iniziative di identificazione incentrate sull’utente. Ciò non solo consente un accesso rapido ai servizi, proteggendo al contempo le informazioni personali, ma permette anche ad agenzie governative e fornitori di assistenza sanitaria di sviluppare servizi personalizzati per i cittadini. In sintesi, il Digital ID Wallet rappresenta uno strumento importante per migliorare la sicurezza e la convenienza nella gestione dei dati personali.

Ambito di applicazione e quadro dell’EUDI

Le specifiche dell’app wallet sono dettagliate nel documento “The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework”. Tale Toolbox, adottato dal gruppo di esperti eIDAS nel gennaio 2023, comprende l’architettura europea del portafoglio di identità digitale e il quadro di riferimento (ARF). Anche se attualmente non obbligatorio, è destinato a essere sostituito dal regolamento quadro europeo sull’identità digitale, il quale sarà invece obbligatorio.

Il portafoglio EUDI fa parte della proposta eIDAS 2.0, che consente agli utenti di archiviare in modo sicuro e accedere ai loro dati identificativi derivati dalle eID nazionali all’interno di un’app. Gli utenti hanno il pieno controllo sui propri dati, e questo include attestazioni di attributi come passaporti elettronici, patenti di guida, diplomi universitari e informazioni personali come cartelle cliniche o dettagli bancari. Inoltre, il portafoglio consente di accedere a una vasta gamma di servizi pubblici e privati online, e di firmare documenti con firme e sigilli elettronici qualificati (QES).

L’interfaccia e i relativi requisiti per la funzionalità della patente di guida conforme ISO su dispositivi mobili sono descritti nello standard internazionale ISO/IEC 18013-5, che apre la strada alla patente di guida mobile (mDL) come futuro della licenza e della prova di identità. Inoltre, lo standard ISO/IEC 23220-1 appena pubblicato, descrive gli elementi costitutivi delle infrastrutture del sistema eID mobile, standardizzando le interfacce e i servizi per le app di documenti mobili (mdoc) e le applicazioni di verifica mobile su scala internazionale.

Il portafoglio digitale richiede un nuovo approccio per garantire l’accesso logico e la protezione dei dati sensibili rispetto ai dispositivi non connessi, come le carte d’identità elettroniche o i passaporti elettronici. Attualmente, la norma tecnica principale, utilizzata per proteggere questi dati, è la norma ICAO 9303, come previsto dal regolamento (UE) 2019/1157. Durante l’ispezione dei documenti eID, viene utilizzato il protocollo Basic Access Control per accedere ai dati del chip. Il protocollo richiede una prova di possesso, in cui l’ispettore legge i dati in una zona leggibile dalla macchina (MRZ) per derivare una chiave simmetrica 3DES che permette di accedere ai dati del chip eID tramite l’interfaccia NFC (ICAO 9303, parte 11). Tuttavia, per il portafoglio digitale, è necessario un cambiamento fondamentale in questo approccio, poiché si tratta di un dispositivo connesso.

La sicurezza della App EUDI wallet

Il passaggio da dispositivi non connessi a dispositivi mobili crea sfide significative in termini di sicurezza. Si riscontra un modello di minaccia complesso e un aumento dei vettori di attacco a causa del cambiamento del fattore di forma, dell’aumento delle funzionalità e dell’ecosistema ampliato. Il portafoglio EUDI deve garantire un livello adeguato di protezione contro i malware installati da utenti ingenui e gli attacchi professionali o dedicati su piattaforme emulate o rootate. Inoltre, potrebbe essere attaccato il canale di comunicazione tra l’app del portafoglio EUDI e i servizi di back-end o il back-end stesso.

Gli attacchi alle vulnerabilità presenti nell’ecosistema possono causare gravi conseguenze per l’identità digitale, come ad esempio la creazione di identità false o l’emissione di false dichiarazioni. Queste minacce includono il furto di identità, dove un utente malintenzionato potrebbe imitare la vittima clonando l’app o raccogliendo dati locali, e la perdita di dati, che rappresenta una violazione diretta del GDPR, quando si ha un accesso non autorizzato ai dati dei cittadini. Inoltre, il furto di identità potrebbe anche consentire a un utente malintenzionato di accedere a servizi online sensibili in modo fraudolento.

La protezione adeguata di un’applicazione mobile è un’impresa complessa, come dimostrato dalle 152 misure di sicurezza raccomandate in 13 aree diverse nel tool Smartphone Guidelines pubblicato dall’Agenzia dell’Unione europea per la cybersicurezza (ENISA).

L’emissione del portafoglio EUDI è di competenza di ogni Stato membro, tuttavia, il portafoglio deve essere utilizzabile in tutti gli Stati membri. Secondo la proposta di modifica del regolamento eIDAS, l’emittente del portafoglio EUDI può essere lo Stato membro stesso, direttamente o tramite un mandato, oppure una parte indipendente riconosciuta da uno Stato membro. Qualunque sia la scelta dell’emittente, l’emissione di un portafoglio EUDI comporta una grande responsabilità e un elevato rischio reputazionale sia per l’emittente che per lo Stato membro. In caso di violazione o compromissione del portafoglio EUDI, lo Stato membro che segnala la violazione sospende immediatamente l’emissione e revoca la validità del portafoglio europeo per l’identità digitale. L’informazione deve essere condivisa con gli altri Stati membri e la Commissione.

Situazioni ipotetiche come le seguenti potrebbero suscitare un grande interesse mediatico:

  • Se i terroristi riuscissero ad accedere al portafoglio di identità belga e presentare documenti di viaggio falsificati all’aeroporto Charles de Gaulle per entrare nell’UE.
  • Se un ministro svedese presentasse un diploma contraffatto utilizzando il suo portafoglio EUDI durante il processo di due diligence prima della sua nomina ufficiale.
  • Se una vulnerabilità di sicurezza all’interno di un tipo di portafoglio EUDI venisse sfruttata da un utente malintenzionato sconosciuto, con conseguente perdita di dati sensibili per 3 milioni di cittadini danesi.
  • Se gli hacktivisti sfruttassero il portafoglio spagnolo EUDI per ottenere indebitamente prestazioni sanitarie sociali per 3000 migranti.
Immagine | Envato Elements

Non basta un SDK per garantire la sicurezza

La Commissione europea prevede di rilasciare un kit di sviluppo software open source (SDK) per il portafoglio EUDI, al fine di promuovere l’uso del portafoglio e garantire l’interoperabilità. Tuttavia, la responsabilità della sicurezza del portafoglio rimane a carico dell’emittente e del paese che lo ha emesso, poiché la sicurezza è una questione critica e complessa che richiede l’implementazione di misure adeguate a prevenire e gestire le minacce informatiche.

Il portafoglio EUDI adotterà diverse funzionalità di sicurezza, come la crittografia incorporata e l’interfacciamento con un Trusted Execution Environment (TEE) e un Secure Element (SE) nativo, ma l’SDK open source non sarà sufficiente per mitigare tutti i rischi di sicurezza, come il reverse engineering, né garantirà dispositivi e API sufficientemente sicuri. Pertanto, gli emittenti di portafogli EUDI dovranno implementare ulteriori misure di sicurezza nell’app e sottoporsi a test di penetrazione per ottenere la certificazione. Il ricorso ad ulteriori librerie di sicurezza e l’adozione di un approccio di difesa evolutivo, potranno aiutare ad affrontare le minacce relative al portafoglio EUDI, difendendolo nell’ampio panorama di minacce dell’ecosistema mobile.

Marco Marra

Appassionato di tecnologia ed esperto di Cyber Security con molti anni di esperienza nella prevenzione e gestione delle minacce cibernetiche. Altamente qualificato grazie alla continua formazione tecnica ed alle innumerevoli collaborazioni su progetti di sicurezza di importanti dimensioni in aziende italiane e multinazionali. Costantemente impegnato in attività di hacking etico e nella progettazione di sistemi di difesa Cyber Fisici

Recent Posts

La classifica dei lavori che più sentiranno l’impatto dell’intelligenza artificiale

Uno studio dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) stima che circa il…

18 ore ago

Coca Cola, i nuovi spot di Natale creati con l’IA non sono piaciuti a tutti

Critiche per lo spot natalizio 2024 di Coca-Cola, realizzato interamente con intelligenza artificiale: innovazione o…

3 giorni ago

ChatGPT, Copilot o Gemini, le differenze e quale scegliere

Scopri le differenze tra ChatGPT, Gemini e Microsoft Copilot: caratteristiche, funzionalità e consigli per scegliere…

3 giorni ago

La frase choc di Gemini, l’intelligenza artificiale a un utente: “Sei un peso, muori”

L'azienda ha subito commentato quella che può sembrare una vera istigazione al suicidio. Si tratta…

3 giorni ago

DeFi, cosa si intende per finanza decentralizzata e come funziona

La DeFi permette di effettuare transazioni direttamente tra utenti, prestare o prendere in prestito denaro,…

4 giorni ago

Mike Tyson torna sul ring per sfidare lo youtuber Jake Paul e ChatGPT ha previsto chi vincerà

L'esperimento di Fanpage.it sull'attesissimo incontro che andrà in onda questa notte su Netflix L’attesa è…

7 giorni ago