Non smetterò mai di ringraziare Dino Bortolotto di cui sono amico e, di fatto, anche socio (sulla parola, ma con uno come lui vale più la parola che un contratto) per avermi fatto chiarezza sulle reali finalità dello SPID che altro non sono che di creare un’altra, nuova e inutile rendita di posizione a favore dei soggetti che, guarda caso, sono tra i principali finanziatori dello Startup Show Business ovvero: Telecom (si veda Startupitalia, Digital Champion, Wcap etc), Infocert (si veda Camere di Commercio, Fiera dei Makers, Luna, fratello di Luna etc), Poste (Roma startup, Digital Magics, Postecrowd).

Dino è presidente di Assoprovider, ovvero, di migliaia di piccoli ISP italiani che sono riusciti a sopravvivere solo grazie ai servizi ad alto valore aggiunto che offrono ai loro clienti. Imprenditori self made. Ex startupper, si potrebbe dire, startupper della prima ora come Paolo Barberis, ora consigliere dell’innovazione del nostro Premier, che proprio come ISP cominciò a Firenze la sua fortuna come imprenditore. Anche noi di Inferentia lo eravamo, lo erano tutti gli attori dell’internet degli esordi. Lo eravamo per necessità in quanto il big player dell’epoca (forse si chiamava ancora SIP) faceva soldi con altro (trasmissione voce analogica… i telefoni in casa delle vecchiette) e consideravano Internet una seccatura, roba gratis. E sai come sono stati soprannominati, dai papaveri di AGID, questi imprenditori che tanto assomigliano agli attuali startupper ? Eroi? Pionieri? Risorsa?…

“I KEBABBARI DI INTERNET”

Sti cialtroni e ignoranti, mica si rendono conto che questi “kebbabari” sono un tessuto di competenze unico e altamente qualificato che andrebbe protetto e rafforzato. A cui dovrebbe essere data la possibilità di usare la loro inventiva per colmare il digital divide che tanto ci squalifica e ostacola. Invece cosa fanno quelli di AGID? Li prendono per i fondelli.

250 milioni di euro l’anno ci costa il baraccone di AGID e quelli si permettono di prendere per i fondelli i nostri PIONIERI, quelli grazie ai quali Internet ha mossi i primi passi in Italia?  VERGOGNA! Tappeti rossi dovrebbero mettergli! Leggi ad hoc dovrebbero emanare! Invece, li prendono per il culo e con loro prendono per il culo tutti gli startupper italiani perché questo è il trattamento che la politica riserva a chi fa impresa in Italia senza avere appoggi politici. Ci tocca di essere presi per il culo magari sotto forma di storytelling, di championship o altre minchiate simili.

Qualcuno pensa che io ce l’abbia con Riccardo Luna e con lo Startup Show Business per ragioni personali, per antipatia, frustrazione o delusione. Non è vero! Io, semplicemente, ho la pessima abitudine di voler vedere cosa succede dietro alla quinte di ogni spettacolo e scoprire i trucchi di scena. Riccardo Luna e tutte le sue comparse nascondono ad occhi indiscreti come i miei e quelli di Dino Bortolotto le reali intenzioni dei nostri politici che sono tutt’altro che orientati a CAMBIARE TUTTO ma, come sempre, ad ACCENTRARE TUTTI I PRIVILEGI in mano di pochi. Riccardo Luna e tutti i giornalisti che riempiono paginate e schermate di parole sull’innovazione dovrebbero avere il coraggio di guardare anche loro dietro le quinte dello spettacolino e raccontare cosa vi si nasconde. Invece SILENZIO! Silenzio di tomba altrimenti da chi si fanno pagare la pubblicità? Da chi i gettoni di presenza?… Non gli pagano più il gettone di presenza ai convegni, poverini. Anzi non li invitano proprio più se solo si azzardano a fare il loro lavoro bene…

Cazzo! Giornalisti dell’innovazione e politici se proprio non volete studiare la tecnologia almeno andate a vedervi qualche buon film al cinema!! Lo avete visto beatifull mind? Andatevelo a vedere che così imparate qualcosa riguardo le leggi di mercato e come evitare che si creino monopoli o rendite di posizione. E se nemmeno volete andare al cinema almeno leggetevi il mio S-post sul tema che ha anche un bel titolo intrigante :”chiù pilu per tutti”…

FINE DELLA MIA INTRODUZIONE

A SEGUIRE LA SPIEGAZIONE DI COSA C’E’ DIETRO LO SPID

a cura di Dino Bortolotto (un Uomo, un Mito)

Lo SPID (Sistema Pubblico di Identità Digitale) è un servizio che, nelle intenzioni dichiarate dai suoi propugnatori, dovrebbe risolvere agli utenti l’annoso problema costituito dalla proliferazione di credenziali. Infatti, all’attivazione di un nuovo servizio, gli utenti devono custodire e ricordare utente e password relativi a quel servizio, mentre lo SPID è una soluzione che consente, con le medesime username e password (“pin”), di accedere a tutte le applicazioni che aderiscano al sistema.

È indubbio che sia una cosa utile, ma io intendo esplorare se, assieme a questa cosa utile, ci stiano “rifilando”, a nostra insaputa, qualcosa d’altro e per giunta molto pericoloso, non soltanto per la nostra privacy, ma anche per la concorrenza nel mercato dei servizi digitali. Intendo, inoltre, verificare se questo frutto avvelenato sia inevitabile e, cioè, se esista una soluzione facilmente attuabile che ne sia totalmente priva.

Partiamo dal capire quale sarebbe il “frutto avvelenato”: lo SPID che ci propongono/impongono è organizzato in modo centralizzato, e cioè in modo tale che il gestore di identità digitale, che è un soggetto terzo tra il fornitore di servizi digitali e l’utente, debba essere coinvolto in ogni singola autenticazione, con la lampante conseguenza che il gestore di identità digitale conosce, per ogni utente, quali applicazioni usa, quando le usa, consentendo quindi una profilazione ben più pesante di quanto fanno oggi i motori di ricerca e/o le applicazioni social. Vi siete mai chiesti perché Google e Facebook siano cosi generosi da farvi autenticare con le loro credenziali su applicazioni che nulla hanno a che fare con loro? Semplice, state così fornendo altre informazioni relativamente ai vostri utilizzi di servizi digitali e li state aiutando/agevolando a completare la vostra profilazione.

SPID è tecnicamente similare a quanto stanno facendo Google e Facebook e con quanto chiunque, con un minimo di capacità professionale, potrebbe fare, ma con alcune barriere di ingresso che la norma italiana introduce e che non servono per limitare l’accumulo delle informazioni sui comportamenti degli utenti, ma solo per limitare il numero di gestori di identità digitale.

Qualcuno potrebbe pensare che questa sia la sola possibilità tecnologica per realizzare questa semplificazione per l’utente, ma è semplicemente falso: da quando esiste la crittografia asimmetrica (chiave privata/pubblica) e quindi esistono i certificati digitali e le smartcard (la carta nazionale servizi ne è un esempio), in grado di criptare, con una chiave privata custodita nella smartcard ed accessibile mediante pin, una stringa che venga sottoposta, esiste una modalità di verifica dell’identità dell’utente totalmente sicura e che non coinvolge, durante l’autenticazione, nessun soggetto terzo tra fornitore e consumatore di un servizio digitale.

E’ una soluzione molto semplice nella sostanza, anche se non immediata da comprendere per chi non sia pratico di crittografia asimmetrica:

1. a) il fornitore del servizio sottopone all’utente una stringa detta “challenge”;
2. b) tale stringa viene criptata dalla smartcard dell’utente facendo uso della sua chiave privata, custodita nella smartcard, e il risultato della criptazione della stringa “challenge” iniziale viene inviata al fornitore del servizio;
3. c) il fornitore del servizio decritta la stringa ricevuta dall’utente con la chiave, questa volta pubblica, dell’utente e, se la stringa, a valle della decrittazione, è uguale a quella “challenge” inviata al passo a), allora vi è la certezza “matematica” dell’identità dell’utente, al netto di due situazioni:

• la smartcard è stata sottratta all’utente e ne è stato violato il pin di accesso;
• il certificato digitale dell’utente è falso (e questo può accadere solo se la CA – Certification Authority- che lo ha emesso è stata violata).

Come si può notare questa soluzione:

• è priva di un soggetto terzo che accumula dati sulla attività di autenticazione;
• sarebbe stata praticabile da tempo con una qualsiasi delle tante smartcard che le varie PA negli ultimi anni hanno pagato e distribuito (Carta Identità Digitale, Carta Nazionale Servizi, Tessera Sanitaria etc.).

Quindi lo Stato Italiano ha già investito per almeno una decina di anni nella diffusione di smartcard, ma invece di massimizzarne l’uso, attiva ora il servizio SPID, che sembra essere molto più funzionale alla creazione di nuove rendite di posizione per alcuni soggetti privati, piuttosto che per risolvere un problema agli utenti.

A coloro che volessero contestare che l’uso della smartcard è meno semplice di un pin su di una pagina del gestore di identità digitale, faccio sommessamente notare che il pin è una modalità di autenticazione enormemente meno sicura, e che per rispettare i vincoli di “strong authentication” (richiesti da molte applicazioni della PA) anche il gestore di identità digitale dovrà affiancare al solo pin un’altra forme di autenticazione legata a qualche strumento fisico (“two factor authentication”). Quindi non è nemmeno vero che l’introduzione di questo potenziale “guardone” serva a rendere più “user friendly” l’autenticazione.

Molti fornitori di servizi sono abbagliati dalla possibilità di avere immediatamente un parco di utenti senza passare per una fase di registrazione, ma non si rendono conto di essere nella situazione della rana che, messa dentro una pentola con acqua fredda, e la cui temperatura aumenti lentamente, finisce per essere cotta senza che se ne accorga.

Se un fornitore di servizi non avrà grande seguito, ovviamente, non avrà nulla da temere dal gestore di identità, ma quelli che avranno successo potrebbero ritrovarsi come loro concorrente il gestore di identità, e credo sia facile immaginare come potrà essere lo scontro tra il loro servizio e quello replicato dal gestore di identità dei loro utenti, ma quando se ne accorgeranno sarà, ahimè, troppo tardi per rimediare.

Inoltre, anche a voler tacere gli enormi rischi indiretti introdotti da una simile centralizzazione dell’autenticazione, l’aver voluto creare un oligopolio di gestori di identità, come surrettiziamente si sta facendo, fissando regole non sulla capacità tecnica di erogare il servizio, ma con vincoli sul capitale sociale o sulle fidejussioni, deforma irrimediabilmente anche il meccanismo di corretta formazione del costo del servizio di autenticazione. Questo testimoniano alcune interviste rilasciate dai responsabili di alcune delle società di gestori di identità digitale, i quali hanno già candidamente dichiarato che, contrariamente a quanto credono alcuni politici che sostengono il provvedimento, il servizio non potrà essere gratuito e comporterà un costo annuale tra i 5 ed i 10 euro ad utenza. Resta da capire se questo importo sarà a carico degli utenti o se verrà assorbito dallo Stato. Sono pronto a scommettere che alla fine per il bene della Agenda Digitale e quindi della nazione, sarà lo Stato a pagare l’oligopolio dei gestori di identità digitale.

Come non concludere, quindi, con i complimenti per chi ha architettato una così geniale nuova rendita di posizione.