I tre fattori di autenticazione: le chiavi per l’accesso ai servizi online

Il processo di autenticazione digitale

Ogni volta che un cittadino vuole usufruire di un servizio online gli viene innanzitutto chiesto di farsi riconoscere univocamente tramite un processo chiamato “autenticazione digitale”.

L’autenticazione digitale rappresenta quindi l’insieme di azioni e informazioni finalizzate a verificare che chi accede a un particolare servizio online sia davvero la persona che dichiara di essere.

Se volessimo fare un parallelismo con il modo reale, il processo di autenticazione avviene quando un cittadino entra in un ufficio comunale e il funzionario gli chiede di mostrare il suo documento d’identità per riconoscerlo univocamente.

Perché l’autenticazione digitale è un processo fondamentale

In un mondo in cui sempre più pratiche, documenti e dati personali vengono gestiti via Internet, è fondamentale avere certezza che solo il vero titolare possa accedere alle proprie informazioni.

Si tratta quindi di una questione di sicurezza: è facile immaginare a cosa succederebbe se un malintenzionato scoprisse le nostre credenziali e le usasse per accedere al nostro conto corrente sfruttando la nostra identità digitale.

I fattori di autenticazione e le categorie

Per garantire l’identità di un cittadino, il processo di autenticazione digitale si basa sui cosiddetti “fattori di autenticazione“, cioè elementi che servono a provare che la persona che accede a un servizio online è realmente chi dichiara di essere.

I fattori di autenticazione sono riconducibili a tre categorie:

• basati sulla conoscenza (“qualcosa che so“), cioè una informazione che il soggetto conosce, come una password o un codice PIN
• basati sul possesso (“qualcosa che ho“), cioè qualcosa che il soggetto possiede, come uno smartphone o una smart-card
• intrinsechi (“qualcosa che sono“), cioè basati su una caratteristica fisica di una persona fisica, come l’impronta o il riconoscimento facciale.

L’idea alla base è semplice: più fattori di autenticazione sono utilizzati per accedere a un servizio online più il livello di sicurezza è elevato. Comprensibilmente, per un potenziale malintenzionato diventa difficile “rubarci” contemporaneamente la nostra password, il nostro smartphone e la nostra impronta!

Le tipologie di autenticazione

Possiamo individuare tre tipologie di autenticazione, in funzione del numero di fattori utilizzati:

• l’autenticazione a un fattore: prevede l’utilizzo di un solo fattore ed è il caso, ad esempio, dell’accesso a una casella di posta elettronica inserendo solo la password (“qualcosa che so“)
• l‘autenticazione a due fattori (2FA – Two-Factor Authentication): prevede l’utilizzo di due fattori di autenticazione ed è il caso, ad esempio, dell’accesso ai sistemi di online banking inserendo prima la password (“qualcosa che so“) e poi il codice temporaneo generato da un’app sullo smartphone (“qualcosa che ho“)
• l’autenticazione a più fattori (MFA – Multi-Factor Authentication): prevede tre o più fattori di autenticazione (include quindi la 2FA) ed è il caso dell’accesso a un sistema tramite l’utilizzo di password (“qualcosa che so“), di un codice temporaneo generato da un’app sullo smartphone (“qualcosa che ho“) e l’utilizzo dell’impronta digitale (“qualcosa che sono“).

I tre livelli di garanzia

L’articolo 8 del Regolamento eIDAS (Regolamento (UE) 23/07/2014, n. 910/2014), pilastro giuridico del sistema europeo di identificazione elettronica, definisce tre livelli di garanzia del processo di autenticazione digitale – basso, sostanziale e elevato – in funzione dell’effettiva capacità del processo di autenticazione digitale di assicurare che la persona che accede a un servizio online sia effettivamente quella dichiarata.

Nel dettaglio, il Regolamento (UE) 08/09/20215, n. 2015/1502 stabilisce che il livello elevato si realizza solo quando:

• il processo di autenticazione digitale si basa almeno due fattori di autenticazione appartenenti a categorie differenti
• il mezzo di autenticazione è concepito in modo che si possa presupporre che sia utilizzato esclusivamente dalla persona a cui appartiene o sotto il suo controllo
• il mezzo di autenticazione è protetto contro la duplicazione e la manomissione, nonché contro gli aggressori di un potenziale attacco informatico
• il mezzo di autenticazione è concepito in modo da poter essere protetto in modo affidabile dalla persona a cui appartiene per evitare che venga utilizzato da altri utenti.

In coerenza con le linee guida emesse dall’Agenzia dell’Unione europea per la cybersicurezza (ENISA) e con gli standard ETSI EN 319 401 e 319 411, il livello di garanzia elevato non richiede necessariamente l’impiego di fattori biometrici, potendo essere raggiunto attraverso l’uso combinato di fattori di conoscenza e possesso di dispositivi sicuri, nonché da da meccanismi crittografici qualificati¹.

Le identità digitali SPID e CIE

Come si inquadrano i processi di autenticazione tramite SPID e CIE, che siamo abituati a utilizzare per accedere ai servizi pubblici online?

Nel caso di SPID sono stati definiti tre livelli di autenticazione, che la Commissione europea ha riconosciuto essere corrispondenti ai tre livelli di garanzia²:

• SPID livello 1, che corrisponde al livello basso, consente l’accesso tramite l’autenticazione a un fattore (inserimento della sola password)
• SPID livello 2, che corrisponde al livello sostanziale, consente l’accesso tramite l’autenticazione a più fattori (inserimento della password e ottenimento di un codice OTP sullo smartphone)
• SPID livello 3, che corrisponde al livello elevato, consente l’accesso tramite l’autenticazione a più fattori (inserimento della password e possesso di uno supporto fisico particolare che gestisce delle chiavi crittografiche – smartcard o dispositivo per la firma digitale remota).

Anche la CIE prevede un processo di autenticazione digitale a più fattori (la carta fisica dotata di microchip crittografico e il PIN personale), ed è stata riconosciuta dalla Commissione europea come processo di autenticazione digitale a livello di garanzia elevato³.

—

1. Per “meccanismi crittografici qualificati” si intendono tutti i sistemi di sicurezza informatica in grado di crittografare i dati personali impedendo a chiunque di copiarli o manipolarli. ↩︎
2. Regimi di identificazione elettronica notificati a norma dell’articolo 9, paragrafo 1, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno ↩︎
3. Regimi di identificazione elettronica notificati a norma dell’articolo 9, paragrafo 1, del regolamento (UE) n. 910/2014 del Parlamento europeo e del Consiglio in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno ↩︎