Carta d’identità elettronica: comoda ma occhio al chip

di redazione Blitz
Pubblicato il 30 Novembre 2015 19:56 | Ultimo aggiornamento: 30 Novembre 2015 19:58
Carta d'identità elettronica: comoda ma occhio al chip

Carta d’identità elettronica: comoda ma occhio al chip

ROMA – In Italia la carta d’identità elettronica (Cie) è arrivata da svariati anni, ma non ha mai davvero attecchito. E anche se in molti comuni d’Italia si producono ancora documenti cartacei è bene tenere a mente limiti e criticità del microchip che accettiamo più o meno consapevolmente di portare in tasca. A volte è meglio fare la fila al comune che affidarsi alle nuove tecnologie.

Giancarlo Calzetta su Tom’s Hardware mette in luce le specifiche dei chip NFC che verranno montati sulle future CIE 3.0

Le CIE permetteranno due modalità di riconoscimento: il primo, conosciuto comeidentificazione tramite Numero Identificativo, è a basso livello di sicurezza e servirà solo a identificare il documento stesso; il secondo, invece, è unaidentificazione in rete tramite certificato di autenticazione client e servirà a identificare pienamente il cittadino.

Il primo sistema è pensato per ambienti con poche criticità e, per lo più, dove si preferisce usare  un sistema automatico di prima scrematura invece di uno umano. Il dato viene inviato tramite NFC, senza crittografia né altre protezioni.

L’uso in un parcheggio potrebbe essere un buon esempio: dopo aver parcheggiato l’auto, viene chiesto al conducente di identificarsi per poter rientrare a prendere l’auto. Si appoggia la carta su di un lettore che ne registra il numero identificativo e lo conserva per il tempo necessario. Il beneficio è di tener fuori i potenziali malintenzionati, ma per portar via il veicolo servono comunque le chiavi e all’uscita dell’auto il numero identificativo viene rimosso dal sistema.

Chi ha stilato le caratteristiche di quest’uso sa benissimo che deve essere usato per scopi molto limitati. Nel documento, infatti, si legge:

“Ovviamente, sulla base di tali caratteristiche, questo servizio può essere utilizzato esclusivamente da applicazioni che richiedono un livello di sicurezza estremamente basso, e quando sistemi più sicuri sarebbero economicamente non giustificati o non applicabili. Inoltre, non essendo comunicato alcun dato personale del titolare, e non venendo richiesto un PIN, l’utilizzo del Numero Identificativo per i Servizi identifica solo il documento, non il titolare.”

Tra l’altro, ottenere questo numero identificativo anche senza il consenso del proprietario sembra essere relativamente semplice.

Calzetta ha chiesto delucidazioni a Stefano Lamonato, ingegnere informatico di FireEye, società specializzata in cyber-security :

“È sempre possibile sniffare le comunicazioni di un dispositivo contact-less dato che tra il lettore e la carta si utilizzano le onde radio e, nello specifico, la CIE3 condivide lo standard NFC (Near Field Communication) con le carte di credito con tecnologia Touch & Pay.”