02-16-2021

Come accelerare la verifica dell'identità online grazie alle nuove tecnologie e agli standard di legge

I requisiti delle nuove ETSI TS 119 461 creano una gestione del rischio e un'affidabilità costanti per la prova di identità
Stephen Davidson

Di Stephen Davidson, Governance, Risk and Compliance in DigiCert e presidente dello S/MIME Certificate Working Group del CA/Browser Forum

La pandemia ha comportato un passaggio alle transazioni online e al lavoro da remoto che ha cambiato il settore a livello globale. Strumenti ormai familiari, come le conferenze web e le transazioni online, hanno rapidamente preso il posto delle attività di routine. Tuttavia, la transizione si è rivelata più cauta in settori fortemente regolati e nelle transazioni di valore elevato, che da sempre richiedono un'interazione di persona, tra cui la verifica dell'identità online.

Cos'è la verifica dell'identità online?

È il processo che verifica che gli attributi di identità di un richiedente siano accuratamente raccolti, convalidati e dimostrati. Negli ultimi anni abbiamo assistito a una crescita della verifica dell'identità online, o piuttosto al passaggio della verifica dell'identità da metodi tradizionali e di persona a modalità digitali. Ma la pandemia ha portato la questione in primo piano mentre le aziende passavano al lavoro da remoto, ma sempre dovendo autenticare le identità delle persone. Tuttavia, quello che manca sono degli standard universali per la verifica dell'identità online che offrano le stesse garanzie delle verifiche fatte di persona.

Verso la fine del 2019, sono intervenuto al CA Day dell'ENISA invitando a sviluppare standard più chiari per la verifica da remoto, senza sapere quanto l'imminente pandemia avrebbe accelerato l'interesse in quest'area. In breve, le restrizioni dovute al COVID-19 hanno favorito l'adozione delle verifiche da remoto da parte dei prestatori qualificati di servizi fiduciari (TSP) e instillato un senso di urgenza tra enti regolatori e di standardizzazione per stabilire norme coerenti ai fini della verifica degli ID e delle identità degli utenti online.

Cautele normative

Nell'ambito del regolamento europeo eIDAS, la registrazione degli utenti da parte dei TSP per numerosi servizi qualificati richiede la prova di identità di persona (o l'utilizzo di metodi che forniscano una "garanzia equivalente"). Tuttavia, i diversi standard nazionali in materia di tecnologie e metodi hanno consentito l'attribuzione della garanzia equivalente ad alternative da remoto, anziché alla classica prova di identità di persona.

In parte, le cautele degli enti regolatori erano dovute alle promettenti alternative tecnologiche disponibili per la verifica da remoto, alla mancanza di coerenti standard internazionali per la valutazione dei rischi e alla scarsità dei dati sulle percentuali di insuccesso. Inoltre, gli enti regolatori hanno discusso dei requisiti necessari alla verifica da remoto per essere considerata equivalente a standard e protocolli comprovati per la verifica di persona di documenti di identità fisici.

Come spesso accade, l'UE aveva previsto questo cambiamento già diversi anni fa, facendo della "fiducia nell'identificazione integrata online" una delle sue priorità per lo sviluppo costante del settore, e il Comitato tecnico dell'ETSI sulle firme e le infrastrutture elettroniche (ESI) si è assunto il compito di sviluppare ulteriori standard ai fini della coerenza della prova di identità.

Nuovo standard ETSI sulla prova di identità

All'inizio del 2020, l'ETSI ha formato una task force di specialisti dal nome STF 588 dedicata al tema dell'identità online (sia online che nella vita reale). Come prima caso, la task force ha esaminato un'ampia gamma di tecnologie, legislazioni, specifiche, linee guida e standard internazionali in materia di prova di identità. Partendo da questa ricerca la task force ha quindi creato un prezioso compendio sull'identità online.

Il primo prodotto del lavoro di STF 588, ETSI TS 119 460 (Indagine sui requisiti tecnologici e normativi per la prova di identità per i soggetti fornitori di servizi fiduciari), ha analizzato circa 50 standard internazionali e i relativi approcci alla raccolta e alla convalida degli attributi di identità, alla correlazione tra attributi e richiedenti e a un'appropriata conservazione delle prove.

Il secondo importante lavoro di STF 588 è ETSI TS 119 461 (Requisiti di policy e sicurezza per i componenti di servizi fiduciari che forniscono prova di identità dei soggetti fornitori di servizi fiduciari), attualmente in fase di stesura e in pubblicazione a luglio 2021.

Sebbene destinato alla prova di identità per i servizi fiduciari eIDAS, come gli emittenti TSP di certificati qualificati, lo standard avrà una rilevanza immediata e ampia in materia di identità elettronica (eID) e processi know-your-customer (KYC/AML) in vari settori a livello mondiale.

Coerenza in ambiente fisico e virtuale

Per soddisfare l'ampia varietà di tecnologie e nuovi approcci utilizzati per la prova di identità, il nuovo standard ETSI vuole evitare requisiti prescrittivi per soluzioni tecniche specifiche ma mantenendo un livello costante di sicurezza in tutti i potenziali metodi. Cosa molto importante, il nuovo standard offre, in termini di affidabilità e gestione dei rischi, linee guida coerenti sia per gli scenari di identificazione da remoto che per quelli di persona.

L'obiettivo definitivo è utilizzare il nuovo standard per la valutazione della conformità dei TSP qualificati che utilizzano l'identificazione da remoto oppure utilizzarlo per valutare i provider di prova di identità indipendenti.

Lo standard intende essere applicabile ai livelli sostanziale ed elevato identificati nel regolamento UE 2015/1502 (che delinea le specifiche tecniche minime per i livelli di garanzia eID correlati a eIDAS).

Una vera rivoluzione

ETSI TS 119 461 garantirà la necessaria coerenza di normative sulla prova di identità da parte dei TPS qualificati in Europa e costituirà un modello importanti per altri schemi simili nel resto del mondo. DigiCert partecipa attivamente a ETSI e siamo convinti che che ETSI TS 119 461 rappresenti un passaggio chiave per riconoscere che i nuovi strumenti e approcci relativi alla prova di identità evolveranno rapidamente. Inoltre, lo standard servirà a delineare un approccio dal punto di vista delle tecnologie per far sì che tali approcci e strumenti rientrino nei requisiti dei servizi fiduciari.

Infine, cosa ancora più importante, renderà più democratico l'accesso per privati e aziende affinché possano sfruttare i servizi online ad alta garanzia eliminando gli attriti nella registrazione e sostenendo una qualità di convalida costante tra i diversi TSP e regimi supervisori.

UP NEXT

Tre modi insospettabili per usare la PKI nelle grandi aziende e come garantire che siano tutti sicuri

5 Min