martedì 26 luglio 2016

la geografia di #SPID

Oggi viene pubblicato il nuovo sito www.spid.gov.it
All'interno del sito il nuovo catalogo di servizi in fase di completamento.
riutilizzando le informazioni del nuovo e utilizzando gli strumenti gratuiti di geolocalizzaizone e rappresentazione grafica è possibile misurare la "febbre da SPID" delle amministrazioni pubbliche.





Questa la rappresentazione geografica delle amministrazioni che offrono almeno un servizio accessibile tramite SPID (in autonomia o attraverso le infrastrutture regionali).
Come si nota la diffusione non è (ancora) omogenea, sono presenti tre zone "anomale": Il territorio toscano, quello veneto e quello emiliano dove presumibilmente l'interessamento delle regioni ha portato ad un più rapida diffusione.
Queste rappresentazioni danno la misura di quanto è stato realizzato ed in quali territori.
Per poter misurare le effettive ricadute occorre confrontare la disponibilità di servizi con l'effettivo uso.

Approfondimento sul territorio toscano.

La macchia di rosso nella  rappresentazione è dovuta al riuso dell'infrastruttura di autenticazione della regione da parte degli enti del territorio.
La zona "anomala" di fatto coincide con la diffusione della Rete Telematica Regionale Toscana.
La "Rete Telematica Regionale Toscana" è sia una rete di soggetti, in quanto nata, gestita e sviluppata non solo dalla Regione Toscana ma in parte dagli Enti che per primi hanno investito in tale progetto e da tutti gli altri che man mano, dal 1997, vi hanno aderito.
Ma è anche un modello organizzativo di rapporti fra i diversi soggetti fondato sul concetto della condivisione degli obiettivi, della cooperazione e della compartecipazione, capace di produrre e sostenere processi di innovazione.

Lato tecnologico è un'infrastruttura di ampie capacità, diffusa su tutto il territorio regionale, interconnessa ad Internet, interoperante e che ha come massima espressione il datacenter TIX.
In Toscana, anticipando i tempi e come punto di arrivo di una politica di innovazione fatta nel corso degli anni in cui si sono rese operative infrastrutture e piattaforme digitali a disposizione di tutta la PA, è stato realizzato il Data Center TIX che rappresenta il primo Data Center Pubblico in logica Cloud Computing che può portare molteplici benefici in futuro a tutto il territorio regionale (enti, cittadini e imprese).

Ma la rete telematica Regionale Toscana è soprattutto un'opportunità unica di sviluppo: per l'instaurarsi di nuovi rapporti fra le pubbliche amministrazioni e fra queste e i cittadini, le imprese e la società più in generale; per l'innovazione tecnologica ed organizzativa interna agli Enti; per la promozione delle risorse della Toscana (territorio, cultura, attività produttive ecc.); per le piccole e medie imprese nel settore dell'innovazione tecnologica; ed altro ancora.


giovedì 21 luglio 2016

Parteciperò come mentor al #bootstrap di @startup_italia a @Internetfest #pisa



Il prossimo sabato 8 Ottobre +StartupItalia!  organizza, per il terzo anno consecutivo un  #bootstrap all'interno di +Internet Festival  di Pisa: "Forme di Futuro", una delle più importanti manifestazioni italiane dedicate al mondo della Rete e del Digitale. Si tratterà nello specifico di un workshop verticale di coaching dedicato alle startup realizzato in collaborazione con it Cup registro .it del CNR di Pisa.

Sono stato invitato a partecipare all'iniziativa con il ruolo di mentor, e parteciperò con entusiamo!

Internet Festival è una manifestazione che si svolge in tutta la città ed l'evento in particolare quest’anno avrà come location il *Cinema Teatro Lumìere di Pisa.*

Il format prevede la presenza di 20 startup e 20 mentor provenienti da aziende italiane e internazionali. Nelle scorse edizioni hanno partecipato aziende come Accenture, CheBanca!, Hearste Microsoft.Quest’anno gli organizzatori hanno  focalizzato gli inviti a startup early stage con progetti dedicati al turismo, al food e alle piccole medie imprese.

"Quello che ci aspettiamo da Bootstrap,"-
scrive +David Casalini  -" ormai arrivato alla quinta edizione, è di realizzare un giorno di lavoro concreto dove siano affrontati quattro temi diversi in quattro diversi tavoli:

  • Mission –Visione, Modello di Business e Strategia
  • Finanziamento- Funding, HR e Risorse Umane
  • Execution –Tecnologia, Progettazione e UX
  • Promozione – Marketing e Comunicazione, Social Media e Mobile Advertising

I mentor dirigeranno i tavoli di lavoro e avranno il compito di rispondere alle domande dei membri delle aziende appena avviate e facilitarli a capire come attuare una strategia imprenditoriale di successo. Per le startup, che avranno la possibilità di passare almeno un'ora in ognuno dei quattro tavoli, sarà un'occasione unica per fare network e per dare e ricevere consigli. "


martedì 12 luglio 2016

#SPID il punto di vista delle startup innovative - intervista a Carlo Camusso Fattura24





Negli incontri istituzionali ed in rete, si è molto parlato di come SPID possa essere infrastruttura abilitate ad un nuovo modello di business anche per le piccole e medie imprese, sia per quanto riguarda servizi di e-commerce sia per quelle imprese che realizzano servizi digitali a supporto di altre imprese.






Dopo aver  sentito la voce degli  addetti ai lavori è utile ascoltare anche l'opinione di coloro che a settembre (questa la previsione data da AGID) saranno chiamati a scegliere se e come investire parte del profitto della propria azienda per integrare i propri servizi con SPID.




Carlo Camusso, CEO di Fattura 24.com risponde ad alcune domande.

Salve Carlo, vuoi presentarti e presentare Fattura 24?
Sono CEO/CTO  di Fattura24.com un servizio di fatturazione sul cloud per PMI e liberi professionisti.
Fattura24.comè oggi una realtà affermata, nata come startup ha ottenuto numerosi riconoscimenti tra cui:
nel 2013
  • Wind Business Factor - Vincitore del 3° girone con la startup Fattura24.com
  • Telecom - Working Capital - Vincitore con la startup Fattura24.com
nel 2012
  • Premio WWW del 'Il sole 24 Ore' - Finalista nella categoria 'Mobile and tablet application / utilities & services' con Fattura24
  • Mob App Awards Italia - Finalista nella categoria App Innovative con Fattura24
  • Mob App Awards Roma - Vincitore nella categoria App Innovative con Fattura24
Oggi Fattura24.com ha una base clienti di circa 70.000 soggetti equamente distribuiti tra liberi professionisti e Piccole medie impresse che utilizzano i nostri servizi sia per l'emissione digitalizzata di fatture sia per la gestione del magazzino e per realizzare soluzioni di e-commerce, questo anche grazie agli all'integrazione con  prodotti di commercio elettronico  come WooCommerce e Prestashop.

Quali dal tuo punto di vista possono essere principali i vantaggi dell'uso di SPID?

SPID potrebbe essere molto utile alla nostra base utenti che quotidianamente utilizza anche altri servizi web tra cui quelli della PA.
Un unico sistema di identificazione e accesso si traduce in maggiore sicurezza e maggiore efficienza nella gestione quotidiana da parte degli utenti.
Il maggior vantaggio che vedo è per i miei clienti i quali beneficiano indirettamente della maggiore sicurezza e della maggiore efficienza nelle transazioni.

Reputi che SPID possa essere un volano anche sul fronte commerciale e degli accordi tra piccole e medie imprese?
Purtroppo non immediatamente, non credo che possa essere nel breve periodo un volano per il commercio.
l'adozione e la diffusione di SPID  può portare semplicità e una maggiore sicurezza e quindi avere un beneficio sui propri processi
Occorre che i detentori di partita Iva (i nostri principali clienti)  percepiscono questo vantaggio e quindi i provider di servizio come Fattura24 saranno più che motivati ad adottarne l’utilizzo.
Nonostante possa essere interessate impostare campagne di promozione e marketing collegate all'uso di SPID, reputo che, adottando SPID, un provider non possa averne un immediato ritorno commerciale.
E’ un processo che richiede del tempo per maturare ma ci sono le condizioni perché a tendere, tra pochi anni,  ne beneficino tutti gli attori.


Purtroppo (ndr: a differenza dell'impostazione data dagli ideatori di SPID ) non ci sono evidenze che facciano pensare ad un rapito incremento di vendite per coloro che si integreranno in SPID che chi adotta SPID abbia un incremento di vendite e, anche fosse così, il beneficio si potrà raccogliere solo in un primo tempo quando saranno ancora pochi i servizi compatibili con SPID.
A tendere, e cioè quando avrà la sua massima diffusione,SPID sarà prevalentemente un costo ricorrente.
Reputo che, non integrandosi con SPID, ci si esponga al rischio di rimanere penalizzati in termini di semplicità d'uso ma temo che integrandosi non si possano ottenere particolari vantaggi economici.
Il modello di business letto in questi termini appare debole e rischia di rallentare enormemente la diffusione.
 


Riguardo ai costi da sostenere per l'adeguamento e per l'uso di SPID cosa ci puoi dire?
Percepisco, per la mia formazione, i  vantaggi di SPID che  appaiono evidenti. temo però  che,   guardando il panorama degli imprenditori e dei professionisti , solo una piccola parte parte ne apprezzeranno i benefici.
Le P.IVA hanno già mille pensieri, non spenderanno per un servizio di cui non possono misurare il beneficio
Dal punto di vista del business model per i fornitori di servizio vincerà questa sfida chi riuscirà ad affogare i costi dello SPID dentro altri servizi di cui il consumatore finale conosce già il valore.

Sei stato molto critico su alcuni aspetti, sostieni ancora la diffusione di SPID?
So di essere stato critico su alcuni aspetti, nonostante questo sono un forte sostenitore di SPID perchè nel medio lungo periodo porterà benefici diffusi.

venerdì 8 luglio 2016

SPID vola in Europa progetto FICED


Il progetto FICEP - First Italian Crossborder eIDAS Proxy

(Estratto dal sito di agid )


FICEP (First Italian Crossborder eIDAS Proxy) è il progetto nazionale finanziato dalla Commissione Europea per la realizzazione del nodo eIDAS italiano. FICEP è il primo “server trasfrontaliero italiano”: la sua implementazione consentirà la circolarità delle identità digitali italiane fra tutti gli stati membri dell’Unione Europea.
AgID, in raggruppamento con Infocert S.p.a., Politecnico di Torino, Telecom Italia S.p.a., si è aggiudicata con il bando CEF-Telecom eID 2014 (link is external) un finanziamento per la realizzazione del nodo eIDAS italiano.
Grazie al progetto FICEP con la realizzazione di un nodo eIDAS nazionale sarà possibile per i cittadini italiani accedere ai servizi online di altri paesi comunitari (ad esempio servizi universitari, bancari, servizi delle pubbliche amministrazioni, altri servizi online) utilizzando le credenziali ottenute nel sistema pubblico di identità digitale SPID. Al tempo stesso cittadini europei in possesso di identità digitali nazionali riconosciute in ambito eIDAS, potranno accedere ai servizi delle Pubbliche amministrazioni italiane.
Come funziona il nodo eIDAS italiano
Di seguito la descrizione del modello di funzionamento del nodo eIDAS, nel caso in cui un utente italiano richieda di fruire il servizio online di un altro stato membro della UE (e viceversa di un cittadino straniero che chiede di accedere a fornitori di servizi italiani – pubblici o privati).
  • L’utente italiano richiede l’accesso al servizio di uno stato membro UE (1)
  • Il service provider dello stato membro invia una richiesta al proprio nodo eIDAS (2)
  • Il nodo eIDAS dello stato membro chiede all’utente italiano il suo paese di provenienza (3)
  • Nel momento in cui l’utente seleziona il proprio paese di provenienza, Il nodo eIDAS dello stato membro inoltra una richiesta al nodo eIDAS italiano (4)
  • Il nodo eIDAS italiano risponde alla richiesta del nodo eIDAS dello stato membro interpellando l’identity provider del richiedente, per l’autenticazione (5)
  • Una volta che l’autenticazione è andata a buon fine (5), il nodo eIDAS italiano invia una conferma al nodo eIDAS dello stato membro, che a sua volta inoltra la conferma al service provider (6)
  • Il service provider permette all’utente italiano l’accesso al servizio richiesto (7)

 (Estratto dal sito di agid ) 
 http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/progetto_ficep

mercoledì 6 luglio 2016

SPID - una prima analisi della sicurezza del sistema

In questi giorni in molti hanno posto l'accento sulla sicurezza del Sistema Pubblico di Identità Digitale, appare quindi evidente come l'attenzione degli addetti ai lavori e degli utilizzatori sia elevata sul tema.
Per questo motivo è utile fornire alcune informazioni di carattere tecnico al fine di dare consapevolezza del reale livello di sicurezza del sistema, livello che in generale appare elevato.
La prima “paura” è che qualcuno riesca ad “iniettare” del codice malevolo presso l’identity Provider in modo che quando gli utenti chiedono di accedere inserendo user e password il codice lo invii ad un sito dove i malintenzionati possono raccogliere questi dati.
Questo tipo di attacco non funziona se il sito è controllato e sottoposto a misure di sicurezza solide e se l’utente deve identificarsi con un meccanismo “a due fasi” (ad esempio tramite conferma via sms questa tipologia di vulnerabilità riguardo a SPID è puramente accademica: è sufficiente una azione di controllo costante sul "sito" e il pericolo è scongiurato controllo che, come meglio specificato tra qualche riga, esiste.
Un altro dubbio espresso è che il livello base di identificazione sia fatto tramite user e password per alcuni servizi (ad esempio il controllo delle multe da pagare o altri servizi).
Anche questo dubbio è facilmente fugato: in questo documento  emesso da AGID è esplicitato che non è possibile accedere a servizi come quello del controllo delle multe con solo login e password.
Gli unici servizi citati come accessibili con livello 1 (login e password) sono:
-Servizio di personalizzazione (della grafica del sito pubblicamente consultabile)
-Consultazioni civiche (ossia poco più di un forum)
-Richiesta informazioni di carattere generale (che non hanno quindi impatti sulla privacy)

Altra criticità è  espressa da tecnici è che il punto debole sia la postazione dell'utente il quale utilizza browser o sistemi operativi non aggiornati e quindi vulnerabili a virus o altro che permettano il furto dell'identità.
Pur comprendo l'importanza dell'attenzione anche sulle postazioni utente questo rischio non è legato a SPID o un sistema specifico, in realtà le politiche di sicurezza del sistema sono tali da inibire l'accesso a utenti che utilizzano sistemi obsoleti, in figura si vede il messaggio che viene restituito in caso di utilizzo di un browser ormai obsoleto e non aggiornato.
messaggio in caso di postazione utente obsoleta



Analizzando il protocollo ed i meccanismi di comunicazione tra i vari attori troviamo che sono  utilizzati i protocolli SAML e  SSL nella loro versione più recente.
SAML utilizza asserzioni che hanno una validità di tempo dell'ordine di qualche minuto e che una volta utilizzati non possono essere "riutilizzati" in modo malevolo, il breve tempo di validità delle informazioni impediscono i cosiddetti attacchi a “forza bruta” nel quale vengono tentate tutte le combinazioni possibili fino ad individuare quella corretta.
Per tentare tutte le combinazioni possibili occorre tempo, anche se sono utilizzati reti di calcolatori con un potenza di elaborazione notevole l'eventuale attaccante che avesse il controllo completo di una postazione di un utente ha  poche decine di secondo per forzare il sistema, quindi è obbligato a ripartire da zero.
SAML è un protocollo maturo utilizzato dai colossi della rete tra cui ad esempio Google che lo propone come meccanismo di integrazione tra i servizi di terze parti ed i propri [ https://developers.google.com/google-apps/sso/saml_reference_implementation ]

Nel passato SAML è stato oggetto di analisi accurate e nell'articolo redatto  nel 2012 (Is SAML An Effective Framework For Secure SSO? ”, Vinayendra Nataraja, 2012) vengono elencati tutti i punti di forza e di debolezza riscontrati.
Lo stesso articolo citato indica nelle conclusioni la soluzione per mitigare i rischi, principalmente connessi all'uso del browser utente come "pivot" della comunicazione tra le parti attrici.
" To mitigate risk, SAML systems need to use timed sessions, HTTPS, and SSL/TLS" cosa che in SPID è già avviene.

Altro dubbio che è stato espresso da chi non conosce il sistema è l'effetto domino in caso che uno dei tanti sistemi che costituiscono SPID si fermi o sia posto sotto attacco.
In realtà proprio per l'utilizzo di SAML e di vari gestori di identità e vari gestori dei servizi SPID è una federazione composta da vari nodi.
Nel caso che uno di questi non possa più erogare il servizio gli altri nodi non vengono interessati.
Certo, ci possono essere dei disagi per una parte degli utenti che vogliono utilizzare lo specifico servizio che ipoteticamente è stato reso non operativo, ma gli altri servizi continuano a funzionare in modo indipendente.
Giova ricordare che internet nacque  come ARPANET, un progetto militare che aveva come obiettivo principale la robustezza dell'intero sistema in caso di guasti o distruzione di un nodo della rete.
Questa caratteristica di robustezza non è venuta meno nella progettazione dei sistemi distribuiti e nelle federazioni come SPID
Inoltre tutti gli attori si applicano per mantenere il sistema intero sicuro ed efficiente, ad esempio tramite un monitoraggio attivo e l'analisi costante di quanto è successo:
Il monitoraggio implementato sui sistemi è orientato a verificare:
-lo stato di efficienza in termini di performance, occupazione di spazi fisici e logici, temperatura ambientale;
-la disponibilità dei sistemi (check di raggiungibilità, controlli sulle connessione attive, ecc.);
-l’esecuzione ed il corretto funzionamento delle applicazioni;
-la sistematica e corretta sincronizzazione dei sistemi con la fonte oraria di rife
rimento;
-l’assenza di tentativi di accesso non autorizzato;
-che i livelli di servizio siano effettivamente rispettati;
-che i processi di conservazione dei log e delle evidenze siano correttamente eseguiti.
Qualora nel corso delle operazioni di verifica e monitoraggio, il team di gestione rilevi anomalie nel funzionamento del servizio, sono attivate le analisi al fine di comprenderne cause e conseguenze nonché determinare le azioni da  intraprendere.
Gli eventi significativi che hanno impatto sul servizio sono notificati alla cosidetta Service Control Room del Gestore dell’Identità Digitale.
I cambiamenti di stato dell’evento vengono monitorati e notificati agli attori interessati.
Il gestore si avvale di gruppi specialistici per il monitoraggio della sicurezza dei Sistemi informativi che erogano il servizio.
In particolare sono svolte attività di rilevazione tempestiva di eventi ed allarmi critici per la sicurezza informatica per mezzo della continua osservazione dell’infrastruttura gestita.
I suddetti eventi/allarmi sono rilevati attraverso piattaforme di Intrusion Prevention atte a difendere applicazioni e dati critici da attacchi avanzati e piattaforme di “Security Information and Event Management”per la raccolta degli eventi di Sicurezza.

Le consolle di monitoraggio sono configurate per il controllo continuo e
la produzione di allarmi e report di sicurezza per le diverse tipologie di
controlli effettuati. Con cadenza settimanale è prodotta la reportistica degli eventi verificatisi, al fine di valutare l’ efficacia dei controlli attuati.
Inoltre tutti gli attori sono dotati di una struttura di controllom ad esempio un identity provider dichiara:
La struttura Tutela Aziendale Fraud-Management al fine della prevenzione e gestione delle frodi sul canale internet, detiene una soluzione di Adaptive Authentication denominata “Fraud DNA”, basata su tecnologia RSA che, in maniera automatica, delinea uno scoring di rischio della sessione di autenticazione al sito.
Tale score è computato in funzione del riconoscimento del finger print della sessione (caratteristiche tecniche del dispositivo utilizzato: IP, configurazione
dei parametri di rete, S.O., browser, ...) rispetto al comportamento tipico del cliente archiviato nella kwnoledge base di Poste Italiane. Inoltre è stato
integrato nell’infrastruttura Fraud DNA un servizio antimalware fraud detection volto alla rilevazione dell’eventuale presenza di codice malevolo sulla  postazione del cliente.
Il sistema cataloga in real time gli accessi ai siti di ma è impostato in modalità “invisible” lato cliente in modo da consentire comunque l’accesso del cliente anche in caso di rilevazione “High Risk”. Le attività di monitoraggio ed analisi eseguite successivamente analizzando gli scoring a più alto rischio concretizzano eventualmente il blocco degli account confermati compromessi.”

I Presidi di Sicurezza
Il Gestore si avvale di gruppi specialistici per il monitoraggio della sicurezza dei sistemi informativi che erogano il servizio .
L’ infrastruttura di sicurezza è costituita dall’insieme dei sistemi e degli apparati adibiti alla protezione dell’ambiente tecnologico ed applicativo dedicato al servizio, nonché dai meccanismi di protezione dei dati transitano o risiedono sui sistemi.

Sono svolte attività di rilevazione tempestiva di eventi ed allarmi critici per la sicurezza informatica per mezzo della continua osservazione dell’infrastruttura gestita. I suddetti eventi/allarmi sono visualizzati principalmente attraverso specifiche console di monitoraggio.
Ciascuna console è configurata per monitorare eventi diversi e produrre allarmi e report in funzione delldi come a tipologia dei controlli effettuati. Con cadenza settimanale è prodotta la reportistica degli eventi verificatisi al fine di valutare l’efficacia dei controlli attuati.

Le attività di monitoraggio delle componenti di sicurezza attraverso il controllo e l’analisi dei report viene utilizzata anche ai fini della prevenzione degli incidenti di sicurezza. Gli eventi riscontrati sono classificati in funzione della loro gravità e degli impatti che possono avere sugli asset; in relazione a tale classificazione, sono identificate le contromisure idonee a gestire l’evento. Quando dall’evento scaturisce un danno, sono svolte le attività necessarie ad accertare e valutare il danno subito nonché a definire il piano di ripristino.

In conclusione possiamo affermare che SPID appare ragionevolmente sicuro, ma (cosa più importante) è stata impostata una politica costante di attenzione sul sistema tutto; se il livello d'attenzione rimarrà tale è verosimile immaginare la messa in essere di un sempre più elevato livello di sicurezza.

FeedBurner FeedCount