L’Italia si sta attrezzando per sviluppare un sistema di messaggistica istantanea sicuro, destinato alla Pubblica Amministrazione. Una vera e propria “chat di Stato”, frutto della collaborazione tra l’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Istituto Poligrafico e Zecca dello Stato (IPZS), con l’obiettivo di rendere le comunicazioni istituzionali più rapide e, soprattutto, protette.
I primi risultati dello studio di fattibilità, affidato all’IPZS, società controllata dal Ministero dell’Economia e delle Finanze, sono attesi entro la fine del mese. Lo studio rappresenta il primo passo concreto dopo la firma della convenzione tra ACN e IPZS, avvenuta lo scorso 4 aprile. Il progetto prevede lo sviluppo di una piattaforma di comunicazione sicura e la realizzazione di strumenti per il contrasto alle campagne di phishing.
Sicurezza, non opzione ma requisito
Quando si parla di strumenti digitali per la Pubblica Amministrazione, la sicurezza non è un plus, ma un requisito imprescindibile. Se da un lato esistono soluzioni commerciali già molto avanzate in termini di protezione, il contesto pubblico impone standard più elevati e una gestione più complessa. E no, non è tutto così semplice come potrebbe sembrare.
Oltre 20 soluzioni allo studio
Sotto la lente di ingrandimento dell’Istituto Poligrafico, al momento, vi sono circa una ventina di applicazioni, tutte rigorosamente europee, alcune già utilizzate e pronte per essere adeguate alle esigenze italiane. Tra le sfide più urgenti, sicuramente la vulnerabilità della crittografia end to-end, che potrebbe diventare presto obsoleta, e come sempre, il fattore umano. Infatti, per quanto sofisticata e sicura possa essere una piattaforma, quello che conta alla fine è la prudenza dei pubblici ufficiali. Basti pensare al recente caso degli Stati Uniti, dove i funzionari pubblici hanno continuato a scambiarsi informazioni riservate su app personali.
Crittografia end-to-end, il punto di partenza
Attualmente, lo standard più affidabile per proteggere messaggi testuali, audio e video è la crittografia end-to-end. Questo sistema, già utilizzato da applicazioni come WhatsApp e Signal, garantisce che solo mittente e destinatario possano accedere ai contenuti, impedendo l’intercettazione da parte di terzi, compresi i server che li trasportano.
Il nodo dei metadati
Tuttavia il vero nodo, più che gli stessi contenuti, sono i metadati, ossia orari delle comunicazioni, frequenza degli scambi, geolocalizzazione dei dispositivi e identità degli interlocutori. In mani sbagliate, tali informazioni possono diventare una miniera d’oro per il cybercrimine o, peggio, un rischio concreto per la sicurezza nazionale. É dunque necessaria una policy rigorosa inerente a questo ambito, in grado di limitare al minimo intercettazioni e violazioni della privacy.
Il modello francese Tchap
Tra i candidati italiani in esame figura quello sviluppato mediante il centro Telsy di TIM, ma un caso studio molto interessante è rappresentato dalla Francia, con Tchap, la piattaforma istituzionale di messaggistica del governo.
Progettata per essere utilizzata da tutti i funzionari pubblici, Tchap è oggi attiva con circa 300.000 utenti. È disponibile sugli store Android e iOS, ma l’accesso è riservato esclusivamente a chi dispone di un indirizzo email governativo.
L’app è costruita su Element, un client open source che utilizza il protocollo Matrix, anch’esso open source. Questa architettura consente la gestione sicura sia dei contenuti che dei metadati. Tchap, infatti, garantisce il pieno controllo su raccolta, conservazione e localizzazione dei dati, che possono essere ospitati su server governativi centralizzati o su cloud privati, in base alle esigenze operative.
Più nel dettaglio, il modello francese già in uso da due anni con le App di casa, Olvid (la risposta francese a Whatsapp) e Tchap, dimostra che una piattaforma sicura, sovrana e interoperabile è possibile.
