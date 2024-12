L’accesso alla funzione chiamata Documenti, aggiunta per tutti gli utenti dal 4 dicembre 2024 all’interno dell’app IO per Android e iOS, presuppone il superamento di una serie di verifiche svolte in maniera del tutto automatica. Se uno o più di questi controlli restituisse esito negativo, ecco che compare il messaggio “Il tuo dispositivo non supporta Documenti su IO“.

L’app IO, sviluppata, gestita e aggiornata da PagoPA, è lo strumento che è stato selezionato per mettere nelle mani dei cittadini italiani IT Wallet. Si tratta di un portafoglio digitale che raccoglie i documenti personali di ciascun soggetto: i primi ad essere disponibili sono patente di guida, tessera sanitaria e carta europea della disabilità.

Vale la pena evidenziare che quelli richiedibili con l’app IO e IT Wallet non sono affatto copie dei documenti cartacei (o meglio, su supporto plastificato) bensì documenti in originale validi in tutto e per tutto. La presenza di un certificato di autenticità rilasciato dall’Ente emittente, consente di utilizzare i documenti digitali contenuti nell’app IO in sostituzione di quelli “fisici”.

Superare l’errore Il tuo dispositivo non supporta Documenti su IO

È ovvio che se il dispositivo mobile è oggi promosso a portafoglio digitale, uno strumento come l’app IO deve mettere in campo tutte le verifiche del caso per scongiurare utilizzi non autorizzati dei documenti conservati nell’IT Wallet.

Dal punto di vista tecnico, l’app IO si appoggia su Android ai servizi Play Integrity API e Key Attestation, mentre per iOS utilizza il servizio DeviceCheck.

I servizi Play Integrity API e Key Attestation sono strumenti forniti da Google per aumentare la sicurezza delle applicazioni Android, in particolare per quanto riguarda la protezione contro la manomissione e il controllo della validità delle chiavi criptografiche. Play Integrity API, in particolare, consente alle app di verificare che siano eseguite in un ambiente sicuro e legittimo. È utilizzata per contrastare l’uso di dispositivi compromessi o versioni non ufficiali delle app.

Dal punto di vista Google (cosa che ha sollevato non poche critiche…) dispositivi compromessi sono anche quelli con il bootloader sbloccato, operazione che permette l’installazione di ROM di terze parti in sostituzione di quella precaricata dal produttore. In un altro articolo ci siamo chiesti se sia sicuro aggiornare Android con una ROM personalizzata. In ogni caso, l’utilizzo di ROM non ufficiali impedisce l’impiego di applicazioni come IO e IT Wallet.

Play Integrity API consente di verificare anche l’origine delle app Android, evitando l’esecuzione di versioni modificate (si pensi ai pacchetti APK modificati provenienti da origini esterne al Play Store).

L’API fornisce alle app un “attestato” che indica se l’integrità del dispositivo e dell’app risultano compromesse. Questi dati possono essere utilizzati dalle app per prendere decisioni informate riguardo all’accesso a funzionalità e servizi rilevanti.

Key Attestation su Android: cos’è e come funziona

La Key Attestation è una funzionalità avanzata che permette alle app di verificare che una chiave crittografica (usata per operazioni come la cifratura o la firma digitale) sia stata generata in un ambiente sicuro e che non sia manomessa. È particolarmente utile quando le applicazioni devono garantire che la chiave privata usata in un dispositivo sia stata generata in un Trusted Execution Environment (TEE) o in un Hardware Security Module (HSM), che sono ambienti considerati sicuri, supportati dall’hardware e progettati per proteggere le informazioni riservate.

La Play Integrity API è utilizzata per prevenire frodi e manomissioni su livello di dispositivo e app, mentre la Key Attestation è più specifica per garantire la protezione delle operazioni crittografiche, ad esempio nella gestione della firma digitale e nella decodifica di dati personali.

Il servizio DeviceCheck su Apple iOS

Il servizio DeviceCheck di iOS è un framework fornito da Apple che consente agli sviluppatori di verificare lo stato dei dispositivi e fornire protezioni contro abusi e frodi, in particolare in contesti di app che richiedono verifiche di sicurezza o di integrità.

Un’API apposita permette agli sviluppatori di interagire con il server Apple per memorizzare e recuperare dati specifici per ogni dispositivo. Ogni dispositivo ha un identificatore unico, e l’API permette di marcare un dispositivo come “a rischio” o di memorizzare altre informazioni di stato che possano influire sul comportamento dell’app, come il blocco di un account o la gestione di abusi.

Ogni dispositivo iOS genera un token di sicurezza utilizzato per verificare l’integrità del dispositivo. Il token è unico per ogni device ed è sfruttato per evitare che utenti non autorizzati possano accedere o compiere azioni dannose, come bypassare la protezione delle app o commettere reati.

I passaggi per risolvere l’errore con l’app IO

La comparsa del messaggio Il tuo dispositivo non supporta Documenti su IO, conferma che una o più verifiche descritte ai punti precedenti hanno fallito.

Per provare a risolvere il problema, è innanzi tutto fondamentale aggiornare l’app IO (alcuni bug possono portare alla visualizzazione dell’errore). In seconda battuta, nel caso in cui il problema del messaggio Il tuo dispositivo non supporta Documenti su IO persistesse, è opportuno chiedersi se in passato si fosse sbloccato il bootloader, acquisiti i diritti di root e installata una ROM alternativa (caso piuttosto comune per i dispositivi Android vecchi, non più in garanzia e non supportati dal produttore).

Al momento, non ci risulta che il Livello di sicurezza ovvero lo stato delle patch Android influisca negativamente sulla possibilità di accedere alla sezione Documenti dell’app IO. Un dispositivo non più supportato dal produttore, che non riceve gli aggiornamenti di sicurezza, di solito riesce a fruire dell’IT Wallet senza mostrare l’errore Il tuo dispositivo non supporta Documenti su IO.

Pratiche come rooting su Android e jailbreaking su iOS sono invece assolutamente bloccanti, a meno di modifiche applicate sulle funzionalità Play Integrity API e DeviceCheck.

Attenzione anche alla provenienza del proprio dispositivo mobile: prodotti non acquistati dai canali più affidabili potrebbero montare versioni del sistema operativo modificate lungo la filiera (la cosiddetta Supply chain). In questi casi, i dispositivi non superano il controllo.

Se non si fosse sbloccato il proprio dispositivo, è fondamentale abilitare il blocco con PIN, password o impronta digitale. L’app IO, appoggiandosi a Play Integrity API, verifica anche l’utilizzo di questa misura di sicurezza. In sua assenza, IT Wallet non sarà disponibile e l’app IO mostra il messaggio Il tuo dispositivo non supporta Documenti su IO.