di Flavio Marzoli
09/06/16
1. Riferimento normativo
2. Cos’ è lo SPID?
3. Come si può richiedere lo SPID?
4. A quali servizi si può accedere tramite lo SPID?
5. Lo SPID è un sistema sicuro?
1. Riferimento normativo
Il primo provvedimento attuativo del Sistema Pubblico di Identità Digitale è il decreto della Presidenza del Consiglio dei Ministri 24 ottobre 2014, pubblicato sulla Gazzetta Ufficiale n. 285 del 9 dicembre 2014. L’articolo 4 del suddetto Decreto riconosce all’AgID, ovvero all’agenzia per l’Italia digitale, il compito di definire, di concerto con il garante della privacy, con regolamento le modalità attuative e le regole tecniche per la realizzazione dello SPID. Il regolamento che norma le modalità di accreditamento e il funzionamento dello SPID è entrato in vigore il 15 settembre 2015. Dal 15 marzo 2016 i primi tre gestori d’identità digitale hanno iniziato a rilasciare le prime identità SPID a cittadini e imprese richiedenti, rendendo nei fatti operativo il sistema.
2. Cos’è lo SPID?
Il Sistema Pubblico di Identità Digitale (SPID) è il nuovo sistema di login che permette a cittadini e imprese di accedere con un’unica identità digitale a tutti i servizi online delle pubbliche amministrazioni e imprese aderenti. Grazie al sistema Pubblico di Identità Digitale dunque vengono meno le decine di password, chiavi e codici necessari per utilizzare i servizi online di Pa e imprese.
Nello SPID vengono in evidenza diversi attori e ruoli.
In primo luogo vi sono i gestori dell’identità digitale ovvero i c. d Identity Provider. Gli Identity Provider sono imprese private, ufficialmente riconosciute dall’AgID, con il compito di creare l’identità digitale identificando in modo certo l’utente che ne ha fatto richiesta. Ad oggi sono tre gli Identity Provider che hanno richiesto e ottenuto la certificazione da parte dell’AgID: Infocert, PosteItaliane, Telecom Italia Trust Technologies. È importante specificare che per i gestori dell’identità digitale i costi sono certi mentre i ricavi no. Le fonti di remunerazione per gli identity provider sono due: gli utenti e le imprese private. Gli utenti poiché alcuni servizi, a partire dal 2018, saranno a pagamento. Le imprese private poiché qualsiasi azienda che aderirà a SPID pagherà gli Identity Provider per i servizi forniti, mentre per le Pubbliche amministrazioni il servizio sarà gratuito.
In secondo luogo vi sono i fornitori di servizi ovvero i c. d Service Provider. I fornitori di servizi sono imprese private e PA che s’impegnano a erogare servizi on-line. Tra marzo e aprile 2016 sono partiti i primi 237 servizi offerti da 8 tra pubbliche amministrazioni centrali (Agenzia delle Entrate, Equitalia, INAIL INPS), Regioni (Friuli Venezia Giulia, Emilia Romagna, Toscana) e Comuni (Venezia). In questo mese, giugno 2016, saliranno a 600 i servizi abilitati e si aggiungeranno nuovi Comuni (Firenze) e Regioni (Lazio e Basilicata). Entro novembre 2017 tutte le PA, obbligatoriamente, dovranno aderire allo SPID.
Vi sono poi gli utenti ovvero le persone fisiche o giuridiche, titolari di un’identità digitale che utilizzano i servizi erogati in rete.
Il procedimento di utilizzo del Sistema pubblico di Identità Digitale è semplice.
Un utente si registra al servizio tramite un Identity Provider che crea un’identità digitale e gli assegna le credenziali per il riconoscimento. L’utente può utilizzare la sua identità digitale per l’accesso ai servizi online offerti dai Service Provider, che sono collegati a tutti gli Identity Provider.
3. Come si può richiedere lo SPID?
Per ottenere un’identità digitale, l’utente deve farne richiesta agli Identity Provider attraverso un modulo di adesione, dove dovranno essere indicati i seguenti dati: nome, cognome, sesso, luogo e data di nascita, codice fiscale, estremi del documento d’identità, mail e numero di cellulare. L’autentificazione potrà avvenire in presenza o a distanza. L’autentificazione in presenza prevede l’esibizione di documentazione cartacea e la sottoscrizione di moduli in sede. A partire dal 21 giugno Poste Italiane dovrà esibire una lista indicando gli uffici abilitati SPID. Le autentificazioni a distanza avvengono sulla base della verifica digitale di credenziali informatiche già in possesso. I clienti di Poste Italiane che già dispongono di strumenti d’identificazione (lettore BancoPosta, numero di telefono certificato su carta Postepay o Libretto Smart, APP PosteID) e i cittadini in possesso di Carta Nazionale dei Servizi, Carta d’identità elettronica o Firma Digitale possono accedere ad una procedura di registrazione semplificata completamente online.
4. A quali servizi si può accedere tramite lo SPID?
I servizi pubblici a cui si può già accedere sono molti. È possibile utilizzare il sistema SPID per pagare il bollo auto, la Tasi, richiedere assegni familiari, il riscatto della laurea, saldare tributi regionali o ticket sanitari. Il sistema SPID assicura la massima riservatezza dei dati ed è pensato proprio per aumentare la trasparenza sulla gestione dei dati ed erogare servizi secondo il principio dei dati minimi. Il Service Provider difatti non può conservare i dati dell’utente che riceve dall’Identity Provider ed è assolutamente vietata la tracciatura delle attività di un individuo.
5. Lo SPID è un sistema sicuro?
Esistono tre livelli di sicurezza, ognuno dei quali corrisponde a un diverso livello d’identità SPID.
Il primo livello permette di accedere ai servizi online attraverso un nome utente e una password scelti dall’utente stesso. La password dovrà essere costituita da 8 caratteri, dovrà rinnovarsi ogni 180 giorni e dovrà essere formulata secondo specifici criteri di sicurezza. Il primo livello d’identità digitale può essere utilizzato solo per l’erogazione di quei servizi, dove il danno causato, da un utilizzo indebito dell’identità digitale, ha un basso impatto per le attività del cittadino/impresa/amministrazione ( ad esempio la prenotazione via web di un servizio sanitario).
Il secondo livello permette di accedere al servizio online attraverso un nome utente e password cui si aggiunge un codice temporaneo ( la c. d one time password) inviato via sms o con app mobile dedicata. Con il termine One Time Password (d’ora in poi OTP) s’indica una password che è valida solo per una singola sessione di accesso o una transazione. L’OTP evita una serie di carenze associate all’uso della tradizionale password statica. Ciò significa che, se un potenziale intruso riesce a intercettare un’OTP che è stata già utilizzata per accedere a un servizio o eseguire una transazione, non sarà in grado di riutilizzarla, perché non sarà più valida. D’altra parte, un’OTP non può essere memorizzata da una persona. Essa richiede quindi una tecnologia supplementare per essere utilizzata. Questo livello di sicurezza è previsto per tutti i servizi per i quali, un indebito utilizzo dell’identità digitale, può provocare un danno consistente. Questo livello di sicurezza ad esempio è previsto per il pagamento del bollo auto o della Tasi.
Il terzo livello in teoria, oltre al nome utente e la password, richiede un supporto fisico (es. smart card) per l’identificazione. Ad oggi non è chiaro all’erogazione di quali servizi sia collegato questo livello di sicurezza/identità poiché attualmente sono disponibili solo identità SPID di primo e secondo livello.