Identità Digitale e SPID - Una sfida per l'Italia che vuole cambiare
1. Una sfida per l’Italia che vuole cambiare
Guido Allegrezza, 9 gennaio 2015
2. SPID: Sistema Pubblico per
l’Identità Digitale
Sistema per il rilascio e la gestione di Identità Digitali
che i cittadini e le imprese utilizzano per accedere a
tutti i servizi in rete della PA, tramite la verifica della
propria identità e di eventuali attributi qualificati
Permette di utilizzare i servizi online non accessibili
tramite CIE o CNS (Carta d’Identità Elettronica o Carta
Nazionale dei Servizi)
Il rilascio e la gestione dell’ID SPID e dei suoi attributi
qualificati possono essere effettuati unicamente da
soggetti accreditati ad AGID
Le imprese private possono utilizzare SPID come
sistema di accesso dei propri utenti ai servizi on line.
3. Identità Digitale in SPID
Rappresentazione informatica della corrispondenza
biunivoca tra un utente e i suoi attributi identificativi
Verifica attraverso l’insieme dei dati raccolti e
registrati in forma digitale in conformità alla
normativa
Accesso a servizi on line in funzione di livelli di
robustezza dell’identità, commisurati alla natura e
alla tipologia delle informazioni rese disponibili.
4. Principali disposizioni
Riferimenti: art. 64 del CAD (D.LGS 82/2005) e articoli 4, 14 e 15 del DPCM SPID del
24/10/2014
L’accesso ai servizi in rete della PA che richiedono identificazione informatica può
avviner con CIE (carta d'identità elettronica), CNS (carta nazionale dei servizi) o SPID.
Le imprese possono usare SPID per la gestione dell'identità digitale degli utenti che
accedono ai loro servizi in rete. Se per questi servizi è richiesto il riconoscimento
dell’utente, l’uso di SPID esonera l’impresa dall’obbligo generale di sorveglianza delle
attività sui propri siti (di cui al D.LGS 70/2003, art. 17): basta infatti comunicare il
codice identificativo dell’Identità Digitale utilizzata dall’utente
Tutte le amministrazioni pubbliche (articolo 1, comma 2, D.LGS 165/2001, art. 1, c. 2)
devono aderire a SPID indicativamente entro gennaio 2017 (24 mesi dalla data di
accreditamento del primo gestore dell’ID) e ne usufruiscono gratuitamente
Sono coinvolte tutte le amministrazioni dello Stato, compresi gli istituti e scuole di
ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello
Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità
montane (e loro consorzi e associazioni), le istituzioni universitarie, gli Istituti
autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e
le loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali,
le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale.
5. Soggetti
Persona fisica o giuridica, titolare
di un’ID SPID, che utilizza i servizi
erogati in rete da un Fornitore di
Servizi, previa identificazione
informatica
Utente
Soggetti pubblici o privati accreditati presso AGID, che
rilasciano e gestiscono le ID SPID.
Gestori identità digitali
Soggetti che possono certificare
attributi dell’ID SPID, quali titolo di
studio, abilitazione professionale, ecc.
Gestori attributi
qualificati
PA e imprese che mettono a disposizione i servizi
online cui accedono i cittadini e le aziende
utilizzando le loro ID SPID.
Fornitori di servizi
Accredita e vigila sui gestori delle identità e sui gestori di
attributi qualificati.
Stipula le convenzioni con i Provider SPID.
Autorità di accreditamento
e vigilanza
6. Ruoli degli attori coinvolti
Gestori delle identità digitali
Gestori di attributi qualificati
Ottengono l’accreditamento presso AgID
Verificano l’identità degli utenti al
momento del rilascio dell’Identità Digitale
Rilasciano e gestiscono l’Identità digitale
Rendono disponibili e gestiscono gli
attributi dell’utente
Rendono disponibile gratuitamente alle
pubbliche amministrazioni il servizio di
autenticazione
Hanno gli stessi requisiti organizzativi e
societari dei certificatori di firma digitale
Ottengono l’accreditamento presso
AgID
Su richiesta dei fornitori dei servizi,
attestano il possesso e la validità di
attributi qualificati da parte degli utenti
Accredita e vigila sugli attori coinvolti su
SPID
Gestisce e pubblica il registro SPID
contenente l’elenco dei soggetti abilitati
Mantiene aggiornati i regolamenti
attuativi
Coordina il pilota con l’obiettivo di
emanare adeguate regole tecniche
Fornitori dei servizi
Ottengono l’accreditamento presso AgID
Mettono a disposizione i loro servizi
online adeguando i propri sistemi per
l’utilizzo di SPID
Scelgono il livello di sicurezza delle
identità digitali necessari per accedere ai
loro servizi
AGID
7. Verifica ID e accesso on line
UTENTE
FORNITORE
DEL
SERVIZIO
SERVIZIO
ONLINE
GESTORE
DELLE
IDENTITÀ
DIGITALI
GESTORE DI
ATTRIBUTI
QUALIFICATI
1 4
2
3
1: L’utente richiede l’accesso
A un servizio, fornendo un
identificativo e l’indicazione del
gestore delle identità digitali da
utilizzare per la verifica della
propria
identità
2: Il fornitore del servizio inoltra la
richiesta di autenticazione al gestore
delle identità digitali corretto.
Il gestore delle identità digitali, nel
caso in cui l’utente disponga del
corretto livello di credenziali, ne
verifica la corrispondenza,
inoltrando al fornitore del servizio la
conferma dell’ identità e gli eventuali
attributi richiesti.
3 (opzionale): Il
gestore di attributi
qualificati inoltra al
fornitore del servizio
gli attributi richiesti. Il
fornitore del servizio
invia la richiesta di
attributi al gestore di
attributi qualificati
4: L’utente autenticato
viene autorizzato ad
accedere al servizio o alla
funzione richiesta
8. Livelli delle ID
Il Gestore delle Identità Digitali, le può fornire in modalità differenti in funzione delle
tecnologie disponibili. Le ID SPID devono soddisfare i criteri di robustezza che i
Service Provider stabiliscono per consentire l’accesso ai loro servizi e ai dati in loro
possesso
3 differenti livelli di
sistemi di
autenticazione
(ISO /IEC 29115:2013)
Sistemi di autenticazione a un fattore (ad esempio la
password)
Sistemi di autenticazione a due fattori, quali ad esempio:
• ID e password + OTP
• ID e password + MOST
• ID e password + APP TIP
Sistemi di autenticazione a due fattori + certificati digitali
emessi da Certification Authority
1
3
2
9. Ottenere un’ID SPID
Identificazione e rilascio dell’identità:
1) De visu (esibizione a vista di un documento di identità valido e sottoscrizione della
richiesta esplicita di adesione a Identità Digitale SPID)
2) Con CIE (Carta di Identità Elettronica) o CNS (Carta Nazionale dei Servizi)
3) Con altra identità SPID
4) Sottoscrizione della richiesta di ID SPID con Firma digitale o Firma elettronica
qualificata
5) Con altri sistemi informatici di identificazione preesistenti all’introduzione di SPID,
riconosciuti validi da AGID
I Gestori dell'identità digitale devono conservare per 20 anni, dalla scadenza o dalla revoca
della Identità digitale:
• copia per immagine del documento di identità esibito e del modulo (caso 1)
• copia del log della transazione (casi 2, 3 e 5)
• il modulo firmato digitalmente (caso 4)
Chi desidera ottenere un’Identità Digitale, si dovrà rivolgere ad uno dei Gestori di
Identità Digitale accreditati, per essere identificati con certezza.
10. Identità Digitale tra SPID e
CONSIP
Al di là delle previsioni sulla crescita e sul suo sviluppo,
l’Identità Digitale (ID) si configura come elemento
fondante della strategia italiana per lo sviluppo
dell’Agenda Digitale, di cui costituisce la prima priorità.
SPID (Sistema pubblico per l’ID): ha lo scopo di
diffondere l’uso dell’ID nei rapporti on line tra cittadini,
imprese e PA.
Identità Digitale CONSIP SPC Lotto 2: contratto quadro
che finanzia l’erogazione del 20% delle ID italiane (12
milioni)
In sostanza, CONSIP SPC Lotto 2 è l’attuazione della
«prima tranche» di SPID, finanziata dal Governo
11. Tempi
2014 2015
II Q III Q IV Q I Q
9/12 Emanazione DPCM
4/1/15 Emanazione Regole
Tecniche (stima)
Definizione delle modalità di autenticazione, dei servizi
qualificati, del Registro SPID, dell’anagrafe, ecc.
Definizione ed implementazione delle modalità di registrazione
degli utenti e di consegna delle credenziali delle ID SPID (fase di
avvio)
Accreditamento
ID Provider
PILOTA: 3 grandi Comuni, 6 Regioni, 3 PA centrali, 8 Istituti Bancari, AGID ed AssoCertificatori
collaborano assieme per definire le regole e le modalità di funzionamento di SPID.
1/4/2015 definitivamente in vigore
(obbligatorio per i servizi in rete della PA che richiedano identificazione)
31/7 Pubblicazione
Specifiche Servizi
12. Service Provider e Pilota
Insieme di servizi legati al
«cassetto fiscale»
(rimborsi, versamenti,
risultanze catastali, ecc.)
Agenzia delle Entrate
Servizi per artigiani e
commercianti, servizi per la
gestione contributiva e
pensionistica
INPS
Servizi per pubbliche
amministrazioni, aziende,
patronati, caf, associazioni,
consulenti
INAIL
Notifica preliminare cantieri
edili, fascicolo sanitario
elettronico, fascicolo
posizioni debitorie
Regione Toscana
Servizio di gestione dei
rapporti lavorativi, dati
anagrafici sanitari e cambio
medico, anagrafe canina
Regione Friuli V. G.
Servizio di pagamento per
la pubblica amministrazione
e per i dati anagrafici dei
comuni
Regione Emilia R.
Sportello per le attività
produttive, fascicolo
sanitario elettronico e
cambio medico di base
Regione Piemonte
Fascicolo sanitario
elettronico e altri servizi
legati all’edilizia
Regione Liguria
Servizi per cittadini,
imprese, utenti e operatori
PA, consulenti del lavoro e
rappresentanti legali
Regione Marche
Autocompilazione
dichiarazioni sostitutive,
cambio indirizzo, iscrizione
anagrafica
Comune di Firenze
Visura e certificazione
anagrafica, accesso alla
rete WiFi comunale
Comune di Lecce
Certificati e iscrizioni
online, pagamento rette
scolastiche e bandi per
contributi
Comune di Milano
8 Grandi Banche
13. Criticità
DIGITAL DIVIDE: la progressiva diffusione dell’identità
digitale, può acuire le differenze territoriali, di censo e di
condizione culturale legate alla disponibilità e alla qualità
dell’accesso online
AVVIO LENTO: nonostante tutti gli sforzi, la partenza di SPID
sarà piuttosto lenta sia per la scarsa conoscenze, sia per la
necessità di mettere «a regime» una macchina molto complessa,
che coinvolge numerosi soggetti
UNA RIVOLUZION DIFFICILE: gli operatori economici
coinvolti nella realizzazione e nella gestione di SPID devono
risolvere problemi di molto rilevanti in termini di adeguamento
delle infrastrutture tecnologiche, di rapporto con la clientela e di
processi interni, che avranno impatto sull’intera cittadinanza
14. Opportunità
VERSO LA PA DIGITALE: la transizione verso la PA digitale, con
l’incremento del numero di servizi on line messi a disposizione dei
cittadini e dei clienti sarà sostenuta dalla pervasività di smartphone e
tablet sempre più performanti ed «intelligenti»
NUOVE ESIGENZE: cittadini e clienti avranno nuove esigenze
legate alla sicurezza e alla praticità di fruizione dei servizi online
VALORIZZARE LE COMMUNITY: i soggetti economici che
hanno community di utenti registrati che utilizzano i loro servizi
(ad esempio utilities, gambling, PA, ecc.) hanno un interesse specifico
ad utilizzare le Identità Digitali e ai propri clienti nuovi servizi e
nuove app sempre più utili e facili da utilizzare per gli scopi più diversi
15. Vantaggi
CULTURA DIGITALE: l’uso di Identità digitali sicure permetterà
di aumentare la fiducia dei cittadini nei servizi internet
facilitandone la diffusione e l’accesso
MAGGIORE PROTEZIONE: l’uso di SPID consentirà di
contrastare in maniera molto efficace i fenomeni criminali legati
alla frode informatica e di salvaguardare la privacy degli
utilizzatori, poiché sarà sempre meno necessario fornire online i
propri dati
DIGITAL LIFE: tempo libero, produttività e qualità della vita
migliorereanno sensibilmente, perché l’uso sempre più diffuso
dei servizi online e sempre più sicuro dell’Internet delle cose,
consentirà di ridurre drasticamente le esigenze di spostamenti
materiali per effettuare attività, operazioni e transazioni