Come la Sardegna gestisce l'identità digitale

Il caso

Ci sono numerosi servizi, con tre diversi tipi di autenticazione. Ecco un elenco completo, che racconta lo stato dell'arte in Regione

di Antonello Pellegrino, Regione Sardegna

Con l’avvio, nel 2005, del sistema dei portali istituzionali la Regione Autonoma della Sardegna decise di strutturare in modo il più possibile omogeneo l’accesso di cittadini e imprese alle informazioni e ai servizi erogati dagli uffici dell’Amministrazione.

Venne effettuata una classificazione degli sportelli suscettibili di poter operare tramite front office attivo via web. Conseguentemente divenne necessario individuare, caso per caso, il livello di sicurezza necessario per tutelare il rispetto della privacy del cittadino e allo stesso tempo garantire un adeguato standard di affidabilità alle applicazioni, cercando un equilibrio fra queste esigenze.

Nella maggioranza dei casi emerse il rischio che si potesse creare un potenziale digital divide rispetto all’utenza individuata come possibile fruitrice del servizio in esame. Inoltre, la ricerca di sicurezza e maggiore semplicità possibile del processo di identificazione del fruitore indussero, nei responsabili delle attività di back-office, una riflessione per bilanciare i requisiti di autenticazione con le altre fasi di progressiva informatizzazione del procedimento amministrativo. Ad esempio, una autenticazione con Tessera Sanitaria - Carta Nazionale dei Servizi TS-CNS (forte) avrebbe comportato una difficoltà d’uso non motivata nel momento in cui, per altre ragioni, l’ufficio responsabile dell’attività avesse optato per il successivo invio di moduli firmati in cartaceo a completamento della procedura.

Su queste basi i servizi sono stati resi accessibili con tre tipologie di autenticazione IDM:

 

  • Senza identificazione – uso di Username e “mezza password”: l'utente effettua il login con la sola prima parte della password, ottenibile con la registrazione a sistema e senza presentazione di documenti;
  • Debole – utilizzo di Username e “password intera”: l'utente esegue il login con l'intera password, ottenuta dopo l’invio dei documenti richiesti per l'identificazione.
  • Forte: tramite Smart Card

 

Servizi oggi accessibili tramite Identity Management RAS - http://www.regione.sardegna.it/servizi-idm: di seguito sono elencati i servizi della Regione accessibili tramite il sistema di gestione delle identità digitali (Identity Management RAS). Il sistema richiede il possesso della password o di una smart-card legalmente valida (CIE, CNS). 

Servizi che richiedono la sola prima parte della password
Per accedere ai servizi che prevedono questo tipo di autenticazione è sufficiente inserire il codice fiscale e la prima parte della password nella maschera di login. 
Master and Back - Alta formazione
Internazionalizzazione imprese 
Energia imprese
Rendicontazione progetti ricerca orientata 2008
Progetti di ricerca di base e orientata 2009(per la sola parte di valutazione tecnica dei progetti)
Progetti di ricerca di base e orientata 2010(per la sola parte di valutazione tecnica dei progetti)
Riapertura termini bando ricerca orientata 2010
Valutazioni progetti di cooperazione scientifica e tecnologica Sardegna - Lombardia
Bando ricerca orientata 2011
Opere pubbliche cantierabili 

Servizi che richiedono la registrazione completa
Per accedere ai servizi che prevedono questo tipo di autenticazione è necessario, dopo avere ottenuto la prima parte della password, avere completato la registrazione con la richiesta della seconda parte della password. 
Fascicolo Sanitario Elettronico
Sardegna Entrate
Contributi cooperative
Piano energetico ambientale
Accreditamento delle strutture sanitarie e socio-sanitarie
Master and Back - Vetrine Percorsi di rientro - Avviso pubblico 2012 - 2013
Comunas - i Comuni della Sardegna in rete
Comunas - Servizio in ASP per Atti Amministrativi dei Comuni
Comunas - Rendicontazioni elettorali dei Comuni
Sportello unico - S.U.A.P.
Comunas - Albo regionale delle Associazioni e Società sportive
Scelta e revoca del medico online
Area Operatori del Turismo

 

L’esperienza di questi anni ha consentito la messa a punto di procedure migliorative delle metodiche di registrazione e utilizzo dell’identità digitale dei cittadini, superando ad esempio le difficoltà emerse nella gestione della presentazione massiva di domande tramite sportello telematico.

Va sottolineato che l’utilizzo di un sistema applicativo basato su autenticazione debole, al quale si può accedere con la sola prima metà della password, non offre un particolare miglioramento in termini di sicurezza. Consente però una prima conservazione centralizzata delle identità digitali, e rende possibile richiedere in seguito al medesimo utente l’autenticazione forte per altri servizi online aventi requisiti di sicurezza maggiori, intervenendo con un differente settaggio del sistema di IDM. Su tale base risulterà più agevole il passaggio al sistema nazionale di gestione dell’identità digitale SPID, la cui notifica è stata effettuata nel giugno 2014 e sul quale la Commissione europea potrà formulare eventuali osservazioni entro settembre 2014, con successiva emanazione del Decreto a firma del Ministro per la semplificazione e la pubblica amministrazione e del Ministro dell'economia e delle finanze.

---

 

Livelli di sicurezza delle identità digitali SPID

Primo livello: corrispondente al Level of Assurance LoA2 dello standard ISO/IEC DIS

29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione

informatica a un fattore (per esempio la password), secondo quanto previsto dal

presente decreto e dai regolamenti di cui all’articolo 4.

Secondo livello: corrispondente al Level of Assurance LoA3 dello standard ISO/IEC

DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione

informatica a due fattori, non basati necessariamente su certificati digitali le cui chiavi

private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della

Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente

decreto e dai regolamenti di cui all’articolo 4.

Terzo livello: corrispondente al Level of Assurance LoA4 dello standard ISO/IEC DIS

29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione

informatica a due fattori basati su certificati digitali, le cui chiavi private siano custodite

su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del

Parlamento europeo.

Fonte: Agenzia per l’Italia Digitale - http://www.agid.gov.it/

29 Ottobre 2014

TAG: sardegna