A che punto è Spid (Sistema pubblico dell'identità digitale) e a cosa serve

il quadro

Tutto ciò che c'è da sapere su Spid, in un articolo continuamente aggiornato a cura degli Osservatori Digital Innovation del Politecnico di Milano. Come si fa a ottenere una identità digitale, stato dei servizi disponibili per utilizzarla e nodi da sciogliere. Aggiornamento: giugno 2016

di Valeria Portale, Giovanni Miragliotta, Osservatori Digital Innovation del Politecnico di Milano

E' dello scorso 15 marzo 2016 la partenza di SPID, il sistema di Identità Digitale voluto dal Governo per rendere più digitale il nostro paese. SPID vuole favorire l’offerta di servizi online per cittadini e persone giuridiche da parte di imprese e Pubbliche Amministrazioni. È un progetto ambizioso su cui AgID lavora da un paio di anni e su cui il Governo ha riposto molte aspettative, e AgID si attende oltre 10 milioni di cittadini dotati di SPID entro il 2017. A fine maggio 2016, a due mesi e mezzo dal via, vi sono oltre 55.000 identità digitali rilasciate, 8 Pubbliche Amministrazioni attive con 240 servizi disponibili e si prevede una rapida crescita per i prossimi mesi.

Che cosa è SPID?

SPID è il Sistema Pubblico per l’Identità Digitale promosso dall’AgID e quindi dal Governo, che permette a cittadini e imprese di accedere con un unico login a tutti i servizi online di pubbliche amministrazioni e imprese aderenti. SPID nasce per favorire la diffusione di servizi online e agevolarne l’utilizzo da parte di cittadini e imprese, attraverso un ambiente sicuro, efficace ed economico.

La sfida, ossia la portata innovativa dello SPID, consiste nel promuovere servizi online pubblici e privati con la collaborazione di aziende private, favorendo la creazione di un nuovo mercato libero e competitivo. Il modello promosso da SPID segue un approccio federato di aziende private e accreditate per la fornitura dei servizi di identità digitale. Cittadini e imprese possono scegliere liberamente il proprio gestore delle identità digitale preferito.

Il primo passo ufficiale dello SPID è stato mosso a fine 2014 con un provvedimento di attuazione, il decreto della Presidenza del Consiglio dei Ministri del 24 ottobre 2014. A metà 2015 sono stati emanati i regolamenti attuativi a dal 15 settembre 2015 è iniziato l’accreditamento degli Identity Provider all’Agenzia. Dal 15 marzo 2016 sono attivi i primi servizi.

Quali attori e ruoli prevede SPID?

Lo SPID identifica differenti ruoli.

  • Gestori dell’identità digitale (o Identity Provider), sono imprese private accreditate allo SPID (ottengono la “licenza” da AgID) con il compito di identificare l’utente in modo certo, di creare le identità digitali, di assegnare le credenziali, di gestire gli attributi degli utenti. Essi inoltre, in qualità di gestori di servizio pubblico, forniscono i servizi a pubbliche amministrazioni e imprese private aderenti di identificazione degli utenti, garantendo la correttezza dell’identità digitale e la riservatezza delle informazioni.
  • Fornitori di servizi (o Service Provider) sono i soggetti privati e le pubbliche amministrazioni che erogano servizi online, per la cui fruizione è richiesta l’identificazione e l’autenticazione degli utenti.
  • Utente: persona fisica o giuridica, titolare di un'identità digitale SPID, che utilizza i servizi erogati in rete da un fornitore di servizi, previa identificazione informatica.
  • Agenzia è l’organismo di vigilanza che si occupa di gestire l’accreditamento e di monitorare i gestori dell’identità digitale e i gestori degli attributi qualificati.
  • Gestori di attributi qualificati sono soggetti che hanno il potere di attestare gli attributi qualificati su richiesta dei fornitori di servizi.

Un utente si registra al servizio tramite un Identity Provider che crea un’identità digitale e gli assegna le credenziali per il riconoscimento. L’utente può utilizzare la sua identità digitale per l’accesso ai servizi online offerti dai Service Provider, che sono collegati a tutti gli Identity Provider. Sarà compito dell’Identity Provider verificare la correttezza dei dati di login immessi dall’utenti e fornire al Service Provider solo gli attributi dell’utente strettamente necessari alla fornitura del servizio.

Quali i livelli di sicurezza?

Il modello SPID prevede 3 livelli di sicurezza.

  • Livello 1 garantisce con un buon grado di affidabilità l'identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio moderato e compatibile con l’impiego di un sistema autenticazione a singolo fattore, ad es. la password; questo livello può essere considerato applicabile nei casi in cui il danno causato, da un utilizzo indebito dell’identità digitale, ha un basso impatto per le attività del cittadino/impresa/amministrazione. Per il livello 1 la credenziale sarà dunque una password di almeno 8 caratteri, da rinnovarsi ogni 180 giorni, formulata secondo i consueti criteri di sicurezza.
  • Livello 2 garantisce con un alto grado di affidabilità l'identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio ragguardevole e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori non necessariamente basato su certificati digitali; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’identità digitale può provocare un danno consistente. Per il livello 2, oltre alla password sarà necessario inserire il codice proveniente da un dispositivo a chiave variabile (c.d. One Time Password) che potrebbe essere anche un’applicazione sul cellulare.
  • Livello 3 garantisce con un altissimo grado di affidabilità l'identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio altissimo e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori basato su certificati digitali e criteri di custodia delle chiavi private su altri dispositivi; questo è il livello di garanzia più elevato e da associare a quei servizi che possono subire un serio e grave danno per cause imputabili ad abusi di identità; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’ identità digitale può provocare un danno serio e grave. E’ anche interessante notare che le definizioni di dispositivo includa sia dispositivi di tipo hardware sia di tipo software (ad esempio sono tali i generatori di password attraverso app per smartphone).

Chi sono gli Identity Provider?

Gli attori che possono assumere il ruolo di Identity Provider sono molteplici (banche, operatori di telefonia mobile, certification authority, fornitori di soluzioni IT) e giocano un ruolo fondamentale nel decretare il successo del sistema perché portano in “dote” allo SPID il proprio bacino di utenti potenziali. Ad oggi, giugno 2016, sono 3 gli Identity Provider che hanno richiesto e ottenuto la certificazione da parte dell’AgID: Infocert, PosteItaliane, Telecom Italia Trust Technologies. Questi attori possono far leva sugli asset acquisiti in anni di operatività sul loro core business: punti di vendita fisici e capillari, base utenti elevata, utenti già dotati di firma elettronica.

La condizione ottimale è che il numero di Identity provider sia sufficientemente elevato per raggiungere il maggior numero di utenti, e contemporaneamente limitato per minimizzare il numero di relazioni tra Service Provider e Identity Provider. 

È importante sottolineare che per gli Identity Provider gli investimenti sono certi, mentre i ricavi un po’ meno certi. Lato investimenti, gli Identity Provider devono configurare il sistema seguendo le indicazioni dell’AgID. Lato ricavi, hanno due fonti di remunerazione: dagli utenti (dopo due anni il servizio potrà essere a pagamento in particolare per i servizi al terzo livello); dai Service Provider privati (qualsiasi azienda che aderirà a SPID pagherà gli Identity Provider per i servizi forniti), mentre per le Pubbliche amministrazioni il servizio sarà gratuito.

Quali Pubbliche Amministrazioni sono già attive?

Il Governo spera che l’adesione massiva da parte delle Pubbliche Amministrazioni consenta di accelerare la crescita della base di utenti che aderiranno al sistema. Tuttavia SPID non sarà l’unico modo per accreditarsi sui siti delle Pubbliche Amministrazioni che potranno affiancare a SPID anche sistemi quali il riconoscimento tramite Carta d’Identità Elettronica o Carta Nazionale dei Servizi.Le Pubbliche Amministrazioni sono un attore fondamentale per la diffusione di SPID. Sono, infatti, le prime a partire come Service Provider. Tra marzo e aprile 2016 sono partiti i primi 237 servizi offerti da 8 tra pubbliche amministrazioni centrali (Agenzia delle Entrate, Equitalia, INAIL INPS), Regioni (Friuli Venezia Giulia, Emilia Romagna, Toscana,) e Comuni (Venezia). Entro giugno 2016 saliranno a 600 i servizi abilitati e si aggiungeranno nuovi Comuni (Firenze e Lecce) e nuove Regioni (Basilicata, Lazio, Liguria, Lombardia, Marche, Piemonte e Umbria). Entro 24 mesi (in teoria novembre 2017) tutte le Pubbliche Amministrazioni aderiranno obbligatoriamente a SPID e per loro i servizi di identificazione saranno completamente gratuiti. Nel periodo successivo a giugno si abiliteranno molte altre Pubbliche Amministrazioni tra cui anche le Università (la prima sarà la Sapienza di Roma).

Quali i servizi abilitati?

I servizi della Pubblica Amministrazione a cui si può già accedere sono molteplici: dal pagamento della Tasi al bollo auto, dalle prestazioni sanitarie al fascicolo dell’Inps, dal riscatto della laurea, richiesta degli assegni familiari, dalla consultazione Cud, alla richiesta bollettini, dal saldo di tributi regionali, al pagamento delle mensa scolastica e ticket sanitari via web. A questi servizi si aggiungono tutti i servizi per le persone giuridiche e i liberi professionisti.

Come si ottiene l'identità digitale?

L’identità SPID è rilasciata dai Gestori di Identità Digitale (Identity Provider) che forniscono le identità digitali e gestiscono l’autenticazione degli utenti.

Per ottenere un’identità SPID l’utente deve farne richiesta al gestore, il quale, dopo aver verificato i dati del richiedente, emette l’identità digitale rilasciando le credenziali all’utente. Per richiedere l’identità digitale è necessario presentare un modulo di richiesta di adesione che contiene tutte le informazioni necessarie per l’identificazione del soggetto richiedente (nome, cognome, sesso, data e luogo di nascita, codice fiscale, estremi del documento di identità) e le informazioni per essere contattati (un indirizzo di posta elettronica – univoco per ogni identità SPID - e un recapito di telefonia mobile).

L’autenticazione dell’utente può avvenire in presenza o a distanza. L’autenticazione in presenza prevede l’esibizione di documentazione cartacea e moduli sottoscritti presso una sede, anch’essa fisica del gestore dell’identità. L’autenticazione a distanza può avvenire in due modalità: “identificazione a vista da remoto” e “identificazione informatica tramite documenti digitali di identità”. La differenza tra le due procedure riguarda il fatto che, nella identificazione informatica, il richiedente viene identificato sulla base della verifica digitale di credenziali informatiche già in proprio possesso, mentre nella identificazione da remoto, un operatore verifica in una sessione audio/video con il richiedente l’identità tramite la presentazione dei documenti di identità e dichiarazioni del richiedente.

Il processo di richiesta e autenticazione è fondamentale perché una user experience eccessivamente complicata potrebbe scoraggiare gli utenti che vorrebbero aderire al servizio.

Di seguito vediamo come funziona attualmente il rilascio delle identità digitali da parte dei tre Identity provider attualmente attivi:

  • Poste Italiane: i clienti di Poste Italiane che già dispongono di strumenti di identificazione (lettore BancoPosta, numero di telefono certificato su carta Postepay o Libretto Smart, APP PosteID) e i cittadini in possesso di Carta Nazionale dei Servizi, Carta d’identità elettronica o Firma Digitale possono accedere ad una procedura di registrazione semplificata completamente online. Altrimenti bisognerà andare negli uffici postali abilitato a SPID, che da aprile saranno in tutta Italia (Poste ancora non ne fornisce la lista).
  • Tim: al momento consente esclusivamente l’attivazione online per gli utenti aventi una firma digitale, la Carta nazionale dei servizi o la Carta d’Identità elettronica.
  • Infocert: consente l’attivazione online per utenti in possesso di una firma digitale, la Carta nazionale dei servizi e la Carta di identità elettronica, per tutti gli altri utenti consente l’attivazione con riconoscimento via web (per 15 euro più IVA) e la possibilità di andare di persona in sede (solo a Roma, Padova e Milano).

Certamente prevediamo che ci sarà uno sviluppo nei prossimi mesi sulle modalità di rilascio dell’identità digitale.

Quali i vantaggi di SPID?

I Service Provider che aderiscono allo SPID, sia Pubbliche Amministrazioni sia imprese private, possono disporre di un parco utenti senza censirli, non avranno gli oneri derivanti dalla conservazione dei dati personali, non dovranno preoccuparsi di evitare attacchi volti al furto delle credenziali. Inoltre, i Service Provider possono avere profili con un’identità certa, eliminando i cosiddetti “falsi profili”, ed univoca, eliminando i duplicati.

Per gli utenti, SPID consente di semplificare la vita di cittadini e imprese nell’interazione con la Pubblica Amministrazione tramite servizi online grazie ad un unico login. Il sistema garantisce la massima sicurezza e privacy. SPID assicura la massima riservatezza dei dati ed è pensato proprio per aumentare la trasparenza sulla gestione dei propri dati ed erogare servizi secondo il principio dei dati minimi. Il Service Provider non può conservare i dati dell’utente che riceve dall’Identity Provider ed è assolutamente vietata la tracciatura delle attività di un individuo.

Quali i costi di SPID?

Per gli utenti, SPID è gratuito per almeno due anni (per i livelli 1 e 2 di sicurezza). È ancora da capire cosa succederà tra due anni perché mettendo il servizio a pagamento si correrebbe il rischio di ridurre l’adozione da parte degli utenti e quindi l’attrattività per i Service Provider. Gli Identity Provider potranno invece pensare a servizi aggiuntivi da mettere a pagamento (ad esempio l’autenticazione da remoto).Il tema dei costi e in generale del business model è il più delicato.

Per le Pubbliche Amministrazioni SPID è gratuito e continuerà ad esserlo.

Per i Service Provider privati, SPID sarà a pagamento e dovranno pagare gli Identity Provider per l’utilizzo del servizio (potrà essere un canone annuale, una fee per ogni identificazione o una fee per ogni utente attivo nell’anno). Il modello di pricing non è ancora stato definito nel dettaglio e sarà uniforme tra i Service Provider; non vi sarà quindi competizione sul prezzo dei servizi core, ma la competizione sarà fatta su eventuali servizi aggiuntivi che potranno essere offerti.

Per gli Identity Provider, SPID è un investimento nella fase di avvio del servizio (infrastruttura tecnologica, accreditamento all’Agenzia, etc.), un costo per l’autenticazione degli utenti e un costo per la gestione delle identità. I ricavi per coprire i costi potranno provenire dagli utenti (dopo due anni il servizio potrà essere a pagamento ed eventuali servizi aggiuntivi saranno a pagamento) e dai Service Provider privati.

 

 

11 Marzo 2016

TAG: identità, spid, polimi, Portale, Miragliotta, Politecnico Milano