Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

il quadro

A che punto è Spid (Sistema pubblico dell’identità digitale) e a cosa serve

di Valeria Portale, Giovanni Miragliotta, Osservatori Digital Innovation del Politecnico di Milano

11 Mar 2016

11 marzo 2016

Tutto ciò che c’è da sapere su Spid, in un articolo continuamente aggiornato a cura degli Osservatori Digital Innovation del Politecnico di Milano. Come si fa a ottenere una identità digitale, stato dei servizi disponibili per utilizzarla e nodi da sciogliere.

Aggiornamento: febbraio 2017

Il 15 marzo 2016 è partito SPID, il sistema di Identità Digitale per rendere più digitale il nostro paese. SPID vuole favorire l’offerta di servizi online per cittadini e persone giuridiche da parte di imprese e Pubbliche Amministrazioni. È un progetto ambizioso su cui AgID lavora dal 2014 e su cui il Governo ha riposto molte aspettative, e AgID si attende oltre 10 milioni di cittadini dotati di SPID entro fine 2017. A fine gennaio 2017, a oltre 10 mesi dal via, vi sono oltre 1.100.000 identità digitali rilasciate, 3.720 Pubbliche Amministrazioni attive con 4.273 servizi disponibili. 

Il numero di identità SPID erogate sta crescendo velocemente negli ultimi mesi grazie alle azioni promosse dal Governo per incentivarne l’adozione, come ad esempio il bonus 18enni e il bonus docenti che possono essere ritirati solo con un’identità SPID. Se a settembre (6 mesi dal lancio) c’erano 90.000 identità SPID erogate, a fine novembre (a 8 mesi e mezzo dal via) erano 430.000 e a gennaio hanno superato il milione. Non vi sono informazioni ufficiali sul reale utilizzo delle identità SPID.

Che cosa è SPID?

SPID è il Sistema Pubblico per l’Identità Digitale promosso dall’AgID e quindi dal Governo, che permette a cittadini e imprese di accedere con un unico login a tutti i servizi online di pubbliche amministrazioni e imprese aderenti. SPID nasce per favorire la diffusione dei servizi online e agevolarne l’utilizzo da parte di cittadini e imprese.

SPID si basa su un modello federato e collaborativo di aziende private. I “gestori delle identità digitali” sono, infatti, aziende private accreditate dall’AgID per la fornitura dei servizi di identità digitale. Cittadini e imprese possono scegliere liberamente il proprio gestore delle identità digitale preferito.

Il primo passo ufficiale dello SPID è stato mosso a fine 2014 con un provvedimento di attuazione, il decreto della Presidenza del Consiglio dei Ministri del 24 ottobre 2014. A metà 2015 sono stati emanati i regolamenti attuativi a dal 15 settembre 2015 è iniziato l’accreditamento degli Identity Provider all’Agenzia. Dal 15 marzo 2016 sono attivi i primi servizi.

Quali attori e ruoli prevede SPID?

Lo SPID identifica differenti ruoli.

  • Gestori dell’identità digitale (o Identity Provider), sono imprese private accreditate allo SPID (ottengono la “licenza” da AgID) con il compito di identificare l’utente in modo certo, di creare le identità digitali, di assegnare le credenziali, di gestire gli attributi degli utenti. Essi inoltre, in qualità di gestori di servizio pubblico, forniscono i servizi a pubbliche amministrazioni e imprese private aderenti di identificazione degli utenti, garantendo la correttezza dell’identità digitale e la riservatezza delle informazioni. A gennaio 2017 ci sono 4 Identity Provider attivi.
  • Fornitori di servizi (o Service Provider) sono i soggetti privati e le Pubbliche Amministrazioni che erogano servizi online, per la cui fruizione è richiesta l’identificazione e l’autenticazione degli utenti. A gennaio 2017 vi sono solo Pubbliche Amministrazione che erogano l’identificazione SPID, ma ci si attende che nel corso del 2017 alcuni Service Provider privati inizieranno ad utilizzare l’identificazione SPID per far accedere ai propri servizi online i cittadini italiani.
  • Utente: persona fisica o giuridica, titolare di un’identità digitale SPID, che utilizza i servizi erogati in rete da un fornitore di servizi, previa identificazione informatica.
  • Agenzia è l’organismo di vigilanza che si occupa di gestire l’accreditamento e di monitorare i gestori dell’identità digitale e i gestori degli attributi qualificati.
  • Gestori di attributi qualificati sono soggetti che hanno il potere di attestare gli attributi qualificati su richiesta dei fornitori di servizi.

Un utente si registra al servizio tramite un Identity Provider che crea un’identità digitale e gli assegna le credenziali per il riconoscimento. L’utente può utilizzare la sua identità digitale per l’accesso ai servizi online offerti dai Service Provider, che sono collegati a tutti gli Identity Provider. Sarà compito dell’Identity Provider verificare la correttezza dei dati di login immessi dall’utenti e fornire al Service Provider solo gli attributi dell’utente strettamente necessari alla fornitura del servizio.

Quali i livelli di sicurezza?

Il modello SPID prevede 3 livelli di sicurezza.

  • Livello 1 (userID e password) garantisce con un buon grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio moderato e compatibile con l’impiego di un sistema autenticazione a singolo fattore, ad es. la password; questo livello può essere considerato applicabile nei casi in cui il danno causato, da un utilizzo indebito dell’identità digitale, ha un basso impatto per le attività del cittadino/impresa/amministrazione. Per il livello 1 la credenziale sarà dunque una password di almeno 8 caratteri, da rinnovarsi ogni 180 giorni, formulata secondo i consueti criteri di sicurezza.
  • Livello 2 (userID, password + ulteriore fattore di autenticazione) garantisce con un alto grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio ragguardevole e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori non necessariamente basato su certificati digitali; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’identità digitale può provocare un danno consistente. Per il livello 2, oltre alla password sarà necessario inserire il codice proveniente da un dispositivo a chiave variabile (c.d. One Time Password) che potrebbe essere anche un’applicazione sul cellulare.
  • Livello 3 (userID, password + ulteriore fattore di autenticazione basato su certificati digitali) garantisce con un altissimo grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio altissimo e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori basato su certificati digitali e criteri di custodia delle chiavi private su altri dispositivi; questo è il livello di garanzia più elevato e da associare a quei servizi che possono subire un serio e grave danno per cause imputabili ad abusi di identità; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’ identità digitale può provocare un danno serio e grave. 

Ci attendiamo che nel corso del 2017 vengano attivati i primi servizi con il livello più alto di sicurezza.

Chi sono gli Identity Provider?

Gli attori che possono assumere il ruolo di Identity Provider sono molteplici (banche, operatori di telefonia mobile, certification authority, fornitori di soluzioni IT) e giocano un ruolo fondamentale nel decretare il successo del sistema perché portano in “dote” allo SPID il proprio bacino di utenti potenziali. Ad oggi, febbraio 2017, sono 4 gli Identity Provider che hanno richiesto e ottenuto la certificazione da parte dell’AgID: Infocert, PosteItaliane, SielteID, Telecom Italia Trust Technologies. 

La condizione ottimale è che il numero di Identity provider sia sufficientemente elevato per raggiungere il maggior numero di utenti, e contemporaneamente limitato per minimizzare il numero di relazioni tra Service Provider e Identity Provider. 

È importante sottolineare che per gli Identity Provider gli investimenti sono certi, mentre i ricavi un po’ meno certi. Lato investimenti, gli Identity Provider devono configurare il sistema seguendo le indicazioni dell’AgID. Lato ricavi, hanno due fonti di remunerazione: dagli utenti (dopo due anni il servizio potrà essere a pagamento in particolare per i servizi al terzo livello); dai Service Provider privati (qualsiasi azienda che aderirà a SPID pagherà gli Identity Provider per i servizi forniti), mentre per le Pubbliche amministrazioni il servizio sarà gratuito.

Quali Service Provider (Pubbliche Amministrazioni e attori privati) sono già attivi?

Le Pubbliche Amministrazioni sono un attore fondamentale per la diffusione di SPID e sono obbligate ad aderire a SPID entro la fine del 2017. Sono oltre 3.700 quelle attive a gennaio 2017, tuttavie sono poche quelle che hanno scelto SPID come metodo esclusivo per riconoscere nuovi utenti. Solo le PA che non avevano ancora investito in sistemi di identificazione esistenti si stanno infatti affidando a SPID come metodo esclusivo per riconoscere i cittadini, mentre le altre stanno affiancando SPID ai metodi di riconoscimento “tradizionali” già attivi.

Invece, non vi sono ancora Service Provider privati che hanno scelto di aderire a SPID, ma per garantire una buona diffusione probabilmente è auspicabile che si attivino nel corso del 2017.

Quali i servizi abilitati?

Sono partiti i primi 4.200 servizi. I servizi della Pubblica Amministrazione a cui si può già accedere sono molteplici: dal pagamento della Tasi al bollo auto, dalle prestazioni sanitarie al fascicolo dell’Inps, dal riscatto della laurea, richiesta degli assegni familiari, dalla consultazione Cud, alla richiesta bollettini, dal saldo di tributi regionali, al pagamento delle mensa scolastica e ticket sanitari via web. A questi servizi si aggiungono tutti i servizi per le persone giuridiche e i liberi professionisti.

A gennaio 2017 la maggior parte dei servizi abilitati sono quelli con un “livello di sicurezza 2”. Nel 2017 ci si attende un maggior sviluppo dei servizzi con “livello di sicurezza 3”

Come si ottiene l’identità digitale?

L’identità SPID è rilasciata dai Gestori di Identità Digitale (Identity Provider) che forniscono le identità digitali e gestiscono l’autenticazione degli utenti.

Per ottenere un’identità SPID l’utente deve farne richiesta al gestore, il quale, dopo aver verificato i dati del richiedente, emette l’identità digitale rilasciando le credenziali all’utente. Per richiedere l’identità digitale è necessario presentare un modulo di richiesta di adesione che contiene tutte le informazioni necessarie per l’identificazione del soggetto richiedente (nome, cognome, sesso, data e luogo di nascita, codice fiscale, estremi del documento di identità) e le informazioni per essere contattati (un indirizzo di posta elettronica – univoco per ogni identità SPID – e un recapito di telefonia mobile).

L’autenticazione dell’utente può avvenire in presenza o a distanza.

1) L’autenticazione in presenza prevede l’esibizione di documentazione cartacea e moduli sottoscritti e può avvenire in due modi:

  • presso una sede fisica del gestore dell’identità;
  • a domicilio su appuntamento (ad esempio Poste Italiane offre la possibilità che un postino possa accertare l’identità direttamente a casa del richiedente).

2) L’autenticazione a distanza può avvenire in due modalità:

  • “identificazione a vista da remoto tramite webcam”: un operatore verifica in una sessione audio/video con il richiedente l’identità tramite la presentazione dei documenti di identità e dichiarazioni del richiedente;
  • “identificazione informatica tramite documenti digitali di identità”: il richiedente viene identificato sulla base della verifica digitale di credenziali informatiche già in proprio possesso, mentre.

Ogni Identity Provider può decidere se rilasciare l’identità gratuitamente o a pagamento per l’utente.

Quali i vantaggi di SPID?

I Service Provider che aderiscono allo SPID, sia Pubbliche Amministrazioni sia imprese private, possono disporre di un parco utenti senza censirli, non avranno gli oneri derivanti dalla conservazione dei dati personali, non dovranno preoccuparsi di evitare attacchi volti al furto delle credenziali. Inoltre, i Service Provider possono avere profili con un’identità certa, eliminando i cosiddetti “falsi profili”, ed univoca, eliminando i duplicati.

Per gli utenti, SPID consente di semplificare la vita di cittadini e imprese nell’interazione con la Pubblica Amministrazione tramite servizi online grazie ad un unico login. Il sistema garantisce la massima sicurezza e privacy. SPID assicura la massima riservatezza dei dati ed è pensato proprio per aumentare la trasparenza sulla gestione dei propri dati ed erogare servizi secondo il principio dei dati minimi. Il Service Provider non può conservare i dati dell’utente che riceve dall’Identity Provider ed è assolutamente vietata la tracciatura delle attività di un individuo.

Quali i costi di SPID?

Per gli utenti, SPID è gratuito per almeno due anni dal lancio (per i livelli 1 e 2 di sicurezza). Gli Identity Provider possono mettere a pagamento i servizi aggiuntivi (ad esempio l’autenticazione da remoto).Il tema dei costi e in generale del business model è il più delicato.

Per le Pubbliche Amministrazioni SPID è gratuito e continuerà ad esserlo.

Per i Service Provider privati, SPID sarà a pagamento e dovranno pagare gli Identity Provider per l’utilizzo del servizio (potrà essere un canone annuale, una fee per ogni identificazione o una fee per ogni utente attivo nell’anno). Il modello di pricing non è ancora stato definito nel dettaglio e sarà uniforme tra i Service Provider; non vi sarà quindi competizione sul prezzo dei servizi core, ma la competizione sarà fatta su eventuali servizi aggiuntivi che potranno essere offerti.

Per gli Identity Provider, SPID è un investimento nella fase di avvio del servizio (infrastruttura tecnologica, accreditamento all’Agenzia, etc.), un costo per l’autenticazione degli utenti e un costo per la gestione delle identità. I ricavi per coprire i costi potranno provenire dagli utenti (dopo due anni il servizio potrà essere a pagamento ed eventuali servizi aggiuntivi saranno a pagamento) e dai Service Provider privati.

 

 

  • Anthares

    In che modo queste “imprese private accreditate” gestiranno i dati di milioni di cittadini? Accreditate poi secondo quali criteri? Quali garanzie abbiamo per la nostra privacy?

  • Peter

    MA che differenza c’è in pratica tra Spid e la Carta Nazionale dei Servizi della quale siamo/saremo tutti provvisti (Tessera SSN e Codice Fiscale). A me sembrano la stessa cosa.

  • alexstop

    Mi sono registrato a PosteID abilitato a SPID ma sia il login che il recupero credenziali non sono andati a buon fine.

  • alexstop

    Il Servizio PosteID abilitato a SPID è stato attivato dopo 4 ore. Consiglio di avvertire l’utente che l’attivazione non immediata.

  • carlo

    =Ho attivato lo SPID con poste.it in 5 minuti e mi si è attivato dopo un minuto. L’ho provato sul sito INPS e funziona perfettamente. Altri siti abilitati non ne ho trovati.

  • salvo

    mi sono registrato a posteID abilitato a SPID, ma il recupero della password è una cosa impossibile

  • rosy

    Registrata a PosteId abilitato a spid mi hanno inserito il livello 2 con app sul cellulare (da me non richiesta) e l’identificazione non è andata a buon fine(tempo perso inutilmente)

  • gianni1953

    Spesa inutile che poteva essere investita nella sanità. Siamo già in possesso di una identità digitale gratis per tutti i cittadini, trattasi della CNS/Tessera Sanitaria, per il cittadino bastava e avanzava. Spesa una tantum dai 15-25 €euro. Bastava fargli qualche piccola modifica essenziale, in quanto, per esempio, un disabile/invalido, deve poter delegare un membro della propria famiglia a sostituirlo per la richiesta delle credenziali. Tutto qui. Inoltre a me Spid non funziona su Agenzia Entrate e INAIL, ma manco la CNS/Tessera sanitaria all’Agenzia delle entrate non è più funzionante e per accedere occorre servirsi del sistema manuale rilasciato dall’agenzia medesima (forse il più sicuro).
    Distinti saluti.

  • ozzac

    Secondo me quando ho bisogno di informazioni preferisco parlare con un diretto interessato
    tipo geometra del comune o INPS direttamente, poi dopo due anni diventa probabilmente a pagamento “nuovo sistema di creare posti di lavoro forse” comunque anche a me non funziona,
    ho provato a cancellarmi non ci sono riuscito….fatemi sapere. mauro

  • big brother

    Ennesima tassa e tracciabilità a senso unico per il cittadino suddito, prossimo passo il chip sottocutaneo.
    Vergogna.

  • Luigi

    Dando le vostre credenzialità accettate di dergli il vostro numero di telefono e una e-mail, quando vi devono farvi recapitare una “multa o una cartella esattoriale o equitalia” o quantaltro siete voi che gli avete dato i vostri dati, è quello che vogliono
    I nostri dati li anno cani e porci, alla faccia della privacy

  • raf

    leggi

  • amusrra

    Ma qualcuno sa dove trovare le specifiche tecniche di SPID? Tipo,standard, protocolli, etc…

  • V.lanteri2

    complimenti a questo governo per tutto quello che sta facendo per il nostro Paese. Bravi. Andate avanti così e siate sempre decisi e determinati. Il nostro sistema Paese deve recuperare anni persi da una politica inutile, inconcludente e dannosa. Grazie di cuore.

  • luigi

    Bello pagano 500 euro ai giovani 18tenni per dargli le loro credenziali…. perché forse non le hanno…ma che vogliono…forse la conferma di un numero di telefono e di una email…per poterti tenere sotto controllo come hanno fatto con i liberi professionisti artigiani e altri che li hanno obbligati di avere una PEC
    che scifo di (ITAGLIA) grazie Madia per farti i cazzi nostri. Luigi

Articoli correlati