Con l’avvio, nel 2005, del sistema dei portali istituzionali la Regione Autonoma della Sardegna decise di strutturare in modo il più possibile omogeneo l’accesso di cittadini e imprese alle informazioni e ai servizi erogati dagli uffici dell’Amministrazione.
Venne effettuata una classificazione degli sportelli suscettibili di poter operare tramite front office attivo via web. Conseguentemente divenne necessario individuare, caso per caso, il livello di sicurezza necessario per tutelare il rispetto della privacy del cittadino e allo stesso tempo garantire un adeguato standard di affidabilità alle applicazioni, cercando un equilibrio fra queste esigenze.
Nella maggioranza dei casi emerse il rischio che si potesse creare un potenziale digital divide rispetto all’utenza individuata come possibile fruitrice del servizio in esame. Inoltre, la ricerca di sicurezza e maggiore semplicità possibile del processo di identificazione del fruitore indussero, nei responsabili delle attività di back-office, una riflessione per bilanciare i requisiti di autenticazione con le altre fasi di progressiva informatizzazione del procedimento amministrativo. Ad esempio, una autenticazione con Tessera Sanitaria – Carta Nazionale dei Servizi TS-CNS (forte) avrebbe comportato una difficoltà d’uso non motivata nel momento in cui, per altre ragioni, l’ufficio responsabile dell’attività avesse optato per il successivo invio di moduli firmati in cartaceo a completamento della procedura.
Su queste basi i servizi sono stati resi accessibili con tre tipologie di autenticazione IDM:
- Senza identificazione – uso di Username e “mezza password”: l’utente effettua il login con la sola prima parte della password, ottenibile con la registrazione a sistema e senza presentazione di documenti;
- Debole – utilizzo di Username e “password intera”: l’utente esegue il login con l’intera password, ottenuta dopo l’invio dei documenti richiesti per l’identificazione.
- Forte: tramite Smart Card
Servizi oggi accessibili tramite Identity Management RAS – http://www.regione.sardegna.it/servizi-idm: di seguito sono elencati i servizi della Regione accessibili tramite il sistema di gestione delle identità digitali (Identity Management RAS). Il sistema richiede il possesso della password o di una smart-card legalmente valida (CIE, CNS).
Servizi che richiedono la sola prima parte della password
Per accedere ai servizi che prevedono questo tipo di autenticazione è sufficiente inserire il codice fiscale e la prima parte della password nella maschera di login.
– Master and Back – Alta formazione
– Internazionalizzazione imprese
– Energia imprese
– Rendicontazione progetti ricerca orientata 2008
– Progetti di ricerca di base e orientata 2009(per la sola parte di valutazione tecnica dei progetti)
– Progetti di ricerca di base e orientata 2010(per la sola parte di valutazione tecnica dei progetti)
– Riapertura termini bando ricerca orientata 2010
– Valutazioni progetti di cooperazione scientifica e tecnologica Sardegna – Lombardia
– Bando ricerca orientata 2011
– Opere pubbliche cantierabili
Servizi che richiedono la registrazione completa
Per accedere ai servizi che prevedono questo tipo di autenticazione è necessario, dopo avere ottenuto la prima parte della password, avere completato la registrazione con la richiesta della seconda parte della password.
– Fascicolo Sanitario Elettronico
– Sardegna Entrate
– Contributi cooperative
– Piano energetico ambientale
– Accreditamento delle strutture sanitarie e socio-sanitarie
– Master and Back – Vetrine Percorsi di rientro – Avviso pubblico 2012 – 2013
– Comunas – i Comuni della Sardegna in rete
– Comunas – Servizio in ASP per Atti Amministrativi dei Comuni
– Comunas – Rendicontazioni elettorali dei Comuni
– Sportello unico – S.U.A.P.
– Comunas – Albo regionale delle Associazioni e Società sportive
– Scelta e revoca del medico online
– Area Operatori del Turismo
L’esperienza di questi anni ha consentito la messa a punto di procedure migliorative delle metodiche di registrazione e utilizzo dell’identità digitale dei cittadini, superando ad esempio le difficoltà emerse nella gestione della presentazione massiva di domande tramite sportello telematico.
Va sottolineato che l’utilizzo di un sistema applicativo basato su autenticazione debole, al quale si può accedere con la sola prima metà della password, non offre un particolare miglioramento in termini di sicurezza. Consente però una prima conservazione centralizzata delle identità digitali, e rende possibile richiedere in seguito al medesimo utente l’autenticazione forte per altri servizi online aventi requisiti di sicurezza maggiori, intervenendo con un differente settaggio del sistema di IDM. Su tale base risulterà più agevole il passaggio al sistema nazionale di gestione dell’identità digitale SPID, la cui notifica è stata effettuata nel giugno 2014 e sul quale la Commissione europea potrà formulare eventuali osservazioni entro settembre 2014, con successiva emanazione del Decreto a firma del Ministro per la semplificazione e la pubblica amministrazione e del Ministro dell’economia e delle finanze.
—
Livelli di sicurezza delle identità digitali SPID
Primo livello: corrispondente al Level of Assurance LoA2 dello standard ISO/IEC DIS
29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione
informatica a un fattore (per esempio la password), secondo quanto previsto dal
presente decreto e dai regolamenti di cui all’articolo 4.
Secondo livello: corrispondente al Level of Assurance LoA3 dello standard ISO/IEC
DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione
informatica a due fattori, non basati necessariamente su certificati digitali le cui chiavi
private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della
Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente
decreto e dai regolamenti di cui all’articolo 4.
Terzo livello: corrispondente al Level of Assurance LoA4 dello standard ISO/IEC DIS
29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione
informatica a due fattori basati su certificati digitali, le cui chiavi private siano custodite
su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del
Parlamento europeo.
Fonte: Agenzia per l’Italia Digitale – http://www.agid.gov.it/