Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

Progetto Spid

Come funzionerà il sistema di identità digitale italiano

26 Feb 2014

26 febbraio 2014

Tutto quello che c’è da sapere su uno dei pilastri dell’Agenda digitale, raccontato da uno dei principali artefici. I cittadini si procureranno l’identità digitale presso uno degli appositi Gestori. Tre i livelli di sicurezza. Entro giugno il decreto

Con la legge n. 98 del 9 Agosto 2013, il Governo Italiano ha introdotto all’art. 17-ter il Servizio Pubblico di Identità Digitale (SPID).

Il Decreto del Presidente del Consiglio dei Ministri che ne definisce le modalità di adesione ed erogazione è ormai in dirittura di arrivo e non appena ottenuti i concerti del Ministero dell’Economia e Finanze e del Garante della Privacy, sarà inviato a Bruxelles in ottemperanza del Regolamento 98/48. Dopo 90 giorni (il c.d. “stand still period”), se non vi sono eccezioni, il Decreto sarà pubblicato in Gazzetta Ufficiale.

Il tema dell’Identità Digitale è stato più volte identificato, a ragion veduta,  come uno dei pilastri dell’Agenda Digitale. L’uso di Identità Digitali sicure permetterà di aumentare la fiducia dei cittadini nei servizi Internet, ivi inclusi i sistemi di pagamento online, facilitando l’accesso ai servizi e abilitando una serie di nuove funzionalità utili sia per i portali della Pubblica Amministrazione, sia per i servizi offerti dai privati, come l’e-commerce. L’uso di un sistema pubblico di Identità Digitale consentirà inoltre di contrastare in maniera molto efficace i fenomeni criminali e in particolare il Furto d’Identità e l’”impersonificazione”, tipologie di frode informatica in rapida crescita. L’Identità Digitale come concepita in SPID consentirà un aumento della tutela della Privacy, visto che verranno notevolmente ridotti gli archivi contenenti dati personali.

L’Identità Digitale è l’insieme delle informazioni che ci permette di accedere a servizi digitali di qualsiasi natura. Ci permette di essere riconosciuti, di proteggere il nostro accesso e i nostri dati. Lo standard ISO 24760 parte 1 la definisce come un insieme di attributi relativi ad una entità (persona fisica, persona giuridica, sistema, oggetto, ecc.). Questi attributi possono essere informazioni personali (Nome, Cognome, data di nascita), informazioni relative al nostro profilo (indirizzo di email, consenso privacy, abilitazioni a servizi, ecc.). Tra gli attributi, ve ne sono alcuni speciali denominati credenziali: sono utilizzati per poter accedere in modo sicuro ai sevizi. La forma più semplice e conosciuta di credenziale è la “Password”, ma negli ultimi anni si sono diffusi sistemi molto più affidabili e sicuri, dalle “One Time Password” alle Smart Card, dalle App di sicurezza ai sistemi biometrici.

Normalmente ogni servizio o sistema informativo ha il suo sistema di Identità. E’ per questo motivo che ogni qual volta accediamo ad un nuovo servizio, ci viene richiesto di registrarci e di fornire una credenziale (Password) per proteggere il nostro profilo. Con questo sistema negli ultimi anni abbiamo assistito ad una esplosione di profili. Se in linea teorica ogni servizio dovrebbe essere protetto con una password diversa, la quasi totalità degli utenti sceglie sempre la stessa password, che spesso coincide con la password utilizzata per l’accesso all’Email. Questo fa si che l’email sia diventata di fatto un sistema di identità digitale, una sorta di Portachiavi digitale, facilissimo da violare, come è dimostrato dalla crescita esponenziale dei furti di identità.

A dimostrazione della gravità della situazione, il rapporto Verizon su Cyber Security del 2012 mostra che trai le sei prime tipologie di attacco, cinque riguardano il furto o la violazione di identità digitale.

E’ su queste premesse che è stato creato SPID. Nato da una proposta di legge predisposta dagli on. Stefano Quintarelli  (Scelta Civica) on. Paolo Coppola (PD) e Antonio Palmieri (FI), SPID è diventato un progetto della Presidenza del Consiglio, che ho avuto l’onore di condurre e coordinare in questi mesi, con il supporto di un ottimo gruppo di esperti e appassionati del tema.

Il lavoro di questi mesi ha portato alla creazione di un modello innovativo, per certi versi unico.

Partendo dall’analisi dei progetti portati avanti da altri paesi come gli Stati Uniti (con il framework NSTIC), l’Inghilterra, l’Estonia, la Svezia e l’Azerbaijan, abbiamo creato un sistema innovativo che rispettasse le regole non scritte del Digitale e le aspettative degli utenti, che prediligono servizi semplici e diretti.

Il risultato è un Decreto che, a differenza del passato, non entra nei dettagli tecnici, ma definisce uno schema generale che servirà di supporto alla creazione dell’ecosistema delle identità Digitali.

In questo ecosistema ci saranno diversi attori. L’attore più importante, al centro di tutto, è il cittadino, il quale potrà ottenere una o più identità digitali. L’identità Digitale è di fatto l’equivalente di un Passaporto Digitale, che conterrà alcune informazioni identificative obbligatorie, come il codice fiscale, il nome, il cognome, il luogo di nascita, la data di nascita e il sesso. Oltre a queste informazioni, l’Identità conterrà altre informazioni come un indirizzo di email e un numero di telefono, utili per poter comunicare con il soggetto titolare dell’Identità. Oltre a queste informazioni, l’Identità conterrà una o più credenziali, utilizzate per poter accedere ai servizi in modo sicuro.

Il secondo attore è il Gestore delle Identità. Il Gestore è un soggetto pubblico o privato che, previo accreditamento presso l’Agenzia per l’Italia Digitale, si occuperà di creare e gestire le Identità Digitali.

Oltre ai Gestori di Identità, sono previsti i Gestori di Attributi qualificati, ovvero soggetti che per legge sono titolati a certificare alcuni attributi, come un titolo di studio, una abilitazione professionale, ecc.

Il Cittadino potrà utilizzare l’Identità Digitale sui “Gestori di Servizi”. I Gestori di Servizi saranno tutte le pubbliche amministrazioni, ovvero tutti quei soggetti privati che decideranno di aderire a SPID in maniera volontaria.

Il Cittadino che desidera ottenere una Identità Digitale, si dovrà rivolgere ad uno dei Gestori di Identità Digitale accreditati. Il Gestore per poter fornire una Identità Digitale dovrà procedere con un riconoscimento forte del cittadino, attraverso una verifica de-visu. La verifica da parte del Gestore prevederà anche il controllo in tempo reale della coerenza degli attributi sull’ANPR, l’Anagrafe Nazionale della Popolazione Residente. Questo permetterà a tendere di rendere praticamente impossibili tentativi di creazione di Identità con attributi non corretti.

Nel caso in cui il  cittadino disponga già di una Identità Digital SPID, oppure già in possesso di una Carta d’Identità Elettronica attiva o di una Carta Nazionale dei Servizi o di una Tessera Sanitaria con Carta Nazionale dei Servizi, potrà richiedere un’Identità SPID direttamente on-line, poiché il Gestore dei Servizi potrà usufruire della verifica de-visu e degli attributi già effettuata.

Al momento della creazione dell’Identità Digitale, il cittadino verrà fornito di una o più credenziali di sicurezza. Queste credenziali dipenderanno dal sistema di autenticazione offerto dal Gestore di Identità Digitale. La grande innovazione è che SPID non prevede a priori uno specifico sistema di autenticazione, bensì consente al Gestore di Identità Digitale di fornire vari sistemi sulla base delle ultime evoluzioni tecnologiche. Il Decreto identifica tre differenti livelli di sistemi di autenticazione, sulla base dello Standard ISO/IEC 29115 :2013. Il primo livello di SPID corrisponde al livello II dello Standard e prevede sistemi di autenticazione a un fattore, come ad esempio la password.

Nel secondo livello, corrispondente al Livello III dello standard ISO/IEC 29115:2013, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori, non basati necessariamente su certificati digitali le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, come ad esempio le One Time Password o sistemi di autenticazione basati su App.

Nel terzo livello, corrispondente al Livello IV dello standard ISO/IEC 29115:2013, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori basati su certificati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, come ad esempio le Smart Cart e le SecureSIM.

Questo schema permette un grande livello di flessibilità, sia perché i Gestori di Identità Digitale potranno optare per lo stesso livello di sistemi di Autenticazione di tipo diverso, sia perché vi sarà la possibilità di far evolvere nel tempo i sistemi di Autenticazione sulla base delle nuove tecnologie messe a disposizione dal mercato.

Sebbene l’Identità Digitale contenga una serie di informazioni sul cittadino, SPID risponde al principio di condivisione minima degli attributi. Il Gestore dell’Identità Digitale fornire le informazioni sul Cittadino solamente previo consenso esplicito dello stesso. Un Gestore di Servizi potrebbe richiedere la conoscenza del nome, del cognome e la data di nascita del Titolare per poter accedere al proprio servizio: i dati verranno passati dal Gestore dell’Identità Digitale solamente se vi sarà l’esplicito consenso del Cittadino. Nel caso contrario nessuna informazione sarà fornita. SPID potrà essere utilizzato anche solo per la verifica delle credenziali, fornendo quindi anche un servizio di “Pseudonomity”. In ogni caso, i Gestori dell’Identità Digitale saranno tenuti a trattare le informazioni dei cittadini secondo elevati criteri di sicurezza, secondo il regolamento tecnico che sarà emesso dall’Agenzia per l’Italia Digitale.

Il Decreto sarà pubblicato entro giugno in gazzetta ufficiale. Non appena pubblicato, sarà avviato un progetto Pilota aperto a tutte quelle società che vi vorranno partecipare sia in qualità di Gestori di Identità, sia di Gestori di Servizi. Il Pilota, della durata di sei mesi, sarà particolarmente importante per la finalizzazione delle Regole Tecniche, che dovranno essere emesse entro tre mesi dalla fine del Pilota.

Tutti i siti della Pubblica Amministrazione dovranno adeguarsi ai sistemi di Identificazione Elettronica previsti dall’art. 64 del Codice dell’Amministrazione Digitale. Tutti quei siti che oggi non permettono l’accesso tramite Carta d’Identità Elettronica o Carta Nazionale dei Servizi, potranno consentire l’accesso tramite SPID. Poiché SPID è neutro rispetto ai sistemi di autenticazione, le CIE e le CNS potranno essere utilizzate, fornendo così all’amministrazione un unico sistema di accesso che copre sia i sistemi già implementati, che quelli futuri.

 

 

  • paolo

    prima di fare le riforme EPOCALI fate diventare queste CEC-PAC delle normali pec utilizzabili?!

    avete speso un sacco di soldi a darci la casella pec nome.cognome@postacertificata.gov.it …….ma non servono a niente perchè non permettono di comunicare con le normali pec. Tenete conto che molti uffici pubblici hanno delle normali pec!
    Saluti
    paolo del romano

  • Luca Montobbio

    Per il cittadino l’ID digitale è gratuita, immagino. Prevede anche una casella PEC? Una firma digitale?
    Perché usare Identity Provider privati e non fare tutto all’Anagrafe come la Carta d’identità?

  • virgulto

    Non metto in discussione la validità del progetto “originale” partorito dalla nostra creatività.
    Non vorrei che anche su questo argomento si cerchi di “cavalcare la tigre”.
    Siamo arretrati su tutti i fronti ma ci ostiniamo a voler inventare nuovi strumenti senza essere riusciti a far funzionare nessuno dei precedenti.
    Cito a memoria:
    Il codice fiscale. Siamo gli unici imbecilli ad aver voluto creare un codice parlante che “tutti ci invidiano” ma nessuno ha adottato. Un codice numerico muto e immutabile per tutta la vita avrebbe eliminato tutte le peripezie dovute alle omocodie, gli errori e i cambi di dati anagrafici.
    La carta di identità elettronica. Abbiamo voluto dotarcene per primi adottando soluzioni macchinose (8100 comuni avrebbero dovuto dotarsi di strumenti complicati dove 15 tecnologie diverse avrebbero dovuto funzionare contemporaneamente per emettere una plastichetta risultata poi non rispondente ai requisiti di sicurezza europei).
    RUPA. La rete che avrebbe dovuto collegare tutte le amministrazioni centrali e locali a livello nazionale con strane tecnologie fuori standard che sono rimaste lettera morta.
    CNSD. Il sistema di comunicazione certificato tra i Comuni e il Ministero degli Interni basato su tecnologie “originali” che ha fatto impazzire per anni migliaia di operatori.
    Certamente ne dimentico altri.
    Ma non riuscaimo mai ad imparae nulla dai nostri errori ?
    Vittorio

  • Giovanni

    Cec-pac può scrivere tranquillamente alle pec delle pubbliche amministrazioni purché si tratti di pec ufficiali inserite in un pubblico registro
    Si prevede pec gratis per tutti quale domicilio digitale ma non firma
    Fare identità digitale con i certificati significa usare carte il che può essere antistorico vista la diffusione del mobile : si tratta di tanti soldi sprecati a meno di non prevedere una super carta che includa moltissime funzioni
    La rupa e il spc sono stati un successo che ha fatto avanzare il paese
    Purtroppo il metodo seguito ultimamente non è ingegneristico con analisi cb e swot ma a prevalere sono legulei con molta prosopopea e disegni a fiato cortissimo
    La radice dei mali sta nel non avere investito in quella che oggi è agid e che non può più produrre novità avendo lasciato andare le menti migliori e massacrando quelli che non se ne sono andati
    Dite a Renzi che deve azzerare gli attuali vertici e ridurre organico agid a 50 elementi preparati restituendo ai ministeri quelli che non servono

  • cascella

    L’idea è buona, ma nulla di straordinario, e rientra nelle cose che di devono fare, non capisco perciò i precedenti commenti. Tra l’altro nel concetto di base di questa idea, riscontro in parte il mio sistema brevettato nel 2007 , escogitato per l’identificazione del votante che prevedeva “un sistema di comunicazione da e per un centro di servizi elettorale di autenticazione che si interfacciava ad un doppio database nella postazione di interrogazione …”, o un altro mio brevetto che pure prevedeva un servizio di identità digitale sia ai fini anticontraffazione che ai fini del pagamento. Quindi il sistema proposto, rientra nelle cose da farsi, e sono giuste cose, perchè sono propedeutiche a sistemi più innovativi che dovrebbero avere la luce fra breve, riportando l’Italia in ottima posizione. Quello che potrebbe essere obiettato è il fatto che questi organismi siano trasformati e deputati ad essere gli unici interlocutori per il cittadino, riguardo alla loro identità digitale. In questo caso è leggitimo il rilievo posto ” Perché usare Identity Provider privati e non fare tutto all’Anagrafe come la Carta d’identità?” Invece debbono mantenersi sempre come servizi accessori e su base volontaria e limitata, altrimenti furti e truffe saranno sicuramente più facili di adesso .

  • octopus

    Perchè caro Rigoni non spieghi anche che per una P.A. divenire Gestore di Identità è più difficile che per un privato, dovendo dimostrare di “essere conveniente”? E perchè non spieghi che questo significa che le credenziali che mi dà magari Poste (uno a caso eh?) poi le uso nche per la banca ? Insomma che i miei dati se li passano allegramente banche, telco, poste e chi più ne ha più ne metta ? Oltre al fatto che in questo modo state spendendo 10 volte il necessario….

  • matteo

    Ufficio Complicazioni Affari Semplici!
    Come per la posta certificata sarebbe bastato distribuire ai cittadini un certificato digitale VeriSign equivalente e invece si sono inventati la PEC, scomodissima da usare, costosa e complicata).

    Ma perché la PA non costituisce un banalissimo ma efficace server OpenID provider (basato su OAuth 2.0 che usa tutto il mondo ormai), con autenticazione a 2 fattori (es. T-OTP, già usato dai maggiori servizi online come Google Authenticator, Microsoft, Salesforce, Facebook, Dropbox, WordPress, ecc. spedito via sms e/o mobile app a piacimento del cittadino) e così cominciamo ad usare la nostra identità digitale su tantissimi siti e servizi esistenti senza complicazioni e blindature che fuori dalla nostra piccola Italia nessuno implementerà mai?
    Lo capiamo o no che viviamo in un mondo GLOBALE e la soluzione migliore sono gli standard di fatto adottati dalla maggioranza del nostro social graph?

  • elena

    Concordo con chi ha scritto che ci complichiamo la vita per niente. Rupa e spc sono un FALLIMENTO, altro che storie. PEC e cec-pac fanno ridere il mondo e sono un fallimento pratico anche per gli enti pubblici che le usano. Adesso ci manca solo che lo Stato regali il rilascio delle identità digitali ai privati, e ci ritroveremo Riina con un’identità alternativa perfettamente regolare e nessun modo di scoprirla. Gli uffici anagrafe esistono già, metteteli in grado di lavorare e basta!!

  • Doma

    Non è per rimandare il problema, ma una standardizzazione internazionale non sarebbe migliore? Non si dovrebbe andare verso una migliore integrazione, a cominciare da quella informatica? Ci sarebbe anche il discorso del SW libero che farebbe risparmiare nei costi le PA e le imprese. Un grande aiuto all’economia.

Articoli correlati