Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

Identità digitale

Regole SPID, pregi e difetti

di Eugenio Prosperetti, avvocato

22 Set 2015

22 settembre 2015

L’impressione generale sul Regolamento è positiva ma circa le modalità di rilascio probabilmente si poteva fare di più: le procedure sembrano per lo più ereditate dalla firma digitale senza tenere conto degli enormi cambiamenti negli scenari di utilizzo della tecnologia

Il 28 luglio 2015, con la Determinazione n. 44/2015, Agid ha emanato i quattro regolamenti previsti dal DPCM 24 ottobre 2014 che disciplina il Sistema Pubblico dell’Identità Digitale e si è così completato il quadro normativo dell’identità digitale. Il regolamento sulle modalità di accreditamento è entrato in vigore il 15 settembre scorso, data dalla quale i candidati “identity provider” possono presentare domanda di accreditamento all’Agenzia.

E’ dunque interessante in questo momento analizzare pregi e difetti delle regole attuative del sistema che contengono le norme con le quali si stanno confrontando in questi giorni i potenziali identity provider e con le quali avranno a che fare sia le Pubbliche Amministrazioni che dovranno (tutte) dotarsi di accesso conforme a SPID entro 24 mesi da quando sarà operativo il primo identity provider, presumibilmente il prossimo dicembre, sia i siti privati che decideranno di utilizzare l’identità digitale per l’autenticazione e, non ultimi, i cittadini che richiederanno l’identità digitale.

I temi che più interessano sono certamente quelli delle modalità di rilascio ed utilizzo dell’identità digitale dando finalmente la possibilità di comprenderne nel dettaglio il funzionamento, le previsioni in questioni sono contenute nel Regolamento Modalità Attuative.

La prima cosa che notiamo scorrendo il Regolamento Modalità Attuative è la definitiva elencazione dei soggetti che popoleranno il sistema dell’identità digitale: i gestori dell’identità digitale (identity provider), i gestori di attributi qualificati- cui è demandato di certificare particolari qualità e titoli del titolare dell’identità digitale (es. titoli professionali, appartenenza a organizzazioni, titoli di studio, cariche, ecc.) – i fornitori di Servizi (tra cui sia privati che pubbliche amministrazioni) che erogheranno servizi online utilizzando l’autenticazione fornita dall’identità digitale e, ovviamente, gli utenti cui l’identità digitale sarà rilasciata.

Il Regolamento contiene anche una compiuta descrizione delle tre tipologie di identità Spid che potranno essere rilasciate, note come livelli di identità 1, 2 e 3. Il tipo di identità idoneo a ciascun servizio è determinato in ragione del livello di rischio per il fornitore del Servizio in caso di furto/abuso dell’identità stessa.

Il primo livello è in sostanza pari agli attuali PIN/password singoli con cui si accede a vari siti delle pubbliche amministrazioni. Esso è definito adatto ad essere utilizzato solo dove esista “rischio moderato” è a singolo fattore (una sola password o credenziale) e si prevede che sia associato ad attività in cui eventuali danni da uso indebito abbiano basso impatto per cittadino/impresa/pubblica amministrazione. Per il livello 1 la credenziale sarà dunque una password di almeno 8 caratteri, da rinnovarsi ogni 180 giorni, formulata secondo i consueti criteri di sicurezza.

Il secondo livello è invece definito idoneo a un “rischio ragguardevole” (l’abuso può provocare un danno consistente). Si tratta di una identità a doppia credenziale, simile a quelle che utilizzate in alcuni sistemi di home banking in cui a oltre ad una password è richiesto di inserire il codice proveniente da un dispositivo a chiave variabile (c.d. OTP). Il livello 2 dell’identità digitale non prevede come obbligatorio il rilascio di certificati digitali, previsti invece nel livello 3.

Il terzo livello, obbligatorio dove sussista un rischio molto alto in quanto è l’unico che garantisce con estrema affidabilità anche l’identità del titolare, accertata durante l’identificazione, prevede la verifica di due fattori (credenziali) basati su certificati digitali e chiavi private su dispositivi conformi ai requisiti di sicurezza delle norme comunitarie sulla firma digitale. Al riguardo è da notare che il Regolamento cita come riferimento per determinare i requisiti dei dispositivi su cui saranno memorizzati i certificati la Direttiva 1999/93/CE che sarà abrogata a partire dal 10 luglio 2016 per essere sostituita dal Regolamento UE 910/2014 nel frattempo approvato. I dispositivi SPID dovranno dunque, ragionevolmente, da subito essere conformi anche al Regolamento 910/2014 per non dover essere sostituiti a pochi mesi dalla loro distribuzione. E’ anche interessante notare che le definizioni di dispositivo contenute nella Direttiva richiamata (e nel nuovo Regolamento) consentono sia dispositivi di tipo hardware che di tipo software (ad esempio sono tali i generatori di password attraverso app per smartphone, anch’essi diffusi in campo bancario).

Dall’analisi dei tre livelli si conferma che SPID non è sostitutiva dei documenti di identità: non può essere infatti rilasciata a chi non abbia già ottenuto validi documenti di identità e, in sostanza, il livello 3 di SPID porta “a bordo” la capacità identificativa propria dei documenti di identità che il soggetto già detiene e che, come si dirà, vengono verificati in sede di rilascio. Da capire allora se si crei o meno un rapporto tra SPID e le vicende del documento di identità, ad esempio se l’identità vada aggiornata rispetto al rinnovo o alla sostituzione dei documenti di identità alla sua base. Al momento questo aspetto non è chiarissimo ma viene prevista la memorizzazione nell’identità della scadenza del documento identificativo presentato e ciò probabilmente prelude al fatto che, poiché l’identità deve comunicare al Gestore dei Servizi che ne abbia necessità i dati di un documento di identità valido, vi sarà un obbligo di aggiornamento in caso di scadenza del documento identificativo presentato e, in caso venga del tutto a mancare il documento identificativo, l’identità potrebbe essere revocata.

Più oltre il Regolamento modalità attuative prevede che i fornitori di servizi debbano anch’essi stipulare convenzioni con Agid che prevedono sia il livello di Spid richiesto che le informazioni che verranno ottenute dall’autenticazione Spid. Agid dunque vigilerà non solo sui gestori dell’identità e sui gestori di attributi ma, limitatamente agli aspetti dell’autenticazione e dei dati, anche sui fornitori dei servizi. Quest’ultimo aspetto rappresenta una vera e propria nuova competenza di Agid che, probabilmente, sarà da esercitarsi, per quanto riguarda la gestione dei dati, in coordinamento con il Garante Privacy, altro fronte su cui si attendono evoluzioni.

Veniamo ora alle modalità di rilascio che vengono previste dai Regolamenti e la cui efficacia determinerà, con buona probabilità, il successo (o meno) del nuovo sistema.

E’ infatti ben noto come gli “antenati” del sistema SPID, la firma digitale, la CNS, hanno trovato proprio nella complessità delle procedure di rilascio, oltre che nella difficoltà di uso, ad esempio nella necessità di installare software specifici dipendenti da versione del sistema operativo/piattaforma e drivers, fattori limitativi della diffusione. SPID per affermarsi dovrebbe essere in grado di superare questi limiti con procedure semplici per il rilascio e metodi di funzionamento non legati a specifiche piattaforme e requisiti hardware/software. Vediamo allora se i regolamenti hanno in nuce caratteristiche e previsioni idonee a superare le difficoltà in questione.

Notiamo che SPID può essere rilasciata sia a persone fisiche che a persone giuridiche.

Qui un primo aspetto da chiarire è se per persone giuridiche si intendano solo gli enti dotati di personalità giuridica o anche enti (come le associazioni non riconosciute, le ditte individuali, le società in nome collettivo e le associazioni professionali) cui la legge non riconosce la personalità giuridica. Sarebbe stato probabilmente meglio declinare la SPID in base a soggetti con solo codice fiscale, soggetti con partita IVA, soggetti iscritti al Registro Imprese. Altro tema è se la SPID sia richiedibile da soggetti non domiciliati in Italia, come lo è ad esempio il domicilio digitale estone: allo stato sembra che senza un codice fiscale italiano/iscrizione nel registro delle imprese non sia possibile munirsi di SPID e questo taglia fuori una serie di soggetti che pure devono e dovranno avere a che fare con la nostra Pubblica Amministrazione.

Il Regolamento procedure attuative delinea al suo art. 7 una procedura basata sull’esibizione di documentazione cartacea e moduli sottoscritti presso una sede, anch’essa fisica del gestore dell’identità. Tale procedura “a vista” viene messa in risalto come la procedura principale di rilascio dell’identità SPID. Nella prassi, tuttavia, probabilmente la gran parte delle identità saranno rilasciate con procedure a distanza.

Queste sono previste agli artt. 8 e 9, rispettivamente “identificazione a vista da remoto” e “identificazione informatica tramite documenti digitali di identità”.

La differenza tra le due procedure riguarda il fatto che, nella identificazione informatica, il richiedente viene identificato sulla base della verifica digitale di credenziali informatiche già in proprio possesso, mentre nella identificazione da remoto, un operatore verifica in una sessione audio/video con il richiedente l’identità tramite la presentazione dei documenti di identità e dichiarazioni del richiedente. Riguardo a quest’ultimo processo si nota che viene previsto che il richiedente riceva un SMS dal gestore di identità e lo mostri a favore della videocamera per verifica del numero mobile. Questa previsione sembra de facto inibire l’uso di uno smartphone per il processo identificativo da remoto poiché è praticamente impossibile mostrare alla camera dello smartphone, solidale allo schermo, il testo di un SMS ricevuto dallo stesso apparato. Ciò pare complicare di molto la procedura poiché, purtroppo, grande parte della popolazione non dispone di web cam collegata al computer fisso (e, a dire il vero, di computer fisso) e/o è in grado di utilizzarlo, avendo invece molta più familiarità con le funzioni video di uno smartphone.

Interessante la procedura a due fasi in caso di smarrimento/utilizzo non autorizzato di SPID prevista all’articolo 23: l’utente avvisa il Gestore dell’Identità che sospende per un massimo di 30 giorni l’identità. Se il problema si rivela un “falso allarme” (es. smarrimento seguito da ritrovamento senza che vi sia stato utilizzo incontrollato) l’identità può essere ripristinata nei 30 giorni, altrimenti viene revocata a seguito di presentazione di denuncia e sostituita.

E’ altresì descritta l’autenticazione SPID presso i Gestori dei Servizi: l’utente deve prima di tutto indicare il proprio gestore di identità e, successivamente presentare le credenziali (password e token) previste dal proprio livello di SPID per avere accesso al servizio online prescelto. Ciò consente al Gestore del Servizio (la Pubblica Amministrazione cui si vuole accedere o il sito in cui vogliamo entrare e che usa SPID) di ottenere dal Gestore dell’Identità i dati del titolare della SPID necessari all’utilizzo del servizio.

Il Regolamento prosegue fornendo le specifiche tecniche per il dialogo tra Gestore dei Servizi, Gestore dell’Identità e Gestore degli Attributi.

L’impressione generale sul Regolamento è positiva ma circa le modalità di rilascio probabilmente si poteva fare di più: le procedure sembrano per lo più ereditate dalla firma digitale senza tenere conto degli enormi cambiamenti negli scenari di utilizzo della tecnologia e, in particolare, non si coglie la preoccupazione di evitare che si sviluppino procedure che non richiedano complicate installazioni di drivers e software specifici. Nell’attuazione è auspicabile che si eviti che SPID diventa “una cosa in più” e che si favoriscano invece i processi che rendono SPID omogenea alle credenziali già possedute in maniera da raggruppare le credenziali e arrivare a diminuirle. Su questo tema è importante anche il Regolamento per l’utilizzo di identità pregresse che sarà oggetto del prossimo commento.

Sembra inoltre troppo poco sviluppata la suddivisione SPID persone fisiche / persone giuridiche. Manca infatti qualsiasi previsione su come azionare l’identità digitale della persona giuridica (salvo il fatto che essa sia in capo a “amministratori” e “legale rappresentante”). Quando e per quali azioni/decisioni è spendibile l’identità digitale? Occorre prevederlo in statuto? Occorrono poteri ad hoc? Si tratta di un campo che, probabilmente occuperà molta dottrina giuridica e giurisprudenza.

Articoli correlati