


2. Entro trenta giorni dalla pubblicazione del presente decreto, l’Agenzia, sentito il Garante per la protezione dei dati personali, definisce con proprio regolamento le regole tecniche e le modalità attuative per la realizzazione dello SPID.
3. Entro sessanta giorni dalla pubblicazione del presente decreto, l’Agenzia, sentito il Garante per la protezione dei dati personali, defi nisce con proprio regolamento le modalità di accreditamento dei soggetti SPID.
4. Entro sessanta giorni dalla pubblicazione del presente decreto, l’Agenzia, sentito il Garante per la protezione dei dati personali, definisce con proprio regolamento le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale.
DPCM 24 ottobre 2014 – Art. 4. Ruolo dell’Agenzia
I soggetti pubblici o privati che partecipano allo SPID sono:
- i gestori dell’identità digitale;
- i gestori degli attributi qualificati;
- i fornitori di servizi;
- l’Agenzia per l’Italia digitale;
- gli utenti.
Il sistema ricalca/assomiglia molto a quello per il rilascio della firma elettronica qualificata: il tutto ruota intorno ai fornitori di trust services (“servizi fiduciari” nella traduzione in italiano del testo del Regolamento EiDAS) che mettono a disposizione le loro infrastrutture tecnologiche e il loro ruolo di autorità di certificazione per garantire agli utenti, che ne faranno richiesta, la propria identità certificata da un terzo affidabile e accreditato (sia come CA già accreditata presso AgID che come fornitore di identità SPID) e ai fornitori di servizi che devono autenticare fare accedere un utente, che “io” sia veramente “io”. Gli identity provider (i gestori dell’identità digitale, ndr.) che partono nella fase pilota iniziale sono le CA Infocert, Poste Italiane e Telecom Italia.
Gli identity provider identificano, certificano e autenticano gli utenti (ai servizi dei fornitori di servizi), secondo i diversi livelli di sicurezza reputati necessari dai fornitori di servizi.
Livelli di sicurezza delle identità digitali: nel primo livello, sarà sufficiente una password, che l’utente otterrà dal gestore. Nel secondo e nel terzo livello, saranno necessarie strong authentication, autenticazioni a doppio fattore; oltre alla password statica bisognerà inserire una One Time Password generata dinamicamente da un dispositivo (uno smartphone dotato di app nel secondo livello, un dispositivo certificato nel terzo).
I gestori dell’identità digitale garantiscono che l’autenticazione informatica avvenga attraverso software e soluzioni tecniche che non richiedono ai fornitori di servizi di dotarsi di dispositivi, fissi o mobili, proprietari. Sono consentite soluzioni tecniche che prevedono il caricamento del software necessario per effettuare l’autenticazione informatica (leggasi plugin, ndr.).
DPCM 24 ottobre 2014 – Art. 6. par. 3 Livelli di sicurezza delle identità digitali
I fornitori di servizi possono essere pubblici (per la fase pilota partono l’Inps, l’Inail, l’Agenzia delle Entrate, le Regioni Piemonte, Friuli, Emilia Romagna, Toscana, Marche e i Comuni di Firenze, Lecce e Milano) o privati (per adesso missing in action …).
Esistono poi i soggetti che hanno il potere di attestare attributi qualificati e renderli disponibili su SPID; sono accreditati di diritto i seguenti gestori di attributi qualificati:
- il Ministero dello sviluppo economico in relazione ai dati contenuti nell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti;
- i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all’attestazione dell’iscrizione agli albi professionali;
- le camere di commercio, industria, artigianato eagricoltura per l’attestazione delle cariche e degli incarichi societari iscritti nel registro delle imprese;
- l’Agenzia in relazione ai dati contenuti nell’indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi.
L’Agenzia per l’Italia Digitale:
- accredita e vigila i gestori di identità;
- accredita e vigila i gestori di attributi qualificati;
- stipula convenzioni con i Gestori di identità, Gestori di attributi qualificati e Fornitori di servizi;
- vigila sul rispetto delle convenzioni;
- gestisce e pubblica il registro SPID contenente l’elenco dei soggetti abilitati a operare in qualità di gestori dell’identità digitale, di gestori degli attributi qualificati e di fornitori di servizi;
- mantiene aggiornati i regolamenti attuativi;
- coordina il pilota con l’obiettivo di emanare delle adeguate regole tecniche garantendone trasparenza e divulgazione.
Tutti i soggetti coinvolti in SPID, fatta ecccezzione per gli utenti, costituiscono un sistema aperto e cooperante che consente loro di comunicare utilizzando meccanismi di interazione, standard tecnologici e protocolli indicati nel decreto e precisati nelle regole tecniche definite ed emanate dall’Agenzia, nei 60 gg. successivi alla pubblicazione del DPCM.
Il sistema SPID è speculare al sistema dei pagamenti/transazioni elettroniche online tramite carte di credito. Tutti gli esercenti (leggasi fornitori di servizi e prodotti) si appoggiano a dei circuiti di pagamento (principalmente di carte di credito) che verificano in tempo reale la validità delle carte e la disponibilità di fondi e rilasciano l’autorizzazione al pagamento (in altre parole rassicurano il venditore che il cliente che sta comprando un suo prodotto/servizio ha i soldi per pagare). Così come già esiste da tempo il terzo garante per la transazione economica (il circuito delle carte di credito), esisterà a breve un terzo garante per l’accesso ai servizi dei fornitori di servizi/esercenti.
Considerazioni finali
- SPID è un enorme guadagno di sicurezza per tutti, consumatori e fornitori. I consumatori avranno la garanzia che le loro credenziali e i loro dati saranno gestiti dagli identity provider tramite sistemi ad alta affidabilità e sicurezza e sottoposti a vigilanza da parte di un ente pubblico (che ovviamente chiederà garanzie di accreditamento e di funzionamento). La gestione in outosorcing del processo di identificazione ed autenticazione garantirà a molti e-fornitori meno grattacapi dal punto di vista della sicurezza di accesso e tutela della privacy.
- Il break even del sistema è rappresentato da una massa critica di utenti e di servizi che usufruiscono dei servizi SPID, che permetta di considerare il sistema pienamente operativo, di largo utilizzo e che a tendere potrà soppiantare in buona parte i sistemi proprietari di identificazione/autenticazione.
- Non si rinviene traccia nelle comunicazioni fatte fino ad oggi di ROI (Return of Investment); immaginiamo che così come per le percentuali riscosse agli esercenti, da parte dei circuiti di carte di credito per le autorizzazioni ai pagamenti, lo stesso modello (o anche un una tantum, da rinnovare ogni x anni, così come avviene per le firme digitali) si potrà/dovrà applicare per SPID; c’è da aspettrsi a breve (non prima della conclusione della fase pilota) l’apparizione di messaggi del tipo: “ti vuoi autenticare con un’unica chiave di accesso, più sicura, unica e più pratica ad una moltitudine/vasta gamma di servizi? è facile con “SPID-ACME”, bastano pochi click e pochi euro”. Sarà da verificare se il costo di SPID lato utente lo sosterranno gli utenti oppure i fornitori di servzi.
- Il governo parla di milioni di utenti SPID nel corso del 2015, l’utenza credo che sia inversamente proporzionale al numero di servizi che saranno accessibili tramite sistema SPID, a tal proposito il governo dovrebbe trovare il modo di agevolare l’adozione del sistema da parte anche di operatori privati (banche, assicurazioni, servizi di e-commerce, ecc.).
- Così come per la carta e il digitale, continuerà ad esistere un interregno fra sistemi proprietari e sistema SPID, l’obiettivo, come detto, dovrà essere quello di spostare il più della identificazione/autenticazione online su SPID.
Commenti recenti