Una sfida per l’Italia che vuole cambiare

Guido Allegrezza, 9 gennaio 2015

SPID: Sistema Pubblico per l’Identità DigitaleSistema per il rilascio e la gestione di Identità Digitali

che i cittadini e le imprese utilizzano per accedere a tutti i servizi in rete della PA, tramite la verifica della propria identità e di eventuali attributi qualificati

Permette di utilizzare i servizi online non accessibili tramite CIE o CNS (Carta d’Identità Elettronica o Carta Nazionale dei Servizi)

Il rilascio e la gestione dell’ID SPID e dei suoi attributi qualificati possono essere effettuati unicamente da soggetti accreditati ad AGID

Le imprese private possono utilizzare SPID come sistema di accesso dei propri utenti ai servizi on line.

Identità Digitale in SPIDRappresentazione informatica della corrispondenza

biunivoca tra un utente e i suoi attributi identificativi

Verifica attraverso l’insieme dei dati raccolti e registrati in forma digitale in conformità alla normativa

Accesso a servizi on line in funzione di livelli di robustezza dell’identità, commisurati alla natura e alla tipologia delle informazioni rese disponibili.

Principali disposizioni Riferimenti: art. 64 del CAD (D.LGS 82/2005) e articoli 4, 14 e 15 del DPCM SPID del

24/10/2014

L’accesso ai servizi in rete della PA che richiedono identificazione informatica può avviner con CIE (carta d'identità elettronica), CNS (carta nazionale dei servizi) o SPID.

Le imprese possono usare SPID per la gestione dell'identità digitale degli utenti che accedono ai loro servizi in rete. Se per questi servizi è richiesto il riconoscimento dell’utente, l’uso di SPID esonera l’impresa dall’obbligo generale di sorveglianza delle attività sui propri siti (di cui al D.LGS 70/2003, art. 17): basta infatti comunicare il codice identificativo dell’Identità Digitale utilizzata dall’utente

Tutte le amministrazioni pubbliche (articolo 1, comma 2, D.LGS 165/2001, art. 1, c. 2) devono aderire a SPID indicativamente entro gennaio 2017 (24 mesi dalla data di accreditamento del primo gestore dell’ID) e ne usufruiscono gratuitamente

Sono coinvolte tutte le amministrazioni dello Stato, compresi gli istituti e scuole di ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità montane (e loro consorzi e associazioni), le istituzioni universitarie, gli Istituti autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e le loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali, le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale.

Soggetti

Persona fisica o giuridica, titolare

di un’ID SPID, che utilizza i servizi

erogati in rete da un Fornitore di

Servizi, previa identificazione

informatica

Utente

Soggetti pubblici o privati accreditati presso AGID, che

rilasciano e gestiscono le ID SPID.

Gestori identità digitali

Soggetti che possono certificare

attributi dell’ID SPID, quali titolo di

studio, abilitazione professionale, ecc.

Gestori attributi

qualificati

PA e imprese che mettono a disposizione i servizi

online cui accedono i cittadini e le aziende

utilizzando le loro ID SPID.

Fornitori di servizi

Accredita e vigila sui gestori delle identità e sui gestori di

attributi qualificati.

Stipula le convenzioni con i Provider SPID.

Autorità di accreditamento

e vigilanza

Ruoli degli attori coinvoltiGestori delle identità digitali

Gestori di attributi qualificati

Ottengono l’accreditamento presso AgID

Verificano l’identità degli utenti al

momento del rilascio dell’Identità Digitale

Rilasciano e gestiscono l’Identità digitale

Rendono disponibili e gestiscono gli

attributi dell’utente

Rendono disponibile gratuitamente alle

pubbliche amministrazioni il servizio di

autenticazione

Hanno gli stessi requisiti organizzativi e

societari dei certificatori di firma digitale

Ottengono l’accreditamento presso

AgID

Su richiesta dei fornitori dei servizi,

attestano il possesso e la validità di

attributi qualificati da parte degli utenti

Accredita e vigila sugli attori coinvolti su

SPID

Gestisce e pubblica il registro SPID

contenente l’elenco dei soggetti abilitati

Mantiene aggiornati i regolamenti

attuativi

Coordina il pilota con l’obiettivo di

emanare adeguate regole tecniche

Fornitori dei servizi

Ottengono l’accreditamento presso AgID

Mettono a disposizione i loro servizi

online adeguando i propri sistemi per

l’utilizzo di SPID

Scelgono il livello di sicurezza delle

identità digitali necessari per accedere ai

loro servizi

AGID

Verifica ID e accesso on lineUTENTE

FORNITORE

DEL

SERVIZIO

SERVIZIO

ONLINE

GESTORE

DELLE

IDENTITÀ

DIGITALI

GESTORE DI

ATTRIBUTI

QUALIFICATI

1 4

23

1: L’utente richiede l’accesso

A un servizio, fornendo un

identificativo e l’indicazione del

gestore delle identità digitali da

utilizzare per la verifica della

propria

identità

2: Il fornitore del servizio inoltra la

richiesta di autenticazione al gestore

delle identità digitali corretto.

Il gestore delle identità digitali, nel

caso in cui l’utente disponga del

corretto livello di credenziali, ne

verifica la corrispondenza,

inoltrando al fornitore del servizio la

conferma dell’ identità e gli eventuali

attributi richiesti.

3 (opzionale): Il

gestore di attributi

qualificati inoltra al

fornitore del servizio

gli attributi richiesti. Il

fornitore del servizio

invia la richiesta di

attributi al gestore di

attributi qualificati

4: L’utente autenticato

viene autorizzato ad

accedere al servizio o alla

funzione richiesta

Livelli delle IDIl Gestore delle Identità Digitali, le può fornire in modalità differenti in funzione delle

tecnologie disponibili. Le ID SPID devono soddisfare i criteri di robustezza che i

Service Provider stabiliscono per consentire l’accesso ai loro servizi e ai dati in loro

possesso

3 differenti livelli di

sistemi di

autenticazione

(ISO /IEC 29115:2013)

Sistemi di autenticazione a un fattore (ad esempio la

password)

Sistemi di autenticazione a due fattori, quali ad esempio:

• ID e password + OTP

• ID e password + MOST

• ID e password + APP TIP

Sistemi di autenticazione a due fattori + certificati digitali

emessi da Certification Authority

1

3

2

Ottenere un’ID SPID

Identificazione e rilascio dell’identità:1) De visu (esibizione a vista di un documento di identità valido e sottoscrizione della

richiesta esplicita di adesione a Identità Digitale SPID)2) Con CIE (Carta di Identità Elettronica) o CNS (Carta Nazionale dei Servizi)3) Con altra identità SPID4) Sottoscrizione della richiesta di ID SPID con Firma digitale o Firma elettronica

qualificata5) Con altri sistemi informatici di identificazione preesistenti all’introduzione di SPID,

riconosciuti validi da AGID

I Gestori dell'identità digitale devono conservare per 20 anni, dalla scadenza o dalla revocadella Identità digitale:• copia per immagine del documento di identità esibito e del modulo (caso 1)• copia del log della transazione (casi 2, 3 e 5)• il modulo firmato digitalmente (caso 4)

Chi desidera ottenere un’Identità Digitale, si dovrà rivolgere ad uno dei Gestori di

Identità Digitale accreditati, per essere identificati con certezza.

Identità Digitale tra SPID e CONSIPAl di là delle previsioni sulla crescita e sul suo sviluppo,

l’Identità Digitale (ID) si configura come elemento fondante della strategia italiana per lo sviluppo dell’Agenda Digitale, di cui costituisce la prima priorità.

SPID (Sistema pubblico per l’ID): ha lo scopo di diffondere l’uso dell’ID nei rapporti on line tra cittadini, imprese e PA.

Identità Digitale CONSIP SPC Lotto 2: contratto quadro che finanzia l’erogazione del 20% delle ID italiane (12 milioni)

In sostanza, CONSIP SPC Lotto 2 è l’attuazione della «prima tranche» di SPID, finanziata dal Governo

Tempi2014 2015

II Q III Q IV Q I Q

9/12 Emanazione DPCM

4/1/15 Emanazione Regole Tecniche (stima)

Definizione delle modalità di autenticazione, dei servizi qualificati, del Registro SPID, dell’anagrafe, ecc.

Definizione ed implementazione delle modalità di registrazione degli utenti e di consegna delle credenziali delle ID SPID (fase di avvio)

Accreditamento ID Provider

PILOTA: 3 grandi Comuni, 6 Regioni, 3 PA centrali, 8 Istituti Bancari, AGID ed AssoCertificatoricollaborano assieme per definire le regole e le modalità di funzionamento di SPID.

1/4/2015 definitivamente in vigore (obbligatorio per i servizi in rete della PA che richiedano identificazione)

31/7 Pubblicazione Specifiche Servizi

Service Provider e Pilota

Insieme di servizi legati al

«cassetto fiscale»

(rimborsi, versamenti,

risultanze catastali, ecc.)

Agenzia delle Entrate

Servizi per artigiani e

commercianti, servizi per la

gestione contributiva e

pensionistica

INPS

Servizi per pubbliche

amministrazioni, aziende,

patronati, caf, associazioni,

consulenti

INAIL

Notifica preliminare cantieri

edili, fascicolo sanitario

elettronico, fascicolo

posizioni debitorie

Regione Toscana

Servizio di gestione dei

rapporti lavorativi, dati

anagrafici sanitari e cambio

medico, anagrafe canina

Regione Friuli V. G.

Servizio di pagamento per

la pubblica amministrazione

e per i dati anagrafici dei

comuni

Regione Emilia R.

Sportello per le attività

produttive, fascicolo

sanitario elettronico e

cambio medico di base

Regione Piemonte

Fascicolo sanitario

elettronico e altri servizi

legati all’edilizia

Regione Liguria

Servizi per cittadini,

imprese, utenti e operatori

PA, consulenti del lavoro e

rappresentanti legali

Regione Marche

Autocompilazione

dichiarazioni sostitutive,

cambio indirizzo, iscrizione

anagrafica

Comune di Firenze

Visura e certificazione

anagrafica, accesso alla

rete WiFi comunale

Comune di Lecce

Certificati e iscrizioni

online, pagamento rette

scolastiche e bandi per

contributi

Comune di Milano

8 Grandi Banche

CriticitàDIGITAL DIVIDE: la progressiva diffusione dell’identità

digitale, può acuire le differenze territoriali, di censo e di condizione culturale legate alla disponibilità e alla qualità dell’accesso online

AVVIO LENTO: nonostante tutti gli sforzi, la partenza di SPID sarà piuttosto lenta sia per la scarsa conoscenze, sia per la necessità di mettere «a regime» una macchina molto complessa, che coinvolge numerosi soggetti

UNA RIVOLUZION DIFFICILE: gli operatori economici coinvolti nella realizzazione e nella gestione di SPID devono risolvere problemi di molto rilevanti in termini di adeguamento delle infrastrutture tecnologiche, di rapporto con la clientela e di processi interni, che avranno impatto sull’intera cittadinanza

OpportunitàVERSO LA PA DIGITALE: la transizione verso la PA digitale, con

l’incremento del numero di servizi on line messi a disposizione dei cittadini e dei clienti sarà sostenuta dalla pervasività di smartphone e tablet sempre più performanti ed «intelligenti»

NUOVE ESIGENZE: cittadini e clienti avranno nuove esigenze legate alla sicurezza e alla praticità di fruizione dei servizi online

VALORIZZARE LE COMMUNITY: i soggetti economici che hanno community di utenti registrati che utilizzano i loro servizi (ad esempio utilities, gambling, PA, ecc.) hanno un interesse specifico ad utilizzare le Identità Digitali e ai propri clienti nuovi servizi e nuove app sempre più utili e facili da utilizzare per gli scopi più diversi

VantaggiCULTURA DIGITALE: l’uso di Identità digitali sicure permetterà

di aumentare la fiducia dei cittadini nei servizi internet facilitandone la diffusione e l’accesso

MAGGIORE PROTEZIONE: l’uso di SPID consentirà di contrastare in maniera molto efficace i fenomeni criminali legati alla frode informatica e di salvaguardare la privacy degli utilizzatori, poiché sarà sempre meno necessario fornire online i propri dati

DIGITAL LIFE: tempo libero, produttività e qualità della vita migliorereanno sensibilmente, perché l’uso sempre più diffuso dei servizi online e sempre più sicuro dell’Internet delle cose, consentirà di ridurre drasticamente le esigenze di spostamenti materiali per effettuare attività, operazioni e transazioni