SMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitali

SPID: le nuove frontiere delle identità digitaliRelatore: Gianluca Satta

SPID: le nuove frontiere

delle identità digitali

Gianluca Satta

1


Cosa è l’identità digitale?

A cosa serve un’identità digitale?

Esiste un diritto all’identità digitale?

L’identit{ digitale

2


“The essential and unique characteristics ofan entity are what identify it.”

H. Abelson e L. Lessig, Massachusetts Institute of Technology

“A Digital Identity is a virtual representation of a real identitythat can be used in electronic interactions with othermachines or people.”

E. Norlin e A. Durand, “Federated Identity Management”, Whitepaper on towards federated identity management

Non è facile dare una definizione esaustiva

Cosa è l’identit{ digitale?

3


“The value of Digital Identity is that it allows us to transpose the ease andsecurity human interactions once had when we knew each other or didbusiness face-to-face, to a machine environment where we are oftenmeeting one another (virtually) for the first time in transactions whichmight span vast distances.”

E. Norlin e A. Durand, “Federated Identity Management”, Whitepaper on towards federated identity management

Identità fisica vs Identità digitale

A cosa serve un’identit{ digitale?

Il valore dell’Identit{ Digitale come strumento per trasporre (comodità esicurezza) tipiche delle interazioni umane, in un ambiente di macchine dovespesso ci si incontra virtualmente per la prima volta, nell’ambito di transazioni trasoggetti fisicamente molto distanti

4


REAL LIFE

Interazioni umane:

- Agevoli

- Sicure

- Faccia a faccia

VIRTUAL LIFE

Interazioni tra macchine:

- Distanza

- Incertezza

- Insicure

Identità fisica vs

Identità digitale


5


Unica

Univoca

Identità fisica Distribuite

(le informazioni sonodislocate in diversipunti della rete)

Possono essere associate più ID a ciascuna persona fisica

Identità digitale

Identità fisica vs Identità digitale


6


(1) Instaurare la fiducia negli ambienti online è fondamentale per losviluppo economico e sociale. La mancanza di fiducia, dovuta inparticolare a una percepita assenza di certezza giuridica, scoraggia iconsumatori, le imprese e le autorità pubbliche dall’effettuare transazioniper via elettronica e dall’adottare nuovi servizi.

La fiducia nelle transazioni elettroniche

(2) Il presente regolamento mira a rafforzare la fiducia nelle transazionielettroniche nel mercato interno fornendo una base comune perinterazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche,in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati,nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

REGOLAMENTO (UE) N. 910/2014 - eIDAS

considerando


7


All’interno dell’ordinamento giuridico sono tutelati gli elementi principali diindividuazione della persona, quali il nome e l’immagine.L’identificazione della persona, infatti, presuppone sempre la sua individuazione.

IL NOME trova disciplina e tutela negli articoli 6 - 9 del codice civile, nonché all’art.22 della Costituzione. Se il codice civile all’art. 6 in positivo dispone che ogni personaha diritto al nome, la Costituzione repubblicana all’art. 22 assicura in negativo che“nessuno può essere privato, per motivi politici, del nome”.

L'IMMAGINE è invece un mezzo identificativo innato, essa descrive l'insieme dellesue fattezze in misura e maniera tale da poterla riconoscere. Ciò che circola è la suariproduzione e, pertanto, ad essa è assicurata la tutela del legislatore all'art. 10 c.c.

Esistono varie forme di tutela dell’identità personale. Dottrina e giurisprudenzasono arrivate ad affermare l’esistenza di un vero e proprio diritto all’identitàpersonale, che trova fondamento nell’art. 2 Cost.

Esiste un diritto all’identit{ digitale?

8


Art. 2, Codice Privacy (D. Lgs. 196/2003)“Il presente testo unico, di seguito denominato "codice", garantisce cheil trattamento dei dati personali si svolga nel rispetto dei diritti e dellelibertà fondamentali, nonché della dignità dell'interessato, conparticolare riferimento alla riservatezza, all'identità personale e aldiritto alla protezione dei dati personali”

E l’identità digitale?......


9


L’identità digitale è strettamente congiunta a quella personale, la primadescrive e rappresenta la seconda.

È necessario assicurare all’identità digitale le medesime tutele egaranzie riconosciute dall’ordinamento per l’identità personale

L’identit{ digitale deve essere oggetto di tutela all’internodell’ordinamento, in quanto strettamente connessa all’identit{ realedella persona

L’identit{ digitale può avere legami più o meno diretti con l’identit{reale: dall’anonimato alla totale associazione


10


Attraverso regole che tutelano:

Identità personale in rete

Tecniche di identificazione del soggetto a mezzo di

strumenti informatici

Esiste un diritto all’identit{ digitale?Come tutelare l’identit{ digitale

11


Esiste un diritto all’identit{ digitale?Dichiarazione dei diritti in Internet

Commissione per i diritti e i doveri relativi ad Internet - 14 luglio 2015

Art. 1 - Riconoscimento e garanzia dei diritti

1. Sono garantiti in Internet i diritti fondamentali di ogni persona riconosciuti dallaDichiarazione universale dei diritti umani delle Nazioni Unite, dalla Carta dei dirittifondamentali dell’Unione Europea, dalle costituzioni nazionali e dalle dichiarazioniinternazionali in materia.2. Tali diritti devono essere interpretati in modo da assicurarne l’effettivit{ nelladimensione della Rete.3. Il riconoscimento dei diritti in Internet deve essere fondato sul pieno rispetto delladignità, della libertà, dell’eguaglianza e della diversità di ogni persona, che costituiscono iprincipi in base ai quali si effettua il bilanciamento con altri diritti.

12



Art. 9 - Diritto all’identità

1. Ogni persona ha diritto alla rappresentazione integrale e aggiornata delle proprieidentità in Rete.2. La definizione dell’identit{ riguarda la libera costruzione della personalità e non puòessere sottratta all’intervento e alla conoscenza dell’interessato.3. L’uso di algoritmi e di tecniche probabilistiche deve essere portato a conoscenza dellepersone interessate, che in ogni caso possono opporsi alla costruzione e alla diffusionedi profili che le riguardano.4. Ogni persona ha diritto di fornire solo i dati strettamente necessari perl’adempimento di obblighi previsti dalla legge, per la fornitura di beni e servizi, perl’accesso alle piattaforme che operano in Internet.5. L’attribuzione e la gestione dell'Identità digitale da parte delle IstituzioniPubbliche devono essere accompagnate da adeguate garanzie, in particolare intermini di sicurezza.

13


Facciamo chiarezza

È il processo con il quale vengono associate delle credenziali ad un soggetto,per consentire l’accesso a un sistema informativo, generalmente in rete, dopola verifica in automatico da parte di un programma dedicato delle credenzialiche si intende accreditare sul sistema.Risponde alla domanda “Chi sei tu?”La funzione dell’identificazione è quella di rendere conoscibile un entitàall’interno di una moltitudine di entità sconosciute.La digitazione del nome utente (username) equivale all’asserzione: “sono lapersona a cui appartiene questo username”

Identificazione: la determinazione che un individuo sia conosciuto o meno dalsistema

Autenticazione vs Identificazione

14


Autenticazione: il processo attraverso il quale viene verificata l'identità di unutente che vuole accedere ad un computer o ad una una rete. E’ il sistema cheverifica, effettivamente, che un individuo è chi sostiene di essere.

Una volta stabilità l’identit{ di una persona, il sistema deve essere sicuro chel’utente sia quello che dice di essere. Per questo motivo, il sistema chiede “Comepuoi dimostrare la tua identità?”Con l’inserimento della password corretta, l’utente fornisce la prova che è lapersona a cui appartiene quell’username.Vi sono tre tipi di informazioni che possono essere utilizzate per l’authentication:Something you know: PIN, password, o altra parola chiave.Something you have: token fisico, un generatore di OTP, una smartcardSomething you are: una biometria (volto, impronte digitali, geometria della mano,venature della mano, l’iride, la retina, la firma, la voce, l’orecchio, il DNA)

Autenticazione vs IdentificazioneFacciamo chiarezza

15


Autorizzazione: il conferimento all’utente del diritto ad accedere aspecifiche risorse del sistema, sulla base della sua identità.

Una volta che il sistema ha identificato e autenticato l’utente, ora si tratta distabilire “cosa puoi fare?”, “a quali risorse, a quali dati puoi accedere?”

Il tutto viene garantito con un controllo agli accessi, in base alleautorizzazioni precedentemente date al profilo dell’utente. Il sistema èpertanto in grado di stabilire quali operazioni consentire e quali vietareall’utente.

Autenticazione vs IdentificazioneFacciamo chiarezza

16


«identificazione elettronica», il processo per cui si fa uso di dati di identificazionepersonale in forma elettronica che rappresentano un’unica persona fisica o giuridica, oun’unica persona fisica che rappresenta una persona giuridica;

«dati di identificazione personale», un insieme di dati che consente di stabilire l’identit{di una persona fisica o giuridica, o di una persona fisica che rappresenta una personagiuridica

Art. 1 – Regolamento eIDAS

«autenticazione», un processo elettronico che consente di confermare l’identificazioneelettronica di una persona fisica o giuridica, oppure l’origine e l’integrit{ di dati in formaelettronica

Autenticazione vs IdentificazioneRegolamento eIDAS (electronic IDentification Authentication and Signature)

REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel

mercato interno e che abroga la direttiva 1999/93/CE

17


Art. 64 Codice dell’Amministrazione Digitale:

CNS (Carta nazionale dei Servizi)

I principali strumenti di identificazione informatica

CIE (Carta di identità elettronica)

18


SPID: stato di avanzamento

19


CAD, art. 64, comma 2-sexies del D.lgs. 7 marzo 2005, n. 82 (Codice dell'Amministrazione Digitale)

DPCM 24 ottobre 2014

Determinazione n. 44/2015, sono stati emanati i quattro regolamenti previsti dall’articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014

SPID: presupposti normativi

20


DECRETO-LEGGE 21 giugno 2013, n. 69 “Disposizioni urgenti per il rilancio dell'economia”,convertito con modificazioni dalla L. 9 agosto 2013, n. 98 (in S.O. n. 63, relativo alla G.U.20/08/2013, n. 194).Art. 17-ter, comma 1 e 2: disposta la modifica dell'art. 64, comma 2, con l'introduzione deicommi 2-bis, 2-ter, 2-quater, 2-quinquies, 2-sexies.

Art. 64 CAD, comma 2-bis, 2-terÈ l’insieme aperto di soggetti pubblici e privati che, previo accreditamento da partedell'Agenzia per l'Italia digitale, gestiscono i servizi di registrazione e di messa adisposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini eimprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete,ovvero, direttamente, su richiesta degli interessati.

SPID: introduzione

Che cos’è il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID).

Obiettivo: favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da partedi cittadini e imprese, anche in mobilità

21


SPID e P.A. (art. 64, comma 2-quater)Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondole modalità definiti con il decreto di cui al comma 2-sexies. 2-quinquies.

SPID e Soggetti privati (art. 64, comma 2-quinquies)Ai fini dell'erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese,secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà diavvalersi del sistema SPID per la gestione dell'identità digitale dei propri utenti.L'adesione al sistema SPID per la verifica dell'accesso ai propri servizi erogatiin rete per i quali è richiesto il riconoscimento dell'utente esonera l'impresada un obbligo generale di sorveglianza delle attività sui propri siti, ai sensidell'articolo 17 del decreto legislativo 9 aprile 2003, n. 70.

Art. 64 CAD

SPID: introduzione

22


Art. 17 - Assenza dell'obbligo generale di sorveglianzaNella prestazione dei servizi di cui agli articoli 14, 15 e 16, (mere conduit, caching ehosting) il prestatore (ovvero la persona fisica o giuridica che presta un servizio dellasocietà dell'informazione) non è assoggettato ad un obbligo generale di sorveglianzasulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercareattivamente fatti o circostanze che indichino la presenza di attività illecite.

D. Lgs. 9 aprile 2003, n. 70 (Attuazione della direttiva 2000/31/CE relativaa taluni aspetti giuridici dei servizi della società dell'informazione nelmercato interno, con particolare riferimento al commercio elettronico)

Ad impossibilia nemo tenetur

Cosa significa l’esenzione dall’obbligo di sorveglianza?

Sorveglianza sull’attività nel proprio sito, non in rete!

SPID: introduzione

23


b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suopossesso che consentano l'identificazione del destinatario dei suoi servizi con cui haaccordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.

Il sito web che adotta SPID non è a conoscenza dell’identità dei propri utenti o puònon esserlo poiché la gestione delle identità è esterna. L’esenzione riguardal’obbligo di riferire, alle autorità, informazioni ed identità che non possiede e chenon devono più essere richieste al sito ma, eventualmente, all'identity provider.

Ad impossibilia nemo tenetur

Cosa significa l’esenzione dall’obbligo di sorveglianza?

Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore è comunque tenuto:a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa aventefunzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illeciteriguardanti un suo destinatario del servizio della società dell'informazione;

Art. 17 - Assenza dell'obbligo generale di sorveglianza

SPID: introduzione

24


I soggetti SPIDArt. 3, DPCM 24 ottobre 2014

Utente, che potrà disporre di uno o più identità digitali, che contengonoalcune informazioni identificative obbligatorie, come il codice fiscale, ilnome, il cognome, il luogo di nascita, la data di nascita e il sesso;

Gestore dell’identità digitale. Dovrà essere accreditato dall’Agenzia perl’Italia Digitale e ha il ruolo di creare e gestire le identità digitali;Gestore di attributi qualificati: in base alle norme vigenti, può certificareattributi qualificati, come il possesso di un titolo di studio, l’appartenenza adun ordine professionale

Fornitore di Servizi – soggetto pubblico o privato – che eroga servizi on-line, previo riconoscimento dell’utente da parte del gestore dell’identit{digitale.

Agenzia per l’Italia Digitale (AGID)

25


L'Agenzia cura l'attivazione dello SPID, svolgendo, in particolare, le seguentiattività:a) gestisce l'accreditamento dei gestori dell'identità digitale e dei gestori

di attributi qualificati, stipulando con essi apposite convenzioni.b) cura l'aggiornamento del registro SPID e vigila sull'operato dei soggetti

che partecipano allo SPID, anche con possibilità di conoscere, tramite ilgestore dell'identità digitale, i dati identificativi dell'utente e verificare lemodalità con cui le identità digitali sono state rilasciate e utilizzate;

c) stipula apposite convenzioni con i soggetti che attestano la validitàdegli attributi identificativi e consentono la verifica dei documenti diidentità.

Art. 4 DPCM 24 ottobre 2014

Il ruolo dell’AgID all’interno di SPID

26


Le identità digitali sono rilasciate dal gestore dell’identit{ digitale, su richiesta di unsoggetto interessato. Il modulo di richiesta di adesione contiene alcune informazioniobbligatorie

Rilascio delle identità digitali

ATTRIBUTI SECONDARI

Art. 1, comma 1 ,lett. d) DPCMfunzionali alle comunicazioni

il numero di telefonia fissa omobile, l'indirizzo di postaelettronica, il domiciliofisico e digitale, eventualialtri attributi individuatidall'Agenzia

PERSONE FISICHE

Cognome e Nome; sesso,data e luogo di nascita;codice fiscale; estremi diun valido documento diidentità

PERSONE GIURIDICHE

Denominazione/ragione sociale;codice fiscale o P. IVA (se ugualeal codice fiscale); sede legale;visura camerale attestante lostato di rappresentante legaledel soggetto richiedentel’identit{ per conto della società(in alternativa atto notarile diprocura legale); estremi deldocumento di identità utilizzatodal rappresentante legale

ATTRIBUTI IDENTIFICATIVI DELLE

IDENTITA’ DIGITALI

27


Inoltre, per quanto riguarda l’indirizzo di posta elettronica, igestori dovranno accertarsi, oltre che lo stesso sia unindirizzo corrispondente a una reale casella di posta, che siaunico in ambito SPID, ovvero che esso non sia statoprecedentemente indicato dallo stesso soggetto perl’acquisizione di una identità digitale SPID presso lo stesso oun altro gestore dell’identit{ digitale.

Attributi secondariObbligo di fornire almeno un indirizzo di posta elettronica eun recapito di telefonia mobile, entrambi verificati dal gestoredi identità digitale nel corso del processo di identificazione,inviando un messaggio di posta all’indirizzo dichiarato,contenente una URL per la verifica e un SMS al numero dicellulare con un codice numerico di controllo che deve essereriportato in risposta.

28


Nel modulo, il soggetto richiedente sottoscrive l’apposita dichiarazione con cui si assume la responsabilità, ai sensi dell’articolo 76 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, della veridicità delle informazioni fornite

Se la verifica non va a

buon fine

il gestore dovrà dare obbligo al richiedente dell’indicazione di un indirizzo alternativo.

Nel caso il richiedente non disponesse di tale

indirizzo alternativo

Il gestore dell’identit{ digitale, d’accordo con il richiedente,

dovrà provvedere esso stesso al rilascio di una casella di

posta avente un idoneo indirizzo

Il gestore delle identità digitali deve garantire l’inoltro automatico di tutte le mail

ricevute su questo nuovo indirizzo all’indirizzo di posta elettronica

originariamente dichiarato dal soggetto richiedente.

Attributi secondari

29


Il gestore dell’identit{ digitale, per una corretta e sicura attuazione del processo:

Attivit{ essenziale nel rilascio dell’identit{ digitale

d) acquisisce i dati necessari alla dimostrazione di identità.

a) fornisce l’informativa sul trattamento dei dati (articolo 13 del D.lgs. 196 del 2003)

b) si assicura che il richiedente sia consapevole dei termini e delle condizioni associati all'utilizzo del servizio di identità digitale;

c) si assicura che il richiedente sia consapevole delle raccomandazioni e delle precauzioni da adottare per l'uso delle identità digitale;

30


A vista

Identificazione del soggetto richiedente che sottoscrive ilmodulo di adesione allo SPID, tramite esibizione a vista di unvalido documento d'identità e, nel caso di persone giuridiche,della procura attestante i poteri di rappresentanza

Identificazione informatica

Con documenti digitali che prevedono il riconoscimento a vistadel richiedente all'atto dell'attivazione, fra cui la TS‐CNS, CNS ocarte ad essa conformi

Con altre identità SPID

Art. 7 DPCM - Verifica dell'identità del soggetto richiedente e consegna in modalità sicura delle credenziali di accesso

Come avviene il rilascio dell’identit{ digitale

31


Art. 7 DPCM - Verifica dell'identità del soggetto richiedente e consegna in modalità sicura delle credenziali di accesso

Richiesta firmata digitalmente

acquisizione del modulo di adesione allo SPID sottoscritto confirma elettronica qualificata o con firma digitale

identificazione informatica fornita da sistemi informatici preesistentiall'introduzione dello SPID che risultino aver adottato, a seguito diapposita istruttoria dell'Agenzia, regole di identificazioneinformatica caratterizzate da livelli di sicurezza uguali o superiori aquelli definiti nel presente decreto.

Sistemi informatici preesistenti


32


I gestori dell'identità digitale, ricevuta la richiesta di adesione, effettuano la verifica degliattributi identificativi del richiedente utilizzando prioritariamente i servizi convenzionali[convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono laverifica dei documenti di identità]

Se non è possibile tale verifica, i gestori dell'identità digitale effettuano tali verifiche sullabase di documenti, dati o informazioni ottenibili da archivi delle amministrazionicertificanti, ai sensi dell'art. 43, comma 2, del decreto del Presidente della Repubblica28 dicembre 2000, n. 445, secondo i criteri e le modalità stabilite dall'Agenzia con iregolamenti di cui all'art. 4, fatto salvo il caso di cui al comma 2, lettera e).

L’art. 43 DPR 445/2000 prevede la consultazione diretta da parte di unapubblica amministrazione o di un gestore di pubblico servizio, degli archividell'amministrazione certificante, finalizzata all'accertamento d'ufficio distati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutivepresentate dai cittadini.


33


I gestori dell'identità digitale conservano la documentazione inerente alprocesso di adesione per un periodo pari a venti anni decorrenti dallascadenza o dalla revoca dell'identità digitale. Alla scadenza del predettotermine, i gestori cancellano la suddetta documentazione.

I gestori dell'identità digitale, al fine di poter documentare la correttaattribuzione della stessa, conservano: copia per immagine del documentodi identità esibito e del modulo di adesione allo SPID, copia del log dellatransazione telematica (identificazione informatica) o il modulo firmatodigitalmente, nonché i documenti e i dati utilizzati per l'associazione e laverifica degli attributi

Conservazione della documentazione

34


1 - richiesta dell’identit{ digitale e identificazione del

richiedente

2 - esame e verifica dell’identit{ del

richiedente

3 - conservazione e registrazione dei

documenti

4 - emissione dell’identit{ digitale

5 - creazione e consegna delle

credenziali

Rilascio delle identità digitali

35


I PASSAGGI PRINCIPALI

a) richiesta di accreditamento

b) accoglimento della richiesta da parte dell’AgID

c) stipula apposita convenzione

d) iscrizione del richiedente nel registro SPID, consultabile in via telematica.

Accreditamento dei gestori dell'identità digitaleArt. 10, DPCM 24 ottobre 2014

36


a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni di euro; b) garantire il possesso dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche, da parte dei rappresentanti legali, dei soggetti preposti all'amministrazione e dei componenti degli organi preposti al controllo; c) dimostrare la capacità organizzativa e tecnica necessaria per svolgere l'attività di gestione dell'identità digitale; d) utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi da fornire. Il gestore provvede al periodico aggiornamento professionale del personale; e) comunicare all'Agenzia i nominativi e il profilo professionale dei soggetti responsabili delle specifiche f) essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia;

Art. 10, DPCM 24 ottobre 2014 - Requisiti per l’accreditamento:

Accreditamento dei gestori dell'identità digitale

37


g) trattare i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196;h) essere in possesso della certificazione di qualità ISO 9001, successive modifiche o norme equivalenti.

Se, all'esito dei controlli, accerta la

mancanza dei requisiti richiesti per l'iscrizione

nel registro SPID

Termine per consentire ripristino dei requisiti

adottare le azioni previste dall'art. 12:

sospensione o revoca dell’accreditamento

AgID procede a controlli per accertarela permanenza della sussistenza deirequisiti previsti dal DPCM 24.10.2014

D’ufficio

Su segnalazione motivata di soggetti pubblici o privati

Accreditamento dei gestori dell'identità digitale

38


• utilizzano sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti,in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale;

• adottano adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza,l'integrità e la sicurezza nella generazione delle credenziali di accesso;

• effettuano un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione dellecredenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensionedell'identità digitale in caso di attività sospetta;

• effettuano, con cadenza almeno annuale, un'analisi dei rischi;• definiscono il piano per la sicurezza dei servizi SPID, da trasmettere all'Agenzia, e ne garantiscono

l'aggiornamento;

DEFINIZIONI DPCMl) gestori dell'identità digitale: le persone giuridiche accreditate allo SPID che, in qualità di gestoridi servizio pubblico, previa identificazione certa dell'utente, assegnano, rendono disponibili egestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essiinoltre, forniscono i servizi necessari a gestire l'attribuzione dell'identità digitale degli utenti, ladistribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestitee l'autenticazione informatica degli utenti;

Obblighi dei gestori dell'identità digitaleArt. 11, DPCM 24 ottobre 2014

39


• allineano le procedure di sicurezza agli standard internazionali, la cui conformità ècertificata da un terzo abilitato;

• conducono, con cadenza almeno semestrale, il «Penetration Test»;• garantiscono la continuità operativa dei servizi afferenti allo SPID;• effettuano ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi,

garantendo la gestione degli incidenti da parte di un'apposita struttura interna;• garantiscono la gestione sicura delle componenti riservate delle identità digitali

degli utenti,• si sottopongono, con cadenza almeno biennale, ad una verifica di conformità alle

disposizioni vigenti da parte di un organismo di valutazione• informano tempestivamente l'Agenzia e il Garante per la protezione dei dati

personali su eventuali violazioni di dati personali• adeguano i propri sistemi a seguito degli aggiornamenti emanati dall'Agenzia;• inviano all'Agenzia, in forma aggregata, i dati da questa richiesti a fini statistici, che

potranno essere resi pubblici.

Obblighi dei gestori dell'identità digitaleArt. 11, DPCM 24 ottobre 2014

40


DEFINIZIONI DPCMi) fornitore di servizi: il fornitore dei servizi della società dell'informazione definiti dall'art. 2, comma1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un'amministrazione o di unente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di serviziinoltrano le richieste di identificazione informatica dell'utente ai gestori dell'identità digitale e nericevono l'esito. I fornitori di servizi, nell'accettare l'identità digitale, non discriminano gli utenti inbase al gestore dell'identità digitale che l'ha fornita;

Art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70"servizi della società dell'informazione": le attività economiche svolte in linea - on line -, nonchéi servizi definiti dall'articolo 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317, esuccessive modificazioni;

PrivatiPubbliche amministrazioni

Fornitori di serviziArt. 13, DPCM 24 ottobre 2014

41


Art. 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317“servizio”: qualsiasi servizio della società dell'informazione, vale a dire qualsiasiservizio prestato normalmente dietro retribuzione, a distanza, per via elettronica ea richiesta individuale di un destinatario di servizi. Ai fini della presente definizione siintende: per "servizio a distanza un servizio fornito senza la presenza simultaneadelle parti; per "servizio per via elettronica un servizio inviato all'origine e ricevuto adestinazione mediante attrezzature elettroniche di trattamento, compresa lacompressione digitale e di memorizzazione di dati e che e' interamente trasmesso,inoltrato e ricevuto mediante fili, radio, mezzi ottici od altri mezzi elettromagnetici;per "servizio a richiesta individuale di un destinatario di servizi un servizio fornitomediante trasmissione di dati su richiesta individuale;


42


Obblighi• I fornitori di servizi conservano per ventiquattro mesi le informazioni necessarie a

imputare, alle singole identità digitali, le operazioni effettuate sui propri sistemitramite SPID.

• Nel caso in cui i fornitori di servizi rilevino un uso anomalo di un'identità digitale,informano immediatamente l'Agenzia e il gestore dell'identità digitale che l'harilasciata.

• I fornitori di servizi trattano i dati personali nel rispetto del decreto legislativo 30giugno 2003, n. 196. Nell'ambito dell'informativa di cui all'art. 13 del decretolegislativo n. 196 del 2003, i fornitori di servizi informano l'utente che l'identitàdigitale e gli eventuali attributi qualificati saranno verificati, rispettivamente,presso i gestori dell'identità digitale e i gestori degli attributi qualificati.

Per aderire allo SPID devono stipulare apposita convenzione con l'Agenzia


43


1. Nel rispetto dell'art. 64, comma 2, del CAD, lepubbliche amministrazioni che erogano in rete serviziqualificati, direttamente o tramite altro fornitore diservizi, consentono l'identificazione informatica degliutenti attraverso l'uso dello SPID.

Art. 14, DPCM 24 ottobre 2014 Adesione allo SPID da parte delle pubbliche amministrazioni in qualità di fornitori di servizi

servizio per la cui erogazioneè necessaria l'identificazioneinformatica dell'utente;

Fornitori di servizi: adesione SPID-PA

2. Ai fini del comma 1, le pubbliche amministrazioni dicui all'art. 2, comma 2, del CAD aderiscono allo SPID,secondo le modalità stabilite dall'Agenzia ai sensidell'art. 4, entro i ventiquattro mesi successiviall'accreditamento del primo gestore dell'identitàdigitale.

Obbligo per la P.A.

44


Art. 15, DPCM 24 ottobre 2014 Adesione allo SPID da parte di soggetti privati fornitori di servizi

DIVIETO

1. Non possono aderire allo SPID i soggetti privati fornitori diservizi il cui rappresentante legale, soggetto prepostoall'amministrazione o componente di organo preposto alcontrollo risulta condannato con sentenza passata in giudicatoper reati commessi a mezzo di sistemi informatici.

OBBLIGO

2. Ai sensi dell'art. 64, comma 2‐quinquies, del CAD, i soggettiprivati che aderiscono allo SPID per la verifica dell'accesso aiservizi erogati in rete, nel rispetto del presente decreto e deiregolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4,soddisfano gli obblighi di cui all'art. 17, comma 2, del decretolegislativo 9 aprile 2003, n. 70 con la comunicazione del codiceidentificativo dell'identità digitale utilizzata dall'utente.

Fornitori di servizi: adesione SPID-PA

45


Su richiesta degli interessati, sono accreditati di diritto i seguenti gestori di attributi qualificati (nonnecessitano di formalizzare l’accreditamento)a) il Ministero dello sviluppo economico in relazione ai dati contenuti nell'indice nazionale degli indirizziPEC delle imprese e dei professionisti (INI-PEC)b) i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all'attestazionedell'iscrizione agli albi professionali;c) le camere di commercio, industria, artigianato e agricoltura per l'attestazione delle cariche e degliincarichi societari iscritti nel registro delle imprese;d) l'Agenzia in relazione ai dati contenuti nell'indice degli indirizzi della pubblica amministrazione e deigestori di pubblici servizi (IPA) di cui all'art. 57‐bis del CAD.

Art. 16, DPCM 24 ottobre 2014 - Accreditamento dei gestori di attributi qualificati

Definizione DPCMe) attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza equalsiasi altro tipo di attributo attestato da un gestore di attributi qualificati;m) gestori di attributi qualificati: i soggetti accreditati ai sensi dell'art. 16 che hanno il poteredi attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi;

Gestori di attributi qualificati SPID

46


Il sistema SPID è basato su tre livelli di sicurezza di autenticazione informatica

Art. 6, DPCM 24 ottobre 2014 - Livelli di sicurezza delle identità digitali

I livelli di sicurezza SPID

Processo diretto alla verifica dell’identit{digitale associata a un soggetto ai finidella erogazione di un servizio fornito inrete. A tale verifica di identità è associatoun livello di sicurezza o di garanzia (levelof assurance - LoA) progressivamentecrescente in termini di sicurezza.

Processo di autenticazione informatica

Il risultato dell’intero procedimento chesottende all’attivit{ di autenticazione.Tale processo va dalla preliminareassociazione tra un soggetto eun’identit{ digitale che lo rappresenta inrete fino ai meccanismi che realizzano ilprotocollo di autenticazione al momentodella richiesta di un servizio in rete.

Livello di sicurezza

47


I livelli di sicurezza SPIDI livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115.

Garantisce con un buon gradodi affidabilità l'identitàaccertata nel corso dell’attivit{di autenticazione.

Rischio associato: moderato

Sistema di autenticazione: asingolo fattore (la password)

Applicabilità: nei casi in cui ildanno causato, da un utilizzoindebito dell’identit{ digitale,ha un basso impatto per leattività dell’utente

Livello 1(LoA2 dell’ISO-

IEC 29115) Garantisce con un alto gradodi affidabilità l'identitàaccertata nel corso dell’attivit{di autenticazione.

Rischio associato: ragguardevole

Sistema di autenticazione: a duefattori non necessariamentebasato su certificati digitali

Applicabilità: tutti i servizi per iquali un indebito utilizzo dell’identità digitale può provocareun danno consistente


IEC 29115)

48


Garantisce con un altissimo grado di affidabilità l'identitàaccertata nel corso dell’attivit{ di autenticazione

Rischio associato: altissimo

Sistema di autenticazione: a due fattori basato su certificatidigitali e criteri di custodia delle chiavi private su dispositiviche soddisfano i requisiti dell’Allegato 3 della Direttiva1999/93/CE

Applicabilità: a tutti i servizi che possono subire un serio egrave danno per cause imputabili ad abusi di identità;questo livello è adeguato per tutti i servizi per i quali unindebito utilizzo dell’ identità digitale può provocare undanno serio e grave


IEC 29115)

I livelli di sicurezza SPIDI livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115.

49


I gestori dell’identit{ digitale devono garantire che l'autenticazione informatica avvengaattraverso software e soluzioni tecniche che non richiedono ai fornitori di servizi didotarsi di dispositivi, fissi o mobili, proprietari.È consentita l’adozione di soluzioni tecniche che prevedono il caricamento del softwarenecessario per effettuare l'autenticazione informatica.

Art. 6, DPCM 24 ottobre 2014 - Livelli di sicurezza delle identità digitali

I livelli di sicurezza SPID

Divieto di discriminazioneI fornitori di servizi non possonodiscriminare l'accesso ai propri servizisulla base del gestore di identità che l'hafornita.

Libertà di scelta del livello di sicurezzaI fornitori di servizi scelgono il livello disicurezza necessario per accedere aipropri servizi.

L'Agenzia valuta e autorizza l'uso degli strumenti e delle tecnologie di autenticazione informaticaconsentiti per ciascun livello, nonché i criteri per la valutazione dei sistemi di autenticazioneinformatica e la loro assegnazione al relativo livello di sicurezza. In tale ambito, i gestoridell'identità digitale rendono pubbliche le decisioni dell'Agenzia con le modalità indicate dallastessa.

50


I livelli di sicurezza SPIDAvviso AgID n. 4 – Indicazioni sul livello di sicurezza da adottare per alcuni servizi più diffusi

51



52



53


Il titolare dell’identit{ digitale richiede l’accesso ad un

servizio collegandosi telematicamente al portale

del fornitore di servizi

Il fornitore dei servizi, per poter procedere, deve individuare il gestore dell‘Identit{ digitale in grado di autenticare il soggetto richiedente.

Per far ciò il gestore dell‘Identit{ digitale chiede indicazioni allo stesso utente, ad

esempio, facendo scegliere il proprio gestore dell’identit{ digitale da un elenco riportante

tutti i gestori di identità aderenti a SPID

Il fornitore dei servizi indirizza il soggetto titolare dell’identit{ digitale presso il gestore dell’identit{ digitale, individuato al passaggio precedente, richiedendo l’autenticazione con il livello SPID associato al servizio richiesto e l’eventuale attestazione di attributi necessari

per l’autorizzazione all’accesso

il gestore dell’identit{ digitale verifica l’identit{ del soggetto sulla base di

credenziali fornite dallo stesso. Se tale verifica ha esito positivo viene emessa, ad

uso del fornitore dei servizi, una asserzione di autenticazione SAML attestante gli

attributi eventualmente richiesti;

Interazioni necessarie all’autenticazione SPID

54


Il titolare dell’identit{ digitale viene quindi reindirizzato,

portando con sé l’asserzione prodotta, verso il fornitore dei

servizi

Il fornitore dei servizi può, a questo punto, avere la necessità di verificare attributi qualificati riferibili all’utente

qualora questi fossero richiesti dalle policy di sicurezza che regolano

l’accesso al servizio.

a) individuati, per il tramite del registro SPID, i gestori di attributi

qualificati in grado di certificare gli attributi necessari, inoltra agli

stessi una richiesta di attestazione presentando i riferimenti

dell’identit{ digitale per la quale si richiede la verifica;

b) il risultato della richiesta è l’emissione, da parte del gestore di attributi qualificati, di una asserzione SAML

il fornitore dei servizi, raccolte tutte le necessarie asserzioni

SAML, verifica le policy di accesso al servizio richiesto e

decide se accettare o rigettare la richiesta

Interazioni necessarie all’autenticazione SPID

attributi qualificati …

55


I fornitori di servizi, per verificare le policy di sicurezza relativi all’accesso ai servizi da essierogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggettirichiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il setminimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto emantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall’articolo11 del decreto legislativo n. 196 del 2003.

Art. 27, Modalità attuative SPID - Uso degli attributi SPID

La privacy in SPID

Principi e regole imposte dal Garante per la protezione dei dati personaliPareri all’AgiD del 23 aprile 2015 - 4 giugno 2015 - 17 dicembre 2015

PRINCIPIO DI PROPORZIONALITÀ

(Art. 11, comma 1, lett. d), Codice Privacy)I dati personali oggetto di trattamentodevono essere pertinenti, completi e noneccedenti rispetto alle finalità per le qualisono raccolti o successivamente trattati

PRINCIPIO DI NECESSITÀ (Art. 3 Codice Privacy)I sistemi informativi e i programmi informatici sonoconfigurati riducendo al minimo l’utilizzazione dei datipersonali e dei dati identificativi, in modo da escluderne iltrattamento quando le finalità perseguite nei singoli casipossono essere realizzate mediante, rispettivamente, datianonimi od opportune modalità che permettano diidentificare l’interessato solo in caso di necessità.

56


Minacce nel processo di registrazione

Furto/usurpazione di identità

Un richiedente dichiara una identità non corretta (ad es. usando un documento d'identità contraffatto)

Ripudio/disconoscimento della registrazione

Un cittadino/impresa nega la registrazione affermando che non ha mai richiesto la registrazione

SICUREZZA

Rischi associati alle identità digitali

57


Divulgazione/rivelazione

Una chiave generata dal gestore delle identitàdigitali è copiata da un aggressore informatico.

Emissione delle credenziali dipersona, spedizione in buste sigillate con posta raccomandata, uso di una sessione protetta per la spedizione elettronica

Manomissione Una nuova passwordgenerata dal sottoscrittore viene modificata da un aggressore informatico.

Stesse strategie di mitigazione di sopra, uso di protocolli di comunicazione che proteggono la sessione dati.

Emissione nonautorizzata

Rilascio delle credenzialead una persona cheafferma di essere ilsottoscrittore (e in effettinon lo è)

Procedura che assicura che la persona destinataria delle credenziali sia la stessa persona che ha partecipato nel processo di registrazione

Minacce nel processo di registrazione / Strategie di mitigazione


58


Un token per la sicurezza (chiamato anche token hardware, token perl'autenticazione, token crittografico, o semplicemente token) è un dispositivofisico (non sempre) necessario per effettuare un'autenticazione (tipicamenteuna autenticazione a due fattori).

Un token può anche essere di tipo software, ove le informazioni necessarierisiedono direttamente nel computer dell'utente, e non in un oggetto esterno.

(fonte wikipedia)

Minacce associate ai token


59


Tipo token Esempi di minacce

Something we have Può essere perso, danneggiato, rubato o clonato. Ad esempio un aggressore malevolo potrebbe prendere possesso del computer e copiare un token software. Analogamente un token hardware potrebbe essere rubato, manomesso o duplicato.

Something we know L'aggressore potrebbe provare ad indovinare la password o il PIN o installare del software maligno (ad es. keyboard logger) per catturare la password, in alternativa possono essere adottate catture del traffico dalla rete o attraverso tecniche di social engineering

Something we are Può essere replicato, ad esempio un aggressore potrebbe ottenere una copia delle impronte digitali e costruirne una replica assumendo che il sistema biometrico non utilizzi robuste, e consigliate, tecniche di rilevazione

Minacce associate ai token


60


Minaccia/Attacco token

Descrizione Esempi

Furto Un token fisico viene rubato Furto di un cellulare, dispositivo fisico ecc.

Scoperta Le risposte a domande di suggerimento per riconoscere l'utente sono facilmente deducibili o ricavabili da diverse sorgenti disponibili.

Ad es. la domanda "Quale liceo hai frequentato ?" è facilmente ottenibile dai siti web di tipo social.

Duplicazione Il token è stato copiato senza, o con, l’assenso dell'utente.

Password scritta su post-it omemorizzato su un file che viene successivamente copiato da un aggressore.

Le minacce e gli attacchi più comuni in riferimento ai token 1/3


61



Descrizione Esempi

Intercettazione Il token viene rilevato nel momento dell'immissione.

La password viene dedotta osservando l'immissione da tastiera, o con l'ausilio di keylogger software.

Offline cracking Sono usate tecniche analiticheoffline ed esterne ai meccanismi di autenticazione.

Una chiave viene estratta utilizzando tecniche di analisi differenziale su tokenhardware rubati.

Phishing o pharming

L'utente viene ingannato e crede che l'aggressore sia il fornitore di servizi o di identità (sito civetta).

DNS re-routing. Una password viene rivelata ad un sito civetta che simula l'originale.



62



Descrizione Esempi

Ingegneria sociale L'aggressore stabilisce un livello di sicurezza con l'utente in modo da convincerlo a rivelargli il contenuto del token.

Una password viene rivelata durante una telefonata ad un aggressore che finge di essere l'amministratore di sistema.

Provare a indovinare (online)

L'aggressore si connette al sito del gestore di identità online e prova ad indovinare il token valido.

Attacchi online basati su dizionari o password note.



63


Strategie di mitigazione delle minacce ai token 1/2

Minaccia/Attacco token Tecnica di mitigazione della minaccia

Furto Usare token multi-fattore che devono essere attivati attraverso un PIN o elementi biometrici.

Scoperta Usare metodologie tali da rendere complessa la deduzione di una risposta

Duplicazione Usare token difficilmente duplicabili come tokencrittografici hardware

Intercettazione Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni.


64


Strategie di mitigazione delle minacce ai token 2/2

Minaccia/Attacco token Tecnica di mitigazione della minaccia

Offline cracking e provare ad indovinare (online)

Usare token con elevata entropia. Usare token che causino il blocco dopo un numero limitato di tentativi.

Phishing o pharming Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni.

Ingegneria sociale Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni


65


1. Nel caso in cui l'utente ritenga, […], che la propria identità digitale sia stata utilizzataabusivamente o fraudolentemente da un terzo, può chiedere, […], la sospensioneimmediata dell'identità digitale al gestore della stessa e, se conosciuto, al fornitore diservizi presso il quale essa risulta essere stata utilizzata. Salvo il caso in cui la richiesta siainviata tramite posta elettronica certificata, o sottoscritta con firma digitale o firmaelettronica qualificata, il gestore dell'identità digitale e il fornitore di servizi eventualmentecontattato verificano, anche attraverso uno o più attributi secondari, la provenienza dellarichiesta di sospensione da parte del soggetto titolare dell'identità digitale e forniscono laconferma della ricezione della medesima richiesta.2. […] il gestore dell'identità digitale sospende tempestivamente l'identità digitale per unperiodo massimo di trenta giorni informandone il richiedente. Scaduto tale periodo,l'identità digitale è ripristinata o revocata ai sensi del comma 3.3. Il gestore revoca l'identità digitale se, nei termini previsti dal comma 2, ricevedall'interessato copia della denuncia presentata all'autorità giudiziaria per gli stessi fattisu cui è basata la richiesta di sospensione.

Art. 9, DPCM 24 ottobre 2014

Uso illecito delle identità digitali SPID

66


Art. 640-quinquies c.p.Frode informatica del soggetto che presta servizi di certificazione

di firma elettronica

Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine diprocurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, violagli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punitocon la reclusione fino a tre anni e con la multa da 51 a 1.032 euro

Art. 1, lett. q) CADFirma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica

Gli illeciti penali legati alle identità digitali

67


Art. 640-ter c.p.Frode informatica

Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informaticoo telematico o intervenendo senza diritto con qualsiasi modalità su dati,informazioni o programmi contenuti in un sistema informatico o telematico o adesso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, èpunito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro1.032.[…] La pena è della reclusione da due a sei anni e della multa da euro 600 a euro3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale indanno di uno o più soggetti.Il delitto è punibile a querela della persona offesa salvo che ricorra taluna dellecircostanze di cui al secondo e terzo comma o un'altra circostanza aggravante.


68


Art. 615-ter c.p.Accesso abusivo ad un sistema informatico o telematico

Chiunque abusivamente si introduce in un sistema informatico o telematicoprotetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa otacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.La pena è della reclusione da uno a cinque anni:1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblicoservizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o alservizio, o da chi esercita anche abusivamente la professione di investigatoreprivato, o con abuso della qualità di operatore del sistema;2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone,ovvero se è palesemente armato;[…] Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici otelematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblicao alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è,rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni […].


69


Art. 494 c.p.Sostituzione di persona

Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno,induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, oattribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la leggeattribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro lafede pubblica con la reclusione fino a un anno.

Art. 495 c.p.Falsa attestazione o dichiarazione a un pubblico ufficiale sulla identità o su qualità

personali proprie o di altriChiunque dichiara o attesta falsamente al pubblico ufficiale l’identit{, lo stato o altrequalità della propria o dell’altrui persona è punito con la reclusione da uno a sei anni.La reclusione non è inferiore a due anni:1) se si tratta di dichiarazioni in atti dello stato civile;2) se la falsa dichiarazione sulla propria identità, sul proprio stato o sulle proprie qualitàpersonali è resa all’autorit{ giudiziaria da un imputato o da una persona sottoposta adindagini […]


70


Art. 495-bis c.p.Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità

o su qualità personali proprie o di altriChiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazionedelle firme elettroniche l’identit{ o lo stato o altre qualità della propria o dell’altruipersona è punito con la reclusione fino ad un anno.


Art. 483 c.p.Falsità ideologica commessa dal privato in atto pubblico

Chiunque attesta falsamente al pubblico ufficiale, in un atto pubblico, fatti dei qualil’atto è destinato a provare la verità, è punito con la reclusione fino a due anni.

Se si tratta di false attestazioni in atti dello stato civile, la reclusione non può essereinferiore a tre mesi.

71


Grazie per l’attenzione

Gianluca SattaEuropean Lawyer

Esperto in diritto dell’informatica e delle Nuove Tecnologie

www.gianlucasatta.it

[email protected]

www.diricto.it

ict4forensics.diee.unica.it

www.andig.it

72

http://www.gianlucasatta.it/

mailto:[email protected]

http://www.diricto.it/

http://ict4forensics.diee.unica.it/

http://www.andig.it/

https://it.linkedin.com/in/gianlucasatta


Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire orecitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha

dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tuusi l’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra,

puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza diquest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di questecondizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra.

Licenza

73

SMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitali

Law

Transcript of SMAU Torino 2016 - SPID: Le nuove frontiere delle identità digitali