SPID: le nuove identità digitali dopo la riforma del CAD

SPID: le nuove identità digitali dopo la riforma del CADRelatori: Gianluca Satta & Massimo Farina

SPID: le nuove identità digitali

dopo la riforma del CAD

Gianluca Satta

Massimo Farina


DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in

materia di Diritto dell’Informatica e dell’Informatica Giuridica

Web site: www.diricto.it

ICT for Law and Forensics è il laboratorio di Informatica Forense del

Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari

Web site: ict4forensics.diee.unica.it

Chi siamo


Cosa è l’identità digitale?

A cosa serve un’identità digitale?

Esiste un diritto all’identità digitale?

L’identit{ digitale

3


“The essential and unique characteristics ofan entity are what identify it.”

H. Abelson e L. Lessig, Massachusetts Institute of Technology

“A Digital Identity is a virtual representation of a real identitythat can be used in electronic interactions with othermachines or people.”

E. Norlin e A. Durand, “Federated Identity Management”, Whitepaper on towards federated identity management

Non è facile dare una definizione esaustiva

Cosa è l’identit{ digitale?

4


“The value of Digital Identity is that it allows us to transpose the ease andsecurity human interactions once had when we knew each other or didbusiness face-to-face, to a machine environment where we are oftenmeeting one another (virtually) for the first time in transactions whichmight span vast distances.”

E. Norlin e A. Durand, “Federated Identity Management”, Whitepaper on towards federated identity management

Identità fisica vs Identità digitale

A cosa serve un’identit{ digitale?

Il valore dell’Identit{ Digitale come strumento per trasporre (comodità esicurezza) tipiche delle interazioni umane, in un ambiente di macchine dovespesso ci si incontra virtualmente per la prima volta, nell’ambito di transazioni trasoggetti fisicamente molto distanti

5


REAL LIFE

Interazioni umane:

- Agevoli

- Sicure

- Faccia a faccia

VIRTUAL LIFE

Interazioni tra macchine:

- Distanza

- Incertezza

- Insicure

Identità fisica vs

Identità digitale


6


Unica

Univoca

Identità fisica Distribuite

(le informazioni sonodislocate in diversipunti della rete)

Possono essere associate più ID a ciascuna persona fisica

Identità digitale

Identità fisica vs Identità digitale


7


(1) Instaurare la fiducia negli ambienti online è fondamentale per losviluppo economico e sociale. La mancanza di fiducia, dovuta inparticolare a una percepita assenza di certezza giuridica, scoraggia iconsumatori, le imprese e le autorità pubbliche dall’effettuare transazioniper via elettronica e dall’adottare nuovi servizi.

La fiducia nelle transazioni elettroniche

(2) Il presente regolamento mira a rafforzare la fiducia nelle transazionielettroniche nel mercato interno fornendo una base comune perinterazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche,in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati,nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

REGOLAMENTO (UE) N. 910/2014 – eIDAS (electronic IDentificationAuthentication and Signature)

considerando


8


All’interno dell’ordinamento giuridico sono tutelati gli elementi principali diindividuazione della persona, quali il nome e l’immagine.L’identificazione della persona, infatti, presuppone sempre la sua individuazione.

IL NOME trova disciplina e tutela negli articoli 6 - 9 del codice civile, nonché all’art.22 della Costituzione. Se il codice civile all’art. 6 in positivo dispone che ogni personaha diritto al nome, la Costituzione repubblicana all’art. 22 assicura in negativo che“nessuno può essere privato, per motivi politici, del nome”.

L'IMMAGINE è invece un mezzo identificativo innato, essa descrive l'insieme dellesue fattezze in misura e maniera tale da poterla riconoscere. Ciò che circola è la suariproduzione e, pertanto, ad essa è assicurata la tutela del legislatore all'art. 10 c.c.

Esistono varie forme di tutela dell’identità personale. Dottrina e giurisprudenzasono arrivate ad affermare l’esistenza di un vero e proprio diritto all’identitàpersonale, che trova fondamento nell’art. 2 Cost.

Esiste un diritto all’identit{ digitale?

9


Art. 2, Codice Privacy (D. Lgs. 196/2003)“Il presente testo unico, di seguito denominato "codice", garantisce cheil trattamento dei dati personali si svolga nel rispetto dei diritti e dellelibertà fondamentali, nonché della dignità dell'interessato, conparticolare riferimento alla riservatezza, all'identità personale e aldiritto alla protezione dei dati personali”

E l’identità digitale?......


10


L’identità digitale è strettamente congiunta a quella personale, la primadescrive e rappresenta la seconda.

È necessario assicurare all’identità digitale le medesime tutele egaranzie riconosciute dall’ordinamento per l’identità personale

L’identit{ digitale deve essere oggetto di tutela all’internodell’ordinamento, in quanto strettamente connessa all’identit{ realedella persona

L’identit{ digitale può avere legami più o meno diretti con l’identit{reale: dall’anonimato alla totale associazione


11


Attraverso regole che tutelano:

Identità personale in rete

Tecniche di identificazione del soggetto a mezzo di

strumenti informatici

Esiste un diritto all’identit{ digitale?Come tutelare l’identit{ digitale

12


Esiste un diritto all’identit{ digitale?Dichiarazione dei diritti in Internet

Commissione per i diritti e i doveri relativi ad Internet - 14 luglio 2015

Art. 1 - Riconoscimento e garanzia dei diritti

1. Sono garantiti in Internet i diritti fondamentali di ogni persona riconosciuti dallaDichiarazione universale dei diritti umani delle Nazioni Unite, dalla Carta dei dirittifondamentali dell’Unione Europea, dalle costituzioni nazionali e dalle dichiarazioniinternazionali in materia.2. Tali diritti devono essere interpretati in modo da assicurarne l’effettivit{ nelladimensione della Rete.3. Il riconoscimento dei diritti in Internet deve essere fondato sul pieno rispetto delladignità, della libertà, dell’eguaglianza e della diversità di ogni persona, che costituiscono iprincipi in base ai quali si effettua il bilanciamento con altri diritti.

13



Art. 9 - Diritto all’identità

1. Ogni persona ha diritto alla rappresentazione integrale e aggiornata delle proprieidentità in Rete.2. La definizione dell’identit{ riguarda la libera costruzione della personalità e non puòessere sottratta all’intervento e alla conoscenza dell’interessato.3. L’uso di algoritmi e di tecniche probabilistiche deve essere portato a conoscenza dellepersone interessate, che in ogni caso possono opporsi alla costruzione e alla diffusionedi profili che le riguardano.4. Ogni persona ha diritto di fornire solo i dati strettamente necessari perl’adempimento di obblighi previsti dalla legge, per la fornitura di beni e servizi, perl’accesso alle piattaforme che operano in Internet.5. L’attribuzione e la gestione dell'Identità digitale da parte delle IstituzioniPubbliche devono essere accompagnate da adeguate garanzie, in particolare intermini di sicurezza.

14



15

Sezione IIDiritti dei cittadini e delle imprese

Art. 3 - Diritto all'uso delle tecnologie 1. Chiunque ha il diritto di usare le soluzioni e gli strumenti di cui al presenteCodice nei rapporti con i soggetti di cui all'articolo 2, comma 2, anche ai finidella partecipazione al procedimento amministrativo, fermi restando i dirittidelle minoranze linguistiche riconosciute.[…]1-quinquies. Tutti i cittadini e le imprese hanno il diritto all'assegnazione diun'identità digitale attraverso la quale accedere e utilizzare i servizi erogatiin rete dai soggetti di cui all'articolo 2, comma 2, alle condizioni di cuiall'articolo 64;

Codice dell’Amministrazione DigitaleModificato dall’art. 3, D. Lgs. 26 agosto 2016, n. 179


Facciamo chiarezza

È il processo con il quale vengono associate delle credenziali ad un soggetto,per consentire l’accesso a un sistema informativo, generalmente in rete, dopola verifica in automatico da parte di un programma dedicato delle credenzialiche si intende accreditare sul sistema.Risponde alla domanda “Chi sei tu?”La funzione dell’identificazione è quella di rendere conoscibile un entitàall’interno di una moltitudine di entità sconosciute.La digitazione del nome utente (username) equivale all’asserzione: “sono lapersona a cui appartiene questo username”

Identificazione: la determinazione che un individuo sia conosciuto o meno dalsistema

Autenticazione vs Identificazione

16


Autenticazione: il processo attraverso il quale viene verificata l'identità di unutente che vuole accedere ad un computer o ad una una rete. E’ il sistema cheverifica, effettivamente, che un individuo è chi sostiene di essere.

Una volta stabilita l’identit{ di una persona, il sistema deve essere sicuro chel’utente sia quello che dice di essere. Per questo motivo, il sistema chiede “Comepuoi dimostrare la tua identità?”Con l’inserimento della password corretta, l’utente fornisce la prova che è lapersona a cui appartiene quell’username.Vi sono tre tipi di informazioni che possono essere utilizzate per l’authentication:Something you know: PIN, password, o altra parola chiave.Something you have: token fisico, un generatore di OTP, una smartcardSomething you are: una biometria (volto, impronte digitali, geometria della mano,venature della mano, l’iride, la retina, la firma, la voce, l’orecchio, il DNA)

Autenticazione vs IdentificazioneFacciamo chiarezza

17


Autorizzazione: il conferimento all’utente del diritto ad accedere aspecifiche risorse del sistema, sulla base della sua identità.

Una volta che il sistema ha identificato e autenticato l’utente, ora si tratta distabilire “cosa puoi fare?”, “a quali risorse, a quali dati puoi accedere?”

Il tutto viene garantito con un controllo agli accessi, in base alleautorizzazioni precedentemente date al profilo dell’utente. Il sistema èpertanto in grado di stabilire quali operazioni consentire e quali vietareall’utente.

Autenticazione vs IdentificazioneFacciamo chiarezza

18


«identificazione elettronica», il processo per cui si fa uso di dati di identificazionepersonale in forma elettronica che rappresentano un’unica persona fisica o giuridica, oun’unica persona fisica che rappresenta una persona giuridica;

«dati di identificazione personale», un insieme di dati che consente di stabilire l’identit{di una persona fisica o giuridica, o di una persona fisica che rappresenta una personagiuridica

Art. 3 – Definizioni

«autenticazione», un processo elettronico che consente di confermare l’identificazioneelettronica di una persona fisica o giuridica, oppure l’origine e l’integrit{ di dati in formaelettronica

Autenticazione vs IdentificazioneRegolamento eIDAS (electronic IDentification Authentication and Signature)

REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel

mercato interno e che abroga la direttiva 1999/93/CE

19

Fanno parte del CAD (richiamo art. 1, comma 1-bis CAD)


Art. 64 Codice dell’Amministrazione Digitale:

CNS (Carta nazionale dei Servizi)

I principali strumenti di identificazione informatica

CIE (Carta di identità elettronica)

20


SPID: stato di avanzamento

21


CAD, art. 64 del D.lgs. 7 marzo 2005, n. 82 (Codice dell'Amministrazione Digitale) [modificato dal D. Lgs. 26 agosto 2016, n. 179 ]

DPCM 24 ottobre 2014

Determinazione n. 44/2015, sono stati emanati i quattro regolamenti previsti dall’articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014

Determinazione n. 189/2016 del 22 luglio 2016, aggiornate e modificati i regolamenti SPID

Determinazione n. 239/2016 del 7 ottobre 2016, consente anche ai privati di accedere al sistema SPID in qualità di fornitori di servizi

SPID: presupposti normativi

22


DECRETO-LEGGE 21 giugno 2013, n. 69 “Disposizioni urgenti per il rilancio dell'economia”,convertito con modificazioni dalla L. 9 agosto 2013, n. 98 (in S.O. n. 63, relativo alla G.U.20/08/2013, n. 194).Art. 17-ter, comma 1 e 2: disposta la modifica dell'art. 64, comma 2, con l'introduzione deicommi 2-bis, 2-ter, 2-quater, 2-quinquies, 2-sexies.

Art. 64 CAD, comma 2-bis, 2-terÈ l’insieme aperto di soggetti pubblici e privati che, previo accreditamento daparte dell'AgID, identificano gli utenti per consentire loro l'accesso ai servizi inrete.

SPID: introduzione

Che cos’è il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID).

Obiettivo: favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da partedi cittadini e imprese, anche in mobilità

23


SPID e P.A. (art. 64, comma 2-quater)Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondole modalità definiti con il decreto di cui al comma 2-sexies.

SPID e Soggetti privati (art. 64, comma 2-quinquies)Ai fini dell'erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese,secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà diavvalersi del sistema SPID per la gestione dell'identità digitale dei propri utenti.L'adesione al sistema SPID per la verifica dell'accesso ai propri servizi erogatiin rete per i quali è richiesto il riconoscimento dell'utente esonera l'impresada un obbligo generale di sorveglianza delle attività sui propri siti, ai sensidell'articolo 17 del decreto legislativo 9 aprile 2003, n. 70.

Art. 64 CAD

SPID: introduzione

24


Art. 17 - Assenza dell'obbligo generale di sorveglianzaNella prestazione dei servizi di cui agli articoli 14, 15 e 16, (mere conduit, caching ehosting) il prestatore (ovvero la persona fisica o giuridica che presta un servizio dellasocietà dell'informazione) non è assoggettato ad un obbligo generale di sorveglianzasulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercareattivamente fatti o circostanze che indichino la presenza di attività illecite.

D. Lgs. 9 aprile 2003, n. 70 (Attuazione della direttiva 2000/31/CE relativaa taluni aspetti giuridici dei servizi della società dell'informazione nelmercato interno, con particolare riferimento al commercio elettronico)

Ad impossibilia nemo tenetur

Cosa significa l’esenzione dall’obbligo di sorveglianza?

Sorveglianza sull’attività nel proprio sito, non in rete!

SPID: introduzione

25


b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suopossesso che consentano l'identificazione del destinatario dei suoi servizi con cui haaccordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.

Il sito web che adotta SPID non è a conoscenza dell’identità dei propri utenti o puònon esserlo poiché la gestione delle identità è esterna. L’esenzione riguardal’obbligo di riferire, alle autorità, informazioni ed identità che non possiede e chenon devono più essere richieste al sito ma, eventualmente, all'identity provider.

Ad impossibilia nemo tenetur

Cosa significa l’esenzione dall’obbligo di sorveglianza?

Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore è comunque tenuto:a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa aventefunzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illeciteriguardanti un suo destinatario del servizio della società dell'informazione;

Art. 17 - Assenza dell'obbligo generale di sorveglianza

SPID: introduzione

26


SPID: introduzione

27

SPID e atti giuridici (art. 64, comma 2-septies)Un atto giuridico può essere posto in essere da un soggetto identificatomediante SPID, nell'ambito di un sistema informatico avente i requisiti fissatinelle regole tecniche adottate ai sensi dell'articolo 71, attraverso processi idoneia garantire, in maniera manifesta e inequivoca, l'acquisizione della sua volontà.[…].

SPID e accesso ai servizi P.A. (art. 64, comma 2-octies)Le pubbliche amministrazioni consentono mediante SPID l'accesso ai servizi inrete da esse erogati che richiedono identificazione informatica.

SPID e altri strumenti di identificazione (art. 64, comma 2-nonies)L'accesso di cui al comma 2-octies può avvenire anche con la carta di identitàelettronica e la carta nazionale dei servizi

Art. 64 CAD


I soggetti SPIDArt. 3, DPCM 24 ottobre 2014

Utente, che potrà disporre di uno o più identità digitali, che contengonoalcune informazioni identificative obbligatorie, come il codice fiscale, ilnome, il cognome, il luogo di nascita, la data di nascita e il sesso;

Gestore dell’identità digitale. Dovrà essere accreditato dall’Agenzia perl’Italia Digitale e ha il ruolo di creare e gestire le identità digitali;Gestore di attributi qualificati: in base alle norme vigenti, può certificareattributi qualificati, come il possesso di un titolo di studio, l’appartenenza adun ordine professionale

Fornitore di Servizi – soggetto pubblico o privato – che eroga servizi on-line, previo riconoscimento dell’utente da parte del gestore dell’identit{digitale.

Agenzia per l’Italia Digitale (AgID)

28


L'Agenzia cura l'attivazione dello SPID, svolgendo, in particolare, le seguentiattività:a) gestisce l'accreditamento dei gestori dell'identità digitale e dei gestori

di attributi qualificati, stipulando con essi apposite convenzioni.b) cura l'aggiornamento del registro SPID e vigila sull'operato dei soggetti

che partecipano allo SPID, anche con possibilità di conoscere, tramite ilgestore dell'identità digitale, i dati identificativi dell'utente e verificare lemodalità con cui le identità digitali sono state rilasciate e utilizzate;

c) stipula apposite convenzioni con i soggetti che attestano la validitàdegli attributi identificativi e consentono la verifica dei documenti diidentità.

Art. 4 DPCM 24 ottobre 2014

Il ruolo dell’AgID all’interno di SPID

29


Le identità digitali sono rilasciate dal gestore dell’identit{ digitale, su richiesta di unsoggetto interessato. Il modulo di richiesta di adesione contiene alcune informazioniobbligatorie

Rilascio delle identità digitali

ATTRIBUTI SECONDARI

Art. 1, comma 1 ,lett. d) DPCMfunzionali alle comunicazioni

il numero di telefonia fissa omobile, l'indirizzo di postaelettronica, il domiciliofisico e digitale, eventualialtri attributi individuatidall'Agenzia

PERSONE FISICHE

Cognome e Nome; sesso,data e luogo di nascita;codice fiscale; estremi diun valido documento diidentità

PERSONE GIURIDICHE

Denominazione/ragione sociale;codice fiscale o P. IVA (se ugualeal codice fiscale); sede legale;visura camerale attestante lostato di rappresentante legaledel soggetto richiedentel’identit{ per conto della società(in alternativa atto notarile diprocura legale); estremi deldocumento di identità utilizzatodal rappresentante legale

ATTRIBUTI IDENTIFICATIVI DELLE

IDENTITA’ DIGITALI

30


Inoltre, per quanto riguarda l’indirizzo di posta elettronica, igestori dovranno accertarsi, oltre che lo stesso sia unindirizzo corrispondente a una reale casella di posta, che siaunico in ambito SPID, ovvero che esso non sia statoprecedentemente indicato dallo stesso soggetto perl’acquisizione di una identità digitale SPID presso lo stesso oun altro gestore dell’identit{ digitale.

Attributi secondariObbligo di fornire almeno un indirizzo di posta elettronica eun recapito di telefonia mobile, entrambi verificati dal gestoredi identità digitale nel corso del processo di identificazione,inviando un messaggio di posta all’indirizzo dichiarato,contenente una URL per la verifica e un SMS al numero dicellulare con un codice numerico di controllo che deve essereriportato in risposta.

31


Il gestore dell’identit{ digitale, per una corretta e sicura attuazione del processo:

Attivit{ essenziale nel rilascio dell’identit{ digitale

d) acquisisce i dati necessari alla dimostrazione di identità.

a) fornisce l’informativa sul trattamento dei dati (articolo 13 del D.lgs. 196 del 2003)

b) si assicura che il richiedente sia consapevole dei termini e delle condizioni associati all'utilizzo del servizio di identità digitale;

c) si assicura che il richiedente sia consapevole delle raccomandazioni e delle precauzioni da adottare per l'uso dell’identità digitale;

32


A vista(anche da remoto)

Identificazione del soggetto richiedente che sottoscrive ilmodulo di adesione allo SPID, tramite esibizione a vista di unvalido documento d'identità e, nel caso di persone giuridiche,della procura attestante i poteri di rappresentanza

Identificazione informatica

Con documenti digitali che prevedono il riconoscimento a vistadel richiedente all'atto dell'attivazione, fra cui la TS‐CNS, CNS ocarte ad essa conformi

Con altre identità SPID

Art. 7 DPCM - Verifica dell'identità del soggetto richiedente e consegna in modalità sicura delle credenziali di accesso

Come avviene il rilascio dell’identit{ digitale

33


Art. 7 DPCM - Verifica dell'identità del soggetto richiedente e consegna in modalità sicura delle credenziali di accesso

Richiesta firmata digitalmente

acquisizione del modulo di adesione allo SPID sottoscritto confirma elettronica qualificata o con firma digitale

identificazione informatica fornita da sistemi informatici preesistentiall'introduzione dello SPID che risultino aver adottato, a seguito diapposita istruttoria dell'Agenzia, regole di identificazioneinformatica caratterizzate da livelli di sicurezza uguali o superiori aquelli definiti nel presente decreto.

Sistemi informatici preesistenti


34


I gestori dell'identità digitale, ricevuta la richiesta di adesione, effettuano la verifica degliattributi identificativi del richiedente utilizzando prioritariamente i servizi convenzionali[convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono laverifica dei documenti di identità]

Se non è possibile tale verifica, i gestori dell'identità digitale effettuano tali verifiche sullabase di documenti, dati o informazioni ottenibili da archivi delle amministrazionicertificanti, ai sensi dell'art. 43, comma 2, del decreto del Presidente della Repubblica28 dicembre 2000, n. 445, secondo i criteri e le modalità stabilite dall'Agenzia con iregolamenti di cui all'art. 4, fatto salvo il caso di cui al comma 2, lettera e).

L’art. 43 DPR 445/2000 prevede la consultazione diretta da parte di unapubblica amministrazione o di un gestore di pubblico servizio, degli archividell'amministrazione certificante, finalizzata all'accertamento d'ufficio distati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutivepresentate dai cittadini.


35


I PASSAGGI PRINCIPALI

a) richiesta di accreditamento

b) accoglimento della richiesta da parte dell’AgID

c) stipula apposita convenzione

d) iscrizione del richiedente nel registro SPID, consultabile in via telematica.

Accreditamento dei gestori dell'identità digitaleArt. 10, DPCM 24 ottobre 2014

36


a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni di euro; b) garantire il possesso dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche, da parte dei rappresentanti legali, dei soggetti preposti all'amministrazione e dei componenti degli organi preposti al controllo; c) dimostrare la capacità organizzativa e tecnica necessaria per svolgere l'attività di gestione dell'identità digitale; d) utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi da fornire. Il gestore provvede al periodico aggiornamento professionale del personale; e) comunicare all'Agenzia i nominativi e il profilo professionale dei soggetti responsabili delle specifiche f) essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia;

Art. 10, DPCM 24 ottobre 2014 - Requisiti per l’accreditamentoe Regolamento AgID (versione 2.0 del 22 luglio 2016)

Accreditamento dei gestori dell'identità digitale

37


g) trattare i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196;h) essere in possesso della certificazione di qualità ISO 9001, successive modifiche o norme equivalenti.

Se, all'esito dei controlli, accerta la

mancanza dei requisiti richiesti per l'iscrizione

nel registro SPID

Termine per consentire ripristino dei requisiti

adottare le azioni previste dall'art. 12:

sospensione o revoca dell’accreditamento

AgID procede a controlli per accertarela permanenza della sussistenza deirequisiti previsti dal DPCM 24.10.2014

D’ufficio

Su segnalazione motivata di soggetti pubblici o privati

Accreditamento dei gestori dell'identità digitale

38


• utilizzano sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti,in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale;

• adottano adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza,l'integrità e la sicurezza nella generazione delle credenziali di accesso;

• effettuano un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione dellecredenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensionedell'identità digitale in caso di attività sospetta;

• effettuano, con cadenza almeno annuale, un'analisi dei rischi;• definiscono il piano per la sicurezza dei servizi SPID, da trasmettere all'Agenzia, e ne garantiscono

l'aggiornamento;

DEFINIZIONI DPCMl) gestori dell'identità digitale: le persone giuridiche accreditate allo SPID che, in qualità di gestoridi servizio pubblico, previa identificazione certa dell'utente, assegnano, rendono disponibili egestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essiinoltre, forniscono i servizi necessari a gestire l'attribuzione dell'identità digitale degli utenti, ladistribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestitee l'autenticazione informatica degli utenti;

Obblighi dei gestori dell'identità digitaleArt. 11, DPCM 24 ottobre 2014

39


• allineano le procedure di sicurezza agli standard internazionali, la cui conformità ècertificata da un terzo abilitato;

• conducono, con cadenza almeno semestrale, il «Penetration Test»;• garantiscono la continuità operativa dei servizi afferenti allo SPID;• effettuano ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi,

garantendo la gestione degli incidenti da parte di un'apposita struttura interna;• garantiscono la gestione sicura delle componenti riservate delle identità digitali

degli utenti,• si sottopongono, con cadenza almeno biennale, ad una verifica di conformità alle

disposizioni vigenti da parte di un organismo di valutazione• informano tempestivamente l'Agenzia e il Garante per la protezione dei dati

personali su eventuali violazioni di dati personali• adeguano i propri sistemi a seguito degli aggiornamenti emanati dall'Agenzia;• inviano all'Agenzia, in forma aggregata, i dati da questa richiesti a fini statistici, che

potranno essere resi pubblici.

Obblighi dei gestori dell'identità digitaleArt. 11, DPCM 24 ottobre 2014

40


Nuove regole sui gestori dell'identità digitale

41

Art. 30 - Responsabilità dei prestatori di servizi fiduciari qualificati, dei gestoridi posta elettronica certificata, dei gestori dell'identità' digitale e deiconservatori

I prestatori di servizi fiduciari qualificati, i gestori di posta elettronicacertificata, i gestori dell'identità digitale di cui all'articolo 64 e i soggetti dicui all'articolo 44‐bis che cagionano danno ad altri nello svolgimento dellaloro attività, sono tenuti al risarcimento, se non provano di avereadottato tutte le misure idonee a evitare il danno.

Responsabilità

Modifiche apportate dalla recente riforma ad opera del D. Lgs. 26 agosto 2016, n. 179 (in G.U. 13/09/2016, n.214)



42

Art. 14‐bis - Agenzia per l'Italia digitale

[…] 2. AgID svolge le funzioni di:

i) vigilanza sui servizi fiduciari ai sensi dell'articolo 17 del regolamento UE910/2014 in qualità di organismo a tal fine designato, sui gestori di postaelettronica certificata, sui soggetti di cui all'articolo 44‐bis, nonché suisoggetti, pubblici e privati, che partecipano a SPID di cui all'articolo 64;nell'esercizio di tale funzione l'Agenzia può irrogare per le violazioniaccertate a carico dei soggetti vigilati le sanzioni amministrative di cuiall'articolo 32‐bis in relazione alla gravità della violazione accertata eall'entità del danno provocato all'utenza; […]

Potere di controllo AgID



43

Art. 32-bis - Sanzioni per i prestatori di servizi fiduciari qualificati, per i gestoridi posta elettronica certificata, per i gestori dell'identità digitale e per iconservatori1. L'AgID può irrogare […] ai gestori dell'identità digitale […], che abbianoviolato gli obblighi del Regolamento eIDAS e o del presente Codice, sanzioniamministrative in relazione alla gravità della violazione accertata e all'entitàdel danno provocato all'utenza, per importi da un minimo di euro 4.000,00 aun massimo di euro 40.000,00, fermo restando il diritto al risarcimento delmaggior danno. […]1‐bis. L'AgID, prima di irrogare la sanzione amministrativa di cui al comma 1,diffida i soggetti a conformare la propria condotta agli obblighi previsti dalRegolamento eIDAS o dal presente Codice, fissando un termine edisciplinando le relative modalità per adempiere.

Sanzioni


DEFINIZIONI DPCMi) fornitore di servizi: il fornitore dei servizi della società dell'informazione definiti dall'art. 2, comma1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un'amministrazione o di unente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di serviziinoltrano le richieste di identificazione informatica dell'utente ai gestori dell'identità digitale e nericevono l'esito. I fornitori di servizi, nell'accettare l'identità digitale, non discriminano gli utenti inbase al gestore dell'identità digitale che l'ha fornita;

Art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70"servizi della società dell'informazione": le attività economiche svolte in linea - on line -, nonchéi servizi definiti dall'articolo 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317, esuccessive modificazioni;

PrivatiPubbliche amministrazioni

Fornitori di serviziArt. 13, DPCM 24 ottobre 2014

44


Art. 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317“servizio”: qualsiasi servizio della società dell'informazione, vale a dire qualsiasiservizio prestato normalmente dietro retribuzione, a distanza, per via elettronica ea richiesta individuale di un destinatario di servizi. Ai fini della presente definizione siintende: per "servizio a distanza un servizio fornito senza la presenza simultaneadelle parti; per "servizio per via elettronica un servizio inviato all'origine e ricevuto adestinazione mediante attrezzature elettroniche di trattamento, compresa lacompressione digitale e di memorizzazione di dati e che e' interamente trasmesso,inoltrato e ricevuto mediante fili, radio, mezzi ottici od altri mezzi elettromagnetici;per "servizio a richiesta individuale di un destinatario di servizi un servizio fornitomediante trasmissione di dati su richiesta individuale;


45


Obblighi• I fornitori di servizi conservano per ventiquattro mesi le informazioni necessarie a

imputare, alle singole identità digitali, le operazioni effettuate sui propri sistemitramite SPID.

• Nel caso in cui i fornitori di servizi rilevino un uso anomalo di un'identità digitale,informano immediatamente l'Agenzia e il gestore dell'identità digitale che l'harilasciata.

• I fornitori di servizi trattano i dati personali nel rispetto del decreto legislativo 30giugno 2003, n. 196. Nell'ambito dell'informativa di cui all'art. 13 del decretolegislativo n. 196 del 2003, i fornitori di servizi informano l'utente che l'identitàdigitale e gli eventuali attributi qualificati saranno verificati, rispettivamente,presso i gestori dell'identità digitale e i gestori degli attributi qualificati.

Per aderire allo SPID devono stipulare apposita convenzione con l'Agenzia


46


1. Nel rispetto dell'art. 64, comma 2, del CAD [oggi

abrogato, il richiamo è da intendersi al comma 2-octies], lepubbliche amministrazioni che erogano in rete serviziqualificati, direttamente o tramite altro fornitore diservizi, consentono l'identificazione informatica degliutenti attraverso l'uso dello SPID.

Art. 14, DPCM 24 ottobre 2014 Adesione allo SPID da parte delle pubbliche amministrazioni in qualità di fornitori di servizi

servizio per la cui erogazioneè necessaria l'identificazioneinformatica dell'utente;

Fornitori di servizi: adesione SPID-PA

2. Ai fini del comma 1, le pubbliche amministrazioni dicui all'art. 2, comma 2, del CAD aderiscono allo SPID,secondo le modalità stabilite dall'Agenzia ai sensidell'art. 4, entro i ventiquattro mesi successiviall'accreditamento del primo gestore dell'identitàdigitale.

Obbligo per la P.A.

47

18 dicembre 2017

SANZIONI


Art. 15, DPCM 24 ottobre 2014 Adesione allo SPID da parte di soggetti privati fornitori di servizi

DIVIETO

1. Non possono aderire allo SPID i soggetti privati fornitori diservizi il cui rappresentante legale, soggetto prepostoall'amministrazione o componente di organo preposto alcontrollo risulta condannato con sentenza passata in giudicatoper reati commessi a mezzo di sistemi informatici.

OBBLIGO

2. Ai sensi dell'art. 64, comma 2‐quinquies, del CAD, i soggettiprivati che aderiscono allo SPID per la verifica dell'accesso aiservizi erogati in rete, nel rispetto del presente decreto e deiregolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4,soddisfano gli obblighi di cui all'art. 17, comma 2, del decretolegislativo 9 aprile 2003, n. 70 con la comunicazione del codiceidentificativo dell'identità digitale utilizzata dall'utente.

Fornitori di servizi: adesione SPID-PA

48


Su richiesta degli interessati, sono accreditati di diritto i seguenti gestori di attributi qualificati (nonnecessitano di formalizzare l’accreditamento)a) il Ministero dello sviluppo economico in relazione ai dati contenuti nell'indice nazionale degli indirizziPEC delle imprese e dei professionisti (INI-PEC)b) i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all'attestazionedell'iscrizione agli albi professionali;c) le camere di commercio, industria, artigianato e agricoltura per l'attestazione delle cariche e degliincarichi societari iscritti nel registro delle imprese;d) l'Agenzia in relazione ai dati contenuti nell'indice degli indirizzi della pubblica amministrazione e deigestori di pubblici servizi (IPA) di cui all'art. 57‐bis del CAD.

Art. 16, DPCM 24 ottobre 2014 - Accreditamento dei gestori di attributi qualificati

Definizione DPCMe) attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza equalsiasi altro tipo di attributo attestato da un gestore di attributi qualificati;m) gestori di attributi qualificati: i soggetti accreditati ai sensi dell'art. 16 che hanno il poteredi attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi;

Gestori di attributi qualificati SPID

49


Il sistema SPID è basato su tre livelli di sicurezza di autenticazione informatica

Art. 6, DPCM 24 ottobre 2014 - Livelli di sicurezza delle identità digitali

I livelli di sicurezza SPID

Processo diretto alla verifica dell’identit{digitale associata a un soggetto ai finidella erogazione di un servizio fornito inrete. A tale verifica di identità è associatoun livello di sicurezza o di garanzia (levelof assurance - LoA) progressivamentecrescente in termini di sicurezza.

Processo di autenticazione informatica

Il risultato dell’intero procedimento chesottende all’attivit{ di autenticazione.Tale processo va dalla preliminareassociazione tra un soggetto eun’identit{ digitale che lo rappresenta inrete fino ai meccanismi che realizzano ilprotocollo di autenticazione al momentodella richiesta di un servizio in rete.

Livello di sicurezza

50


I livelli di sicurezza SPIDI livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115.

Garantisce con un buon gradodi affidabilità l'identitàaccertata nel corso dell’attivit{di autenticazione.

Rischio associato: moderato

Sistema di autenticazione: asingolo fattore (la password)

Applicabilità: nei casi in cui ildanno causato, da un utilizzoindebito dell’identit{ digitale,ha un basso impatto per leattività dell’utente

Livello 1(LoA2 dell’ISO-

IEC 29115) Garantisce con un alto gradodi affidabilità l'identitàaccertata nel corso dell’attivit{di autenticazione.

Rischio associato: ragguardevole

Sistema di autenticazione: a duefattori non necessariamentebasato su certificati digitali

Applicabilità: tutti i servizi per iquali un indebito utilizzo dell’identità digitale può provocareun danno consistente


IEC 29115)

51


Garantisce con un altissimo grado di affidabilità l'identitàaccertata nel corso dell’attivit{ di autenticazione

Rischio associato: altissimo

Sistema di autenticazione: a due fattori basato su certificatidigitali e criteri di custodia delle chiavi private su dispositiviche soddisfano i requisiti dell’Allegato 3 della Direttiva1999/93/CE

Applicabilità: a tutti i servizi che possono subire un serio egrave danno per cause imputabili ad abusi di identità;questo livello è adeguato per tutti i servizi per i quali unindebito utilizzo dell’ identità digitale può provocare undanno serio e grave


IEC 29115)

I livelli di sicurezza SPIDI livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115.

52


I livelli di sicurezza SPIDAvviso AgID n. 4 – Indicazioni sul livello di sicurezza da adottare per alcuni servizi più diffusi

53



54



55


I fornitori di servizi, per verificare le policy di sicurezza relativi all’accesso ai servizi da essierogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggettirichiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il setminimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto emantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall’articolo11 del decreto legislativo n. 196 del 2003.

Art. 27, Modalità attuative SPID - Uso degli attributi SPID

La privacy in SPID

Principi e regole imposte dal Garante per la protezione dei dati personaliPareri all’AgiD del 23 aprile 2015 - 4 giugno 2015 - 17 dicembre 2015

PRINCIPIO DI PROPORZIONALITÀ

(Art. 11, comma 1, lett. d), Codice Privacy)I dati personali oggetto di trattamentodevono essere pertinenti, completi e noneccedenti rispetto alle finalità per le qualisono raccolti o successivamente trattati

PRINCIPIO DI NECESSITÀ (Art. 3 Codice Privacy)I sistemi informativi e i programmi informatici sonoconfigurati riducendo al minimo l’utilizzazione dei datipersonali e dei dati identificativi, in modo da escluderne iltrattamento quando le finalità perseguite nei singoli casipossono essere realizzate mediante, rispettivamente, datianonimi od opportune modalità che permettano diidentificare l’interessato solo in caso di necessità.

56


Minacce nel processo di registrazione

Furto/usurpazione di identità

Un richiedente dichiara una identità non corretta (ad es. usando un documento d'identità contraffatto)

Ripudio/disconoscimento della registrazione

Un cittadino/impresa nega la registrazione affermando che non ha mai richiesto la registrazione

SICUREZZA

Rischi associati alle identità digitali

57


Divulgazione/rivelazione

Una chiave generata dal gestore delle identitàdigitali è copiata da un aggressore informatico.

Emissione delle credenziali dipersona, spedizione in buste sigillate con posta raccomandata, uso di una sessione protetta per la spedizione elettronica

Manomissione Una nuova passwordgenerata dal sottoscrittore viene modificata da un aggressore informatico.

Stesse strategie di mitigazione di sopra, uso di protocolli di comunicazione che proteggono la sessione dati.

Emissione nonautorizzata

Rilascio delle credenzialead una persona cheafferma di essere ilsottoscrittore (e in effettinon lo è)

Procedura che assicura che la persona destinataria delle credenziali sia la stessa persona che ha partecipato nel processo di registrazione

Minacce nel processo di emissione delle credenziali/ Strategie di mitigazione


58


Un token per la sicurezza (chiamato anche token hardware, token perl'autenticazione, token crittografico, o semplicemente token) è un dispositivofisico (non sempre) necessario per effettuare un'autenticazione (tipicamenteuna autenticazione a due fattori).

Un token può anche essere di tipo software, ove le informazioni necessarierisiedono direttamente nel computer dell'utente, e non in un oggetto esterno.

(fonte wikipedia)

Minacce associate ai token


59


Tipo token Esempi di minacce

Something we have Può essere perso, danneggiato, rubato o clonato. Ad esempio un aggressore malevolo potrebbe prendere possesso del computer e copiare un token software. Analogamente un token hardware potrebbe essere rubato, manomesso o duplicato.

Something we know L'aggressore potrebbe provare ad indovinare la password o il PIN o installare del software maligno (ad es. keyboard logger) per catturare la password, in alternativa possono essere adottate catture del traffico dalla rete o attraverso tecniche di social engineering

Something we are Può essere replicato, ad esempio un aggressore potrebbe ottenere una copia delle impronte digitali e costruirne una replica assumendo che il sistema biometrico non utilizzi robuste, e consigliate, tecniche di rilevazione

Minacce associate ai token


60


Minaccia/Attacco token

Descrizione Esempi

Furto Un token fisico viene rubato Furto di un cellulare, dispositivo fisico ecc.

Scoperta Le risposte a domande di suggerimento per riconoscere l'utente sono facilmente deducibili o ricavabili da diverse sorgenti disponibili.

Ad es. la domanda "Quale liceo hai frequentato ?" è facilmente ottenibile dai siti web di tipo social.

Duplicazione Il token è stato copiato senza, o con, l’assenso dell'utente.

Password scritta su post-it omemorizzato su un file che viene successivamente copiato da un aggressore.

Le minacce e gli attacchi più comuni in riferimento ai token 1/3


61



Descrizione Esempi

Intercettazione Il token viene rilevato nel momento dell'immissione.

La password viene dedotta osservando l'immissione da tastiera, o con l'ausilio di keylogger software.

Offline cracking Sono usate tecniche analiticheoffline ed esterne ai meccanismi di autenticazione.

Una chiave viene estratta utilizzando tecniche di analisi differenziale su tokenhardware rubati.

Phishing o pharming

L'utente viene ingannato e crede che l'aggressore sia il fornitore di servizi o di identità (sito civetta).

DNS re-routing. Una password viene rivelata ad un sito civetta che simula l'originale.



62



Descrizione Esempi

Ingegneria sociale L'aggressore stabilisce un livello di sicurezza con l'utente in modo da convincerlo a rivelargli il contenuto del token.

Una password viene rivelata durante una telefonata ad un aggressore che finge di essere l'amministratore di sistema.

Provare a indovinare (online)

L'aggressore si connette al sito del gestore di identità online e prova ad indovinare il token valido.

Attacchi online basati su dizionari o password note.



63


Strategie di mitigazione delle minacce ai token 1/2

Minaccia/Attacco token Tecnica di mitigazione della minaccia

Furto Usare token multi-fattore che devono essere attivati attraverso un PIN o elementi biometrici.

Scoperta Usare metodologie tali da rendere complessa la deduzione di una risposta

Duplicazione Usare token difficilmente duplicabili come tokencrittografici hardware

Intercettazione Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni.


64


Strategie di mitigazione delle minacce ai token 2/2

Minaccia/Attacco token Tecnica di mitigazione della minaccia

Offline cracking e provare ad indovinare (online)

Usare token con elevata entropia. Usare token che causino il blocco dopo un numero limitato di tentativi.

Phishing o pharming Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni.

Ingegneria sociale Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni


65


1. Nel caso in cui l'utente ritenga, […], che la propria identità digitale sia stata utilizzataabusivamente o fraudolentemente da un terzo, può chiedere, […], la sospensioneimmediata dell'identità digitale al gestore della stessa e, se conosciuto, al fornitore diservizi presso il quale essa risulta essere stata utilizzata. Salvo il caso in cui la richiesta siainviata tramite posta elettronica certificata, o sottoscritta con firma digitale o firmaelettronica qualificata, il gestore dell'identità digitale e il fornitore di servizi eventualmentecontattato verificano, anche attraverso uno o più attributi secondari, la provenienza dellarichiesta di sospensione da parte del soggetto titolare dell'identità digitale e forniscono laconferma della ricezione della medesima richiesta.2. […] il gestore dell'identità digitale sospende tempestivamente l'identità digitale per unperiodo massimo di trenta giorni informandone il richiedente. Scaduto tale periodo,l'identità digitale è ripristinata o revocata ai sensi del comma 3.3. Il gestore revoca l'identità digitale se, nei termini previsti dal comma 2, ricevedall'interessato copia della denuncia presentata all'autorità giudiziaria per gli stessi fattisu cui è basata la richiesta di sospensione.

Art. 9, DPCM 24 ottobre 2014

Uso illecito delle identità digitali SPID

66


Art. 640-ter c.p.Frode informatica

Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informaticoo telematico o intervenendo senza diritto con qualsiasi modalità su dati,informazioni o programmi contenuti in un sistema informatico o telematico o adesso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, èpunito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro1.032.[…] La pena è della reclusione da due a sei anni e della multa da euro 600 a euro3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale indanno di uno o più soggetti.Il delitto è punibile a querela della persona offesa salvo che ricorra taluna dellecircostanze di cui al secondo e terzo comma o un'altra circostanza aggravante.

Gli illeciti penali legati alle identità digitali

67


Grazie per l’attenzione

www.gianlucasatta.it

[email protected]

http://www.diricto.it

http:// ict4forensics.diee.unica.it

http:// www.marcafoto.it

Gianluca Satta

www.massimofarina.it

[email protected]

Massimo Farina

Web …

https://it.linkedin.com/in/gianlucasatta

http://www.gianlucasatta.it/

mailto:[email protected]

http://www.diricto.it/



http://ict4forensics.diee.unica.it/

http://ict4forensics.diee.unica.it/


http://www.adminsys.it

http://www.adminsys.it

https://it.linkedin.com/in/maxfar/it

http://www.massimofarina.it/





Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0

o Tu sei libero:

• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire orecitare l'opera;

• di modificare quest’opera;

• Alle seguenti condizioni: Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha

dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usil’opera.

Non commerciale. Non puoi usare quest’opera per fini commerciali. Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra, puoi

distribuire l’opera risultante solo con una licenza identica o equivalente a questa.

o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza diquest’opera.

o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.

o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra.

Licenza

SPID: le nuove identità digitali dopo la riforma del CAD

Law

Transcript of SPID: le nuove identità digitali dopo la riforma del CAD