Cibersicurezza su vasta scala, come la Ue riorganizza la difesa

La nuova politica per la cibersicurezza dell'Unione Europea Attacchi informatici sempre più mirati e su vasta scala hanno spinto l’Ue ha…

Blockchain e Pubblica Amministrazione

Su agendadigitale.eu è stato pubblicato il mio articolo su "Blockchain e PA: i casi d'uso a vantaggio di trasparenza e…

Blockchain, i tre approcci per governarla

Anche su Agendadigitale.eu è stato ripreso l'articolo sull'intervento sulla blockchain tenuto in occasione del ForumPA 2017. Il titolo sintetizza gli approcci…

Intervento a ForumPA2017 sulla governance della blockchain

Vi segnalo il testo del mio intervento sulla governance della blockchain e sulle sue possibili applicazioni nella pubblica amministrazione italiana che…

Spid, per la sicurezza bisogna cambiare il sistema di riconoscimento

In merito alle recenti vicende relative alla presunta falla nel sistema di riconoscimento per il rilascio di un'identità digitale SPID…

«
»

Identità Digitali in 30 secondi

Identità Digitali in 30 secondi

 

Una rapida guida per capire subito cosa sono le identità digitali ed lo SPID

 

1 – Cosa è lo SPID

Lo SPID è il Sistema Pubblico per la Gestione delle Identità Digitali, e rappresenta uno dei punti di attuazione dell’Agenda Digitale italiana. E’ un sistema aperto a cui devono aderire tutte le pubbliche amministrazioni. Il sistema vuole creare, anche sulla base di quanto previsto dal Regolamento eIDAS una modalità diffusa di autenticazione dei cittadini per i servizi resi dalle pubbliche amministrazioni (ed anche dai fornitori privati di servizi che vi aderiscono).

Attraverso lo SPID i cittadini possono essere riconosciuti online dalle pubbliche amministrazioni per accedere a determinati servizi che verranno messi in rete dalle stesse.

2 – Come funziona lo SPID

Lo SPID si basa sull’attività di 3 principali soggetti: i fornitori di servizi in rete (pubbliche amministrazioni ed aziende private che vogliono aderirvi), i gestori delle identità digitali (ossia i soggetti che riconoscono i cittadini e rilasciano agli stessi le credenziali che poi potranno utilizzare sullo SPID) ed i soggetti che utilizzano le credenziali (cittadini ed imprese) per accedere allo SPID.

Il sistema prevede che il cittadino venga riconosciuto, in maniera certa, da un gestore delle identità digitali, il quale rilascerà delle credenziali da utilizzare online. Tramite queste credenziali il cittadino, quando accede ad un servizio messo a disposizione sulla rete da un fornitore, si autentica (in realtà è il gestore a validare le credenziali al momento del loro utilizzo, confermando al fornitore di servizi la validità delle stesse). Effettuata l’autenticazione il cittadino è riconosciuto e può quindi operare.

3 – Cosa si intende per credenziali SPID

La legge prevede tre tipologie di credenziali con tre livelli di sicurezza diversa.

  1. Al livello 1 (il più basso) sono previste credenziali composte da una user-id (tipicamente una email) ed una password. Sono le credenziali che utilizziamo per accedere a molte applicazioni online, ma la differenza in questo caso è che sono “certificate” da un soggetto (il gestore delle identità digitali) che deve aver effettuato un riconoscimento personale.
  2. Al livello 2 (intermedio) sono previste credenziali a due fattori. In questo livello è prevista una user-id, una password ed un ulteriore password che viene generata tramite un dispositivo sicuro. Si tratta, esemplificando, dei sistemi utilizzati per le attività di home-banking quando la banca rilascia al cliente un token (chiavetta) che genera delle password numeriche (denominate OTP – One Time Password), oppure di particolari applicazioni che consentono di ricevere una password generata all’occorrenza sul proprio dispositivo cellulare.
  3. Al livello 3 (il più alto) sono previste credenziali basate su certificati digitali e dispositivi sicuri. Questa tipologia è identica a quella presente nella Carta Nazionale dei Servizi o nella Carta di identità elettronica, o nelle smart-card o chiavette USB che vengono già utilizzate ad esempio dagli avvocati per accedere al Polisweb ed ai servizi del processo civile telematico. Si tratta di certificati digitali cd. “di autenticazione” da non confondersi con i certificati digitali cd. di sottoscrizione. L’utilizzo del certificato è contenuto all’interno dello stesso e nella policy da cui esso è disciplinato.

4 – Lo SPID non sostituisce la CNS e la CIE

E’ necessario chiarire che lo SPID non manderà in soffitta gli altri strumenti di autenticazione ad oggi previsti per la pubblica amministrazione. Il Codice dell’Amministrazione Digitale prevede espressamente (all’art. 64) che le identità digitali sono una delle modalità di accesso ai servizi in rete delle pubbliche amministrazione, ma comunque, per l’autenticazione in rete la carta di identità elettronica (CIE) e la Carta Nazionale dei Servizi (CNS) deve essere sempre consentito, indipendente dallo strumento prescelto.

Le identità digitali, quindi, sono strumenti che si affiancheranno alla CNS  ed alla CIE. Anzi, per essere più precisi, le pubbliche amministrazioni potranno consentire l’accesso solamente con questi strumenti (CNS, CIE e identità digitali) non potendo utilizzare più altre modalità per far autenticare i cittadini e le imprese.

5 – Cosa si può fare con le identità digitali

Le identità digitali sono principalmente strumenti di autenticazione a servizi in rete resi da particolari fornitori. Le pubbliche amministrazioni hanno l’obbligo di aderire allo SPID, mentre per i privati sarà una scelta facoltativa. Quindi, se principalmente le identità digitali serviranno ad autenticarsi su siti e portali della pubblica amministrazione, non è escluso che tramite le stesse si potrà compiere anche operazioni con fornitori privati. Una prima applicazione per i fornitori privati è prevista, ad esempio, nel DDL Concorrenza (commentato qua nella parte relativa alle “semplificazioni” societarie). L’art. 17 prevede che per la portabilità del numero di utenza tra un operatore i clienti potranno autenticarsi anche utilizzando le identità digitali, in modo da consentire che la richiesta di migrazione e tutte le operazioni ad esse connesse possano essere svolte per via telematica.

6 – In particolare: le istanze online

Il principale utilizzo delle identità digitali è quello di poter presentare istanze online alla pubblica amministrazione, senza doversi necessariamente munire di una firma digitale (o qualificata).

L’art. 65 del CAD prevede quattro modalità di presentazione delle istanze alla PA:

  1. La firma digitale (o qualificata);
  2. L’identificazione tramite CNS o CIE;
  3. L’identificazione tramite identità digitali dello SPID;
  4. La trasmissione da una posta elettronica certificata di cui sia stato previamente identificato il titolare.

Trattandosi di un’istanza, ossia tipicamente di un modulo (a cui si accompagna spesso un’autocertificazione di stati e qualità), dovrebbe essere sempre firmato digitalmente, per certificare la provenienza dello stesso.

In realtà, il Codice dell’Amministrazione Digitale in caso di utilizzo delle identità digitali  elimina la necessità della firma digitale, stabilendo all’art. 65, 2° comma, che “Le istanze e le dichiarazioni inviate o compilate su sito secondo le modalità previste dal comma 1 sono equivalenti alle istanze e alle dichiarazioni sottoscritte con firma autografa apposta in presenza del dipendente addetto al procedimento”.

Quindi, una volta che il cittadino si autentica ad un sito della pubblica amministrazione (o di un gestore di un servizio pubblico) tramite un’identità digitale SPID potrà inviare validamente un’istanza compilando un form presente su detto sito, senza necessità di sottoscrizione digitale vera e propria o di allegare altri documenti.

7 – Cosa sono gli attributi qualificati

Un altro interessante elemento che potranno avere le identità digitali sono gli attributi qualificati, ossia informazioni circa specifiche qualifiche, abilitazioni professionali o poteri di rappresentanza del titolare dell’identità. Si tratta, soprattutto, delle indicazioni in merito all’appartenenza a determinate categorie professionali (avvocati, commercialisti, notai, etc.) o il potere di rappresentare un soggetto privato (tipicamente le società).

Questi attributi sono gestiti direttamente da appositi soggetti, diversi dai gestori dell’identità digitali, che istituzionalmente hanno il ruolo di certificare tali tipologie di informazioni (ordini professionali, camere di commercio, etc.).

8 – Quanto sono sicure le identità digitali?

Oltre ai livelli di sicurezza delle credenziali sono previsti anche dei monitoraggi da parte dei gestori sul loro utilizzo. Il gestore che ha rilasciato un’identità digitale è obbligato a monitorare l’utilizzo della stessa, provvedendo a sospenderla nel caso in cui rilevi utilizzi anomali (ad esempio ripetuti tentativi falliti di utilizzo, accessi contemporanei, etc.). Gli utenti, inoltre, possono in ogni momento richiedere al gestore il log degli utilizzi dell’identità digitale, potendo così verificare se vi siano tentativi di furto delle stesse o usi illegittimi.

9 – Le identità digitali SPID potranno essere utilizzate in altri paesi Europei?

Lo SPID è stato notificato all’Unione Europea ai fini dell’accettazione tra i sistemi di identità digitale previsti dal Regolamento eIDAS. Lo SPID, quindi, sarà accettato dagli altri Stati membri dell’UE e l’interoperabilità dello stesso a livello europeo è assicurata dalla circostanza che esso è basato sulle specifiche tecniche già adottate a livello sperimentale in UE per il progetto Stork. Le identità digitali rilasciate per lo SPID, quindi, potranno essere utilizzate negli altri paesi membri presso i fornitori di servizi.

10 – Quando sarà effettivo lo SPID?

La normativa italiana prevede la completa attuazione dello SPID per il mese di aprile 2015. Ad oggi sono state definite le regole di massima, tramite il DPCM 24 ottobre 2014, e l’Agenzia per l’Italia Digitale deve adottare i successivi regolamenti attuativi e stipulare le convenzioni di servizio con i singoli attori coinvolti nel sistema.

 

Ti è piaciuto questo articolo?

Condividilo con i pulsanti che trovi qui sotto!

 

%d blogger hanno fatto clic su Mi Piace per questo: