Un’ identità digitale per l’accesso ai servizi digitali della PA e dei privati

1. /13
Presidenza del Consiglio dei Ministri
1
Il sistema pubblico di identità
digitale (SPID)
SMAU Bologna 2015
Francesco Tortorelli

2. /13
Perchè
2
• Incrementare l’utilizzo dei servizi on line specialmente quelli dispositivi e il commercio
elettronico, in maniera da risalire le posizioni nello scenario EU e beneficiare dell’utilizzo
di internet e delle nuove tecnologie in tutti i settori economici;
• Semplificare l’accesso ai servizi digitali senza penalizzare la sicurezza e la privacy;
• Proteggere il consumatore.

3. /13
Perchè
3
• Incrementare l’utilizzo dei servizi on line specialmente quelli dispositivi e il commercio
elettronico, in maniera da risalire le posizioni nello scenario EU e beneficiare dell’utilizzo
di internet e delle nuove tecnologie in tutti i settori economici;
• Semplificare l’accesso ai servizi digitali senza penalizzare la sicurezza e la privacy;
• Proteggere il consumatore.
L’indicatore è calcolato :
60% su 1) Ent. Info Share 2) RFID 3) Social M 4) e-Invoice 5) Cloud
40% su 1) vendite on line 2) e-commerce 3) vendite online trasfrontaliere

4. /13
Cosa
4
• SPID è un sistema che consente agli utenti che siano stati riconosciuti ed ai
quali siano state fornite credenziali, di accedere con le medesime a tutti i
servizi pubblici e privati il cui livello di accesso sia compatibile con quello
della credenziale presentata (livelli 1, 2, 3);
• In SPID i fornitori di attributi qualificati, su richiesta del fornitore di servizi,
attestano in rete il possesso degli attributi o qualifiche necessari per
accedere ad un determinato servizio.

5. /13
Chi
5
• Service Provider: i soggetti pubblici e privati che utilizzano SPID per il controllo delle
credenziali di accesso ai propri servizi
• Identity provider: I soggetti che, previo accreditamento da parte AgID e seguendo i
regolamenti, attribuiscono identità digitali ai soggetti che la richiedono, con le relative
credenziali fornendo ai service provider la verifica delle credenziali medesime.
• Attribute provider: i soggetti titolati che, previo accreditamento AgID e seguendo i
relativi regolamenti forniscono prova del possesso di determinati attributi e qualifiche
• AgID : svolge il ruolo di vigilanza sui soggetti accreditati ed il ruolo di garante della
federazione, gestendo il registro che rappresenta l’insieme dei soggetti in trust

6. /13
Quando
6
• L’11 giugno pv il Garante completerà il parere sui restanti provvedimenti;
• Ricevuto il parere AgID emanerà i provvedimenti apportando le eventuali
correzioni indicate nel parere medesimo;
• Da tale data sarà aperto l’accreditamento;
• Le domande di accreditamento degli idP si considerano accolte entro 90
giorni dalla presentazione.

7. /13
I regolamenti : le regole tecniche
7
Descrivono:
Per Identity provider, attribute provider e service provider
• il modello generale,
•lo scenario di interazione
•La specifica delle interfacce
•Il protocollo
•Le asserzioni
•Il binding
•La sicurezza di canale
•I metadati

8. /13
I regolamenti : le modalità attuative
8
Descrivono:
Per Identity provider, attribute provider e service provider
•Accreditamento e vigilanza,
•Registrazione identità digitale e riscontro dei dati identificativi
•Esame e verifica dell’identità dichiarata
•Conservazione e registrazione dei documenti
•Emissione identità
•Rilascio e consegna delle credenziali
•Gestione del ciclo di vita dell’identità digitale
•Autenticazione
•Monitoraggio AgID
•Usabilità e accessibilità
•Disciplina di utilizzo degli elementi identificativi SPID

9. /13
I regolamenti : accreditamento e vigilanza
9
Descrive:
• Fase di accreditamento
• Presentazione domanda
• Elenco dei documenti necessari
• Iter istruttorio
• Stipula convenzione
• Richiesta di approvazione soluzioni tecnologiche
• Vigilanza
• Fase transitoria

10. /13
I regolamenti : riutilizzo identità pregresse
10
Descrive:
• Presentazione domanda e documentazione
• Definizione del riuso di credenziali
• Iter istruttorio

11. /13
Le fasi del progetto
11

12. /13
Verifica Identità SPID
12
a) identificazione tramite esibizione a vista di un valido documento d’identità da
parte del soggetto richiedente, il quale sottoscrive il modulo di adesione allo
SPID;
b) identificazione informatica tramite documenti digitali di identità, validi ai sensi di
legge, che prevedono il riconoscimento a vista del richiedente all’atto
dell’attivazione (TS-CNS, CNS, CRS, ATe,..);
c) identificazione informatica tramite altra identità digitale SPID di livello di sicurezza
pari o superiore a quella oggetto della richiesta;
d) acquisizione del modulo di adesione allo SPID sottoscritto con firma
elettronica qualificata o con firma digitale;
e) identificazione informatica per mezzo di sistemi informatici preesistenti
all’introduzione dello SPID che risultino aver adottato, a seguito di apposita
istruttoria dell’Agenzia, regole di identificazione informatica caratterizzate da
livelli di sicurezza uguali o superiori a quelli definiti nel presente decreto.
verifica dell’identità dei soggetti ai quali fornire credenziali SPID attraverso la
normativa MEF prevista dal sistema pubblico di prevenzione del furto di identità nel
settore del credito, istituito con Dlgs 141/2010 ed attuato con regolamento MEF n.
95/2014

13. /13
Attributi SPID
13
attributi identificativi: nome, cognome, luogo e data di nascita, sesso,
ovvero ragione o denominazione sociale, sede legale, nonché il codice fiscale e
gli estremi del documento d’identità utilizzato ai fini dell’identificazione;
attributi non identificativi: il numero di telefonia mobile, l’indirizzo di posta
elettronica, il domicilio fisico e digitale, nonché eventuali altri attributi individuati
dall’Agenzia;
attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di
rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi
qualificati.

14. /13
Livelli di sicurezza SPID
14
Primo livello: corrispondente al Level of Assurance LoA2 dello standard
ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di
autenticazione informatica a un fattoreun fattore (per esempio la password), secondo quanto
previsto dal presente decreto e dai regolamenti di cui all’articolo 4.
Secondo livello: corrispondente al Level of Assurance LoA3 dello standard
ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di
autenticazione informatica a due fattoridue fattori, non basati necessariamente su certificati
digitali le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti
di cui all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo
quanto previsto dal presente decreto e dai regolamenti di cui all’articolo 4.
Terzo livello: corrispondente al Level of Assurance LoA4 dello standard
ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di
autenticazione informatica a due fattori basati su certificati digitalidue fattori basati su certificati digitali, le cui chiavi private
siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 delladispositivi che soddisfano i requisiti di cui all’Allegato 3 della
Direttiva 1999/93/CE del Parlamento europeo.Direttiva 1999/93/CE del Parlamento europeo.

15. /13
Livelli di sicurezza SPID - 2
15
INDIVIDUAZIONE DEL LIVELLO DI SICUREZZA DEGLI STRUMENTI
L’Agenzia valuta e autorizza l’uso degli strumenti e delle tecnologie di
autenticazione informatica consentiti per ciascun livello, nonché i criteri per la
valutazione dei sistemi di autenticazione informatica e la loro assegnazione al relativo
livello di sicurezza.
Per tale attività i laboratori accreditati forniranno una valutazione
preventiva che sarà presentata ad AgID
I gestori dell’identità digitale rendono pubbliche le decisioni
dell’Agenzia.

16. /13
Sistema pubblico di identità digitale
16
SPID
User
Identity Provider
Service Provider
1
2
3
4
5
Attribute Provider
6
7
Registro
SPID
Registro
SPID

17. /1317
G R A Z I E !