SPID: le nuove frontiere delle identità digitaliGianluca Satta
Il sistema pubblico per la gestione dell'identità digitale (SPID), previsto dall’art. 64 del D. Lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale), consente a cittadini e imprese di usufruire di servizi online tramite l’utilizzo delle stesse credenziali per ogni autenticazione. Grazie ad un’unica identità digitale, rilasciata da un Identity Provider, ogni utente potrà accedere ai servizi della pubblica amministrazione e dei soggetti privati che aderiscono al sistema SPID. Il seminario si propone di illustrare le modalità di funzionamento, gli aspetti giuridici e le criticità legate a SPID e, più in generale, alle identità digitali in rete.
Durante il primo evento AIFAG tenutosi il 9 ottobre a Milano, Stefano Arbia ha esposto ai presenti le novità di prossima attuazione e le tempistiche del Sistema Pubblico di Identità Digitale (SPID), focalizzando l’attenzione su tutti i soggetti in esso coinvolti - gestori dell’identità digitali, fornitori di servizi, gestori di attributi qualificati, autorità di accreditamento e vigilanza – ed evidenziando, inoltre, i livelli di sicurezza che saranno adottati. Nella seconda parte del suo intervento ha poi affrontato il tema strettamente connesso del Regolamento del Parlamento e del Consiglio europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
Una Panoramica sul Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE)
SPID: le nuove frontiere delle identità digitaliGianluca Satta
Il sistema pubblico per la gestione dell'identità digitale (SPID), previsto dall’art. 64 del D. Lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale), consente a cittadini e imprese di usufruire di servizi online tramite l’utilizzo delle stesse credenziali per ogni autenticazione. Grazie ad un’unica identità digitale, rilasciata da un Identity Provider, ogni utente potrà accedere ai servizi della pubblica amministrazione e dei soggetti privati che aderiscono al sistema SPID. Il seminario si propone di illustrare le modalità di funzionamento, gli aspetti giuridici e le criticità legate a SPID e, più in generale, alle identità digitali in rete.
Durante il primo evento AIFAG tenutosi il 9 ottobre a Milano, Stefano Arbia ha esposto ai presenti le novità di prossima attuazione e le tempistiche del Sistema Pubblico di Identità Digitale (SPID), focalizzando l’attenzione su tutti i soggetti in esso coinvolti - gestori dell’identità digitali, fornitori di servizi, gestori di attributi qualificati, autorità di accreditamento e vigilanza – ed evidenziando, inoltre, i livelli di sicurezza che saranno adottati. Nella seconda parte del suo intervento ha poi affrontato il tema strettamente connesso del Regolamento del Parlamento e del Consiglio europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno.
Una Panoramica sul Regolamento UE 910/2014 del Parlamento Europeo e della Consiglio del 23/7/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno (abrogazione direttiva 1999/93/CE)
AIFAG - Firme elettroniche, grafometria e biometria: Quo vadis?
Regolamento del Parlamento e del Consiglio europeo 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno
Stefano Arbia
Presidenza del Consiglio dei Ministri
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la conservazione digitale.
Giovanni Manca Presidente ANORC
8 giugno 2016 (Security Summit - Roma)
Il portalettere svolgerà a domicilio le attività finalizzate all'identificazione del richiedente, propedeutica al
successivo rilascio dell’Identità Digitale:
La Firma Elettronica Avanzata, non è un determinato software, né una determinata tecnologia, ma è un sistema neutro, sicuro e affidabile che garantisca l’appartenenza di un documento informatico reso immodificabile ad un soggetto.
SPID: le nuove identità digitali dopo la riforma del CADGianluca Satta
L’art. 64 del D. Lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale), recentemente modificato ad opera del D. Lgs. 26 agosto 2016, n. 179, prevede l’istituzione del sistema pubblico per la gestione dell'identità digitale (SPID), mediante il quale è possibile accedere ai servizi online, erogati dalle pubbliche amministrazioni e dai privati che vi aderiscono, utilizzando le stesse credenziali per ogni autenticazione. Durante il seminario si illustreranno le modalità di funzionamento, gli aspetti giuridici e le criticità legate a SPID e, più in generale, alle identità digitali in rete, alla luce delle recenti novità introdotte dalla riforma del CAD.
Lo scorso 22 giugno 2017 si è svolto a Taranto (Palazzo di Città - Salone degli Specchi) l'evento organizzato dal delegato territoriale Stefania Lo Cascio dal titolo "Digitalizzazione 2017!".
All'evento interverranno Alessandro Selam, direttore generale di ANORC, Luigi Foglia, componente del direttivo e Carola Caputo, consulente del Digital & Law Department.
L'evento è stato patrocinato da ANORC e ANORC Professioni
La piattaforma del notariato per inviare gli assegni al protesto alle banche realizzata seguendo le direttive tecniche messe a disposizione dalla Banca d’Italia. Il sistema consente alle banche di scambiare in formato digitale il titolo con il notaio in maniera totalmente automatizzata riducendo tempi e costi sull’intero sistema per la levata del protesto.
Intervento di Francesco Tortorelli, Dirigente Responsabile Area "Architetture, standard e infrastrutture" AGID - "Comunità intelligenti e democrazia digitale" - Bari 21 ottobre 2015
Intervento a cura di Valerio Paolini, Technical Project Manager, nel corso dell'evento "Completiamo insieme il sistema operativo del Paese", organizzato a Roma il 2 luglio 2019 dal Team per la Trasformazione Digitale per condividere visione, strumenti e obiettivi del processo di digitalizzazione, con i partner tecnologici della Pubblica Amministrazione.
A seguire intervento di Stefano Imperatori (IPZS).
AIFAG - Firme elettroniche, grafometria e biometria: Quo vadis?
Regolamento del Parlamento e del Consiglio europeo 910/2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno
Stefano Arbia
Presidenza del Consiglio dei Ministri
Nuovo CAD, Regolamento UE eIDAS. Come cambia la sicurezza nella gestione e la conservazione digitale.
Giovanni Manca Presidente ANORC
8 giugno 2016 (Security Summit - Roma)
Il portalettere svolgerà a domicilio le attività finalizzate all'identificazione del richiedente, propedeutica al
successivo rilascio dell’Identità Digitale:
La Firma Elettronica Avanzata, non è un determinato software, né una determinata tecnologia, ma è un sistema neutro, sicuro e affidabile che garantisca l’appartenenza di un documento informatico reso immodificabile ad un soggetto.
SPID: le nuove identità digitali dopo la riforma del CADGianluca Satta
L’art. 64 del D. Lgs. 7 marzo 2005, n. 82 (Codice dell’Amministrazione Digitale), recentemente modificato ad opera del D. Lgs. 26 agosto 2016, n. 179, prevede l’istituzione del sistema pubblico per la gestione dell'identità digitale (SPID), mediante il quale è possibile accedere ai servizi online, erogati dalle pubbliche amministrazioni e dai privati che vi aderiscono, utilizzando le stesse credenziali per ogni autenticazione. Durante il seminario si illustreranno le modalità di funzionamento, gli aspetti giuridici e le criticità legate a SPID e, più in generale, alle identità digitali in rete, alla luce delle recenti novità introdotte dalla riforma del CAD.
Lo scorso 22 giugno 2017 si è svolto a Taranto (Palazzo di Città - Salone degli Specchi) l'evento organizzato dal delegato territoriale Stefania Lo Cascio dal titolo "Digitalizzazione 2017!".
All'evento interverranno Alessandro Selam, direttore generale di ANORC, Luigi Foglia, componente del direttivo e Carola Caputo, consulente del Digital & Law Department.
L'evento è stato patrocinato da ANORC e ANORC Professioni
La piattaforma del notariato per inviare gli assegni al protesto alle banche realizzata seguendo le direttive tecniche messe a disposizione dalla Banca d’Italia. Il sistema consente alle banche di scambiare in formato digitale il titolo con il notaio in maniera totalmente automatizzata riducendo tempi e costi sull’intero sistema per la levata del protesto.
Intervento di Francesco Tortorelli, Dirigente Responsabile Area "Architetture, standard e infrastrutture" AGID - "Comunità intelligenti e democrazia digitale" - Bari 21 ottobre 2015
Intervento a cura di Valerio Paolini, Technical Project Manager, nel corso dell'evento "Completiamo insieme il sistema operativo del Paese", organizzato a Roma il 2 luglio 2019 dal Team per la Trasformazione Digitale per condividere visione, strumenti e obiettivi del processo di digitalizzazione, con i partner tecnologici della Pubblica Amministrazione.
A seguire intervento di Stefano Imperatori (IPZS).
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...CSI Piemonte
Presentazione di Mario Pissardo, Centro di Eccellenza Blockchain e IoT,, al convegno "Blockchain e fiducia digitale" (Torino, 26 giugno 2019) organizzato dal CSI Piemonte
Autenticazione con carta nazionale dei servizi - di Gianni Forlastro e France...festival ICT 2016
Nell’ambito dell’integrazione delle applicazioni, soprattutto relative alla Pubblica Amministrazione, con una maggiore sicurezza applicativa, si rende necessaria la possibilità di una autenticazione con la Carta Nazionale dei Servizi, la smart card per accedere ai servizi online della Pubblica Amministrazione su tutto il territorio nazionale.
Il talk esporrà tutte le difficoltà e i passi necessari ad effettuare, in una applicazione web lato server, lo sviluppo di modulo di autenticazione tramite CNS, partendo dalla configurazione di una macchina virtuale Linux, ad alcuni esempi pratici di procedure.
Le slide sono relative al talk effettuato al festival ICT 2015, tenuto a Milano l'11 Novembre 2015.
Nell’ambito dell’integrazione delle applicazioni, soprattutto
relative alla Pubblica Amministrazione, con una maggiore
sicurezza applicativa, si rende necessaria la possibilità di
una autenticazione con la Carta Nazionale dei Servizi, la
smart card per accedere ai servizi online della Pubblica
Amministrazione su tutto il territorio nazionale.
L'integrazione e l'uso del Sistema Pubblico di Identità Digitale (SPID) all’interno di un’applicazione web raccontato ai fornitori di tecnologia della Pubblica Amministrazione.
Identità Digitale e SPID - Una sfida per l'Italia che vuole cambiare
1. Una sfida per l’Italia che vuole cambiare
Guido Allegrezza, 9 gennaio 2015
2. SPID: Sistema Pubblico per
l’Identità Digitale
Sistema per il rilascio e la gestione di Identità Digitali
che i cittadini e le imprese utilizzano per accedere a
tutti i servizi in rete della PA, tramite la verifica della
propria identità e di eventuali attributi qualificati
Permette di utilizzare i servizi online non accessibili
tramite CIE o CNS (Carta d’Identità Elettronica o Carta
Nazionale dei Servizi)
Il rilascio e la gestione dell’ID SPID e dei suoi attributi
qualificati possono essere effettuati unicamente da
soggetti accreditati ad AGID
Le imprese private possono utilizzare SPID come
sistema di accesso dei propri utenti ai servizi on line.
3. Identità Digitale in SPID
Rappresentazione informatica della corrispondenza
biunivoca tra un utente e i suoi attributi identificativi
Verifica attraverso l’insieme dei dati raccolti e
registrati in forma digitale in conformità alla
normativa
Accesso a servizi on line in funzione di livelli di
robustezza dell’identità, commisurati alla natura e
alla tipologia delle informazioni rese disponibili.
4. Principali disposizioni
Riferimenti: art. 64 del CAD (D.LGS 82/2005) e articoli 4, 14 e 15 del DPCM SPID del
24/10/2014
L’accesso ai servizi in rete della PA che richiedono identificazione informatica può
avviner con CIE (carta d'identità elettronica), CNS (carta nazionale dei servizi) o SPID.
Le imprese possono usare SPID per la gestione dell'identità digitale degli utenti che
accedono ai loro servizi in rete. Se per questi servizi è richiesto il riconoscimento
dell’utente, l’uso di SPID esonera l’impresa dall’obbligo generale di sorveglianza delle
attività sui propri siti (di cui al D.LGS 70/2003, art. 17): basta infatti comunicare il
codice identificativo dell’Identità Digitale utilizzata dall’utente
Tutte le amministrazioni pubbliche (articolo 1, comma 2, D.LGS 165/2001, art. 1, c. 2)
devono aderire a SPID indicativamente entro gennaio 2017 (24 mesi dalla data di
accreditamento del primo gestore dell’ID) e ne usufruiscono gratuitamente
Sono coinvolte tutte le amministrazioni dello Stato, compresi gli istituti e scuole di
ogni ordine e grado e le istituzioni educative, le aziende ed amministrazioni dello
Stato ad ordinamento autonomo, le Regioni, le Province, i Comuni, le Comunità
montane (e loro consorzi e associazioni), le istituzioni universitarie, gli Istituti
autonomi case popolari, le Camere di commercio, industria, artigianato e agricoltura e
le loro associazioni, tutti gli enti pubblici non economici nazionali, regionali e locali,
le amministrazioni, le aziende e gli enti del Servizio sanitario nazionale.
5. Soggetti
Persona fisica o giuridica, titolare
di un’ID SPID, che utilizza i servizi
erogati in rete da un Fornitore di
Servizi, previa identificazione
informatica
Utente
Soggetti pubblici o privati accreditati presso AGID, che
rilasciano e gestiscono le ID SPID.
Gestori identità digitali
Soggetti che possono certificare
attributi dell’ID SPID, quali titolo di
studio, abilitazione professionale, ecc.
Gestori attributi
qualificati
PA e imprese che mettono a disposizione i servizi
online cui accedono i cittadini e le aziende
utilizzando le loro ID SPID.
Fornitori di servizi
Accredita e vigila sui gestori delle identità e sui gestori di
attributi qualificati.
Stipula le convenzioni con i Provider SPID.
Autorità di accreditamento
e vigilanza
6. Ruoli degli attori coinvolti
Gestori delle identità digitali
Gestori di attributi qualificati
Ottengono l’accreditamento presso AgID
Verificano l’identità degli utenti al
momento del rilascio dell’Identità Digitale
Rilasciano e gestiscono l’Identità digitale
Rendono disponibili e gestiscono gli
attributi dell’utente
Rendono disponibile gratuitamente alle
pubbliche amministrazioni il servizio di
autenticazione
Hanno gli stessi requisiti organizzativi e
societari dei certificatori di firma digitale
Ottengono l’accreditamento presso
AgID
Su richiesta dei fornitori dei servizi,
attestano il possesso e la validità di
attributi qualificati da parte degli utenti
Accredita e vigila sugli attori coinvolti su
SPID
Gestisce e pubblica il registro SPID
contenente l’elenco dei soggetti abilitati
Mantiene aggiornati i regolamenti
attuativi
Coordina il pilota con l’obiettivo di
emanare adeguate regole tecniche
Fornitori dei servizi
Ottengono l’accreditamento presso AgID
Mettono a disposizione i loro servizi
online adeguando i propri sistemi per
l’utilizzo di SPID
Scelgono il livello di sicurezza delle
identità digitali necessari per accedere ai
loro servizi
AGID
7. Verifica ID e accesso on line
UTENTE
FORNITORE
DEL
SERVIZIO
SERVIZIO
ONLINE
GESTORE
DELLE
IDENTITÀ
DIGITALI
GESTORE DI
ATTRIBUTI
QUALIFICATI
1 4
2
3
1: L’utente richiede l’accesso
A un servizio, fornendo un
identificativo e l’indicazione del
gestore delle identità digitali da
utilizzare per la verifica della
propria
identità
2: Il fornitore del servizio inoltra la
richiesta di autenticazione al gestore
delle identità digitali corretto.
Il gestore delle identità digitali, nel
caso in cui l’utente disponga del
corretto livello di credenziali, ne
verifica la corrispondenza,
inoltrando al fornitore del servizio la
conferma dell’ identità e gli eventuali
attributi richiesti.
3 (opzionale): Il
gestore di attributi
qualificati inoltra al
fornitore del servizio
gli attributi richiesti. Il
fornitore del servizio
invia la richiesta di
attributi al gestore di
attributi qualificati
4: L’utente autenticato
viene autorizzato ad
accedere al servizio o alla
funzione richiesta
8. Livelli delle ID
Il Gestore delle Identità Digitali, le può fornire in modalità differenti in funzione delle
tecnologie disponibili. Le ID SPID devono soddisfare i criteri di robustezza che i
Service Provider stabiliscono per consentire l’accesso ai loro servizi e ai dati in loro
possesso
3 differenti livelli di
sistemi di
autenticazione
(ISO /IEC 29115:2013)
Sistemi di autenticazione a un fattore (ad esempio la
password)
Sistemi di autenticazione a due fattori, quali ad esempio:
• ID e password + OTP
• ID e password + MOST
• ID e password + APP TIP
Sistemi di autenticazione a due fattori + certificati digitali
emessi da Certification Authority
1
3
2
9. Ottenere un’ID SPID
Identificazione e rilascio dell’identità:
1) De visu (esibizione a vista di un documento di identità valido e sottoscrizione della
richiesta esplicita di adesione a Identità Digitale SPID)
2) Con CIE (Carta di Identità Elettronica) o CNS (Carta Nazionale dei Servizi)
3) Con altra identità SPID
4) Sottoscrizione della richiesta di ID SPID con Firma digitale o Firma elettronica
qualificata
5) Con altri sistemi informatici di identificazione preesistenti all’introduzione di SPID,
riconosciuti validi da AGID
I Gestori dell'identità digitale devono conservare per 20 anni, dalla scadenza o dalla revoca
della Identità digitale:
• copia per immagine del documento di identità esibito e del modulo (caso 1)
• copia del log della transazione (casi 2, 3 e 5)
• il modulo firmato digitalmente (caso 4)
Chi desidera ottenere un’Identità Digitale, si dovrà rivolgere ad uno dei Gestori di
Identità Digitale accreditati, per essere identificati con certezza.
10. Identità Digitale tra SPID e
CONSIP
Al di là delle previsioni sulla crescita e sul suo sviluppo,
l’Identità Digitale (ID) si configura come elemento
fondante della strategia italiana per lo sviluppo
dell’Agenda Digitale, di cui costituisce la prima priorità.
SPID (Sistema pubblico per l’ID): ha lo scopo di
diffondere l’uso dell’ID nei rapporti on line tra cittadini,
imprese e PA.
Identità Digitale CONSIP SPC Lotto 2: contratto quadro
che finanzia l’erogazione del 20% delle ID italiane (12
milioni)
In sostanza, CONSIP SPC Lotto 2 è l’attuazione della
«prima tranche» di SPID, finanziata dal Governo
11. Tempi
2014 2015
II Q III Q IV Q I Q
9/12 Emanazione DPCM
4/1/15 Emanazione Regole
Tecniche (stima)
Definizione delle modalità di autenticazione, dei servizi
qualificati, del Registro SPID, dell’anagrafe, ecc.
Definizione ed implementazione delle modalità di registrazione
degli utenti e di consegna delle credenziali delle ID SPID (fase di
avvio)
Accreditamento
ID Provider
PILOTA: 3 grandi Comuni, 6 Regioni, 3 PA centrali, 8 Istituti Bancari, AGID ed AssoCertificatori
collaborano assieme per definire le regole e le modalità di funzionamento di SPID.
1/4/2015 definitivamente in vigore
(obbligatorio per i servizi in rete della PA che richiedano identificazione)
31/7 Pubblicazione
Specifiche Servizi
12. Service Provider e Pilota
Insieme di servizi legati al
«cassetto fiscale»
(rimborsi, versamenti,
risultanze catastali, ecc.)
Agenzia delle Entrate
Servizi per artigiani e
commercianti, servizi per la
gestione contributiva e
pensionistica
INPS
Servizi per pubbliche
amministrazioni, aziende,
patronati, caf, associazioni,
consulenti
INAIL
Notifica preliminare cantieri
edili, fascicolo sanitario
elettronico, fascicolo
posizioni debitorie
Regione Toscana
Servizio di gestione dei
rapporti lavorativi, dati
anagrafici sanitari e cambio
medico, anagrafe canina
Regione Friuli V. G.
Servizio di pagamento per
la pubblica amministrazione
e per i dati anagrafici dei
comuni
Regione Emilia R.
Sportello per le attività
produttive, fascicolo
sanitario elettronico e
cambio medico di base
Regione Piemonte
Fascicolo sanitario
elettronico e altri servizi
legati all’edilizia
Regione Liguria
Servizi per cittadini,
imprese, utenti e operatori
PA, consulenti del lavoro e
rappresentanti legali
Regione Marche
Autocompilazione
dichiarazioni sostitutive,
cambio indirizzo, iscrizione
anagrafica
Comune di Firenze
Visura e certificazione
anagrafica, accesso alla
rete WiFi comunale
Comune di Lecce
Certificati e iscrizioni
online, pagamento rette
scolastiche e bandi per
contributi
Comune di Milano
8 Grandi Banche
13. Criticità
DIGITAL DIVIDE: la progressiva diffusione dell’identità
digitale, può acuire le differenze territoriali, di censo e di
condizione culturale legate alla disponibilità e alla qualità
dell’accesso online
AVVIO LENTO: nonostante tutti gli sforzi, la partenza di SPID
sarà piuttosto lenta sia per la scarsa conoscenze, sia per la
necessità di mettere «a regime» una macchina molto complessa,
che coinvolge numerosi soggetti
UNA RIVOLUZION DIFFICILE: gli operatori economici
coinvolti nella realizzazione e nella gestione di SPID devono
risolvere problemi di molto rilevanti in termini di adeguamento
delle infrastrutture tecnologiche, di rapporto con la clientela e di
processi interni, che avranno impatto sull’intera cittadinanza
14. Opportunità
VERSO LA PA DIGITALE: la transizione verso la PA digitale, con
l’incremento del numero di servizi on line messi a disposizione dei
cittadini e dei clienti sarà sostenuta dalla pervasività di smartphone e
tablet sempre più performanti ed «intelligenti»
NUOVE ESIGENZE: cittadini e clienti avranno nuove esigenze
legate alla sicurezza e alla praticità di fruizione dei servizi online
VALORIZZARE LE COMMUNITY: i soggetti economici che
hanno community di utenti registrati che utilizzano i loro servizi
(ad esempio utilities, gambling, PA, ecc.) hanno un interesse specifico
ad utilizzare le Identità Digitali e ai propri clienti nuovi servizi e
nuove app sempre più utili e facili da utilizzare per gli scopi più diversi
15. Vantaggi
CULTURA DIGITALE: l’uso di Identità digitali sicure permetterà
di aumentare la fiducia dei cittadini nei servizi internet
facilitandone la diffusione e l’accesso
MAGGIORE PROTEZIONE: l’uso di SPID consentirà di
contrastare in maniera molto efficace i fenomeni criminali legati
alla frode informatica e di salvaguardare la privacy degli
utilizzatori, poiché sarà sempre meno necessario fornire online i
propri dati
DIGITAL LIFE: tempo libero, produttività e qualità della vita
migliorereanno sensibilmente, perché l’uso sempre più diffuso
dei servizi online e sempre più sicuro dell’Internet delle cose,
consentirà di ridurre drasticamente le esigenze di spostamenti
materiali per effettuare attività, operazioni e transazioni