Da oggi, 15 marzo 2016, prende il via SPID, il sistema di Identità Digitale voluto dal Governo per rendere più digitale il nostro paese. Scopriamolo insieme!
Prima di tutto he cos’è SPID?
SPID è il Sistema Pubblico per l’Identità Digitale promosso dall’AgID e quindi dal Governo, che permette a cittadini e imprese di accedere con un unico login a tutti i servizi online di pubbliche amministrazioni e imprese aderenti. SPID nasce per favorire la diffusione di servizi online e agevolarne l’utilizzo da parte di cittadini e imprese, attraverso un ambiente sicuro, efficace ed economico.
Quali attori e ruoli prevede SPID?
Lo SPID identifica differenti ruoli.
Gestori dell’identità digitale (o Identity Provider), sono imprese private accreditate allo SPID (ottengono la “licenza” da AgID) con il compito di identificare l’utente in modo certo, di creare le identità digitali, di assegnare le credenziali, di gestire gli attributi degli utenti.
Fornitori di servizi (o Service Provider) sono i soggetti privati e le pubbliche amministrazioni che erogano servizi online, per la cui fruizione è richiesta l’identificazione e l’autenticazione degli utenti.
Utente: è il pubblico cittadino, persona fisica o giuridica, titolare di un’identità digitale SPID, che utilizza i servizi erogati in rete da un fornitore di servizi, previa identificazione informatica.
Agenzia è l’organismo di vigilanza che si occupa di gestire l’accreditamento e di monitorare i gestori dell’identità digitale e i gestori degli attributi qualificati.
Gestori di attributi qualificati sono soggetti che hanno il potere di attestare gli attributi qualificati su richiesta dei fornitori di servizi.
Chi sono gli Identity Provider?
Gli attori che possono assumere il ruolo di Identity Provider sono molteplici (banche, operatori di telefonia mobile, certification authority, fornitori di soluzioni IT) e giocano un ruolo fondamentale nel decretare il successo del sistema perché portano in “dote” allo SPID il proprio bacino di utenti potenziali. Ad oggi, marzo 2016, sono 3 gli Identity Provider che hanno richiesto e ottenuto la certificazione da parte dell’AgID:
– Infocert
– PosteItaliane
– Telecom Italia Trust Technologies.
La condizione ottimale è che il numero di Identity provider sia sufficientemente elevato per raggiungere il maggior numero di utenti, e contemporaneamente limitato per minimizzare il numero di relazioni tra Service Provider e Identity Provider. Auspichiamo quindi che nei prossimi mesi uno o due Identity Provider si accreditino per aumentare la competizione e di conseguenza il livello di servizio per gli utenti.
Quali Pubbliche Amministrazioni sono già attive e con quale ruolo?
Le Pubbliche Amministrazioni sono un attore fondamentale per la diffusione di SPID. Sono, infatti, le prime a partire come Service Provider. Da questo mese i cittadini possono accedere a circa 300 servizi offerti da 10 tra pubbliche amministrazioni centrali (Agenzia delle Entrate, INPS, INAIL), Regioni (Piemonte, Friuli Venezia Giulia, Emilia Romagna, Liguria, Toscana, Marche) e Comuni (Firenze). Entro giugno 2016 saliranno a 600 i servizi abilitati e si aggiungeranno altre amministrazioni centrali (Equitalia), nuovi Comuni (Venezia e Lecce) e nuove Regioni (Lazio e Umbria). Entro 24 mesi (in teoria novembre 2017) tutte le Pubbliche Amministrazioni aderiranno obbligatoriamente a SPID e per loro i servizi di identificazione saranno completamente gratuiti.
Quali i livelli di sicurezza?
Il modello SPID prevede 3 livelli di sicurezza.
Livello 1 garantisce con un buon grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio moderato e compatibile con l’impiego di un sistema autenticazione a singolo fattore, ad es. la password; questo livello può essere considerato applicabile nei casi in cui il danno causato, da un utilizzo indebito dell’identità digitale, ha un basso impatto per le attività del cittadino/impresa/amministrazione. Per il livello 1 la credenziale sarà dunque una password di almeno 8 caratteri, da rinnovarsi ogni 180 giorni, formulata secondo i consueti criteri di sicurezza.
Livello 2 garantisce con un alto grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio ragguardevole e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori non necessariamente basato su certificati digitali; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’identità digitale può provocare un danno consistente. Per il livello 2, oltre alla password sarà necessario inserire il codice proveniente da un dispositivo a chiave variabile (c.d. One Time Password) che potrebbe essere anche un’applicazione sul cellulare.
Livello 3 garantisce con un altissimo grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio altissimo e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori basato su certificati digitali e criteri di custodia delle chiavi private su altri dispositivi; questo è il livello di garanzia più elevato e da associare a quei servizi che possono subire un serio e grave danno per cause imputabili ad abusi di identità; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’ identità digitale può provocare un danno serio e grave. E’ anche interessante notare che le definizioni di dispositivo includa sia dispositivi di tipo hardware sia di tipo software (ad esempio sono tali i generatori di password attraverso app per smartphone).
Quali i servizi abilitati?
I servizi della Pubblica Amministrazione a cui si può già accedere sono molteplici: dal pagamento della Tasi al bollo auto, dalle prestazioni sanitarie al fascicolo dell’Inps, dal riscatto della laurea, richiesta degli assegni familiari, dalla consultazione Cud, alla richiesta bollettini, dal saldo di tributi regionali, al pagamento delle mensa scolastica e ticket sanitari via web. A questi servizi si aggiungono tutti i servizi per le persone giuridiche e i liberi professionisti.
A questi si potranno aggiungere moltissimi servizi online offerti da aziende private come ad esempio gli acquisti eCommerce, i servizi bancari, la gestione delle bollette, i servizi online di retailer fisici e molto altro ancora. L’adesione delle aziende private a SPID dipenderà dalla capacità degli identity provider di rendere attrattiva la soluzione (prezzi e base utenti abilitata).
Come si ottiene l’identità digitale?
L’identità SPID è rilasciata dai Gestori di Identità Digitale (Identity Provider) che forniscono le identità digitali e gestiscono l’autenticazione degli utenti.
Per ottenere un’identità SPID l’utente deve farne richiesta al gestore, il quale, dopo aver verificato i dati del richiedente, emette l’identità digitale rilasciando le credenziali all’utente. Per richiedere l’identità digitale è necessario presentare un modulo di richiesta di adesione che contiene tutte le informazioni necessarie per l’identificazione del soggetto richiedente (nome, cognome, sesso, data e luogo di nascita, codice fiscale, estremi del documento di identità) e le informazioni per essere contattati (un indirizzo di posta elettronica – univoco per ogni identità SPID – e un recapito di telefonia mobile).
Di seguito vediamo come funziona attualmente il rilascio delle identità digitali da parte dei tre Identity provider attualmente attivi:
– Poste Italiane: i clienti di Poste Italiane che già dispongono di strumenti di identificazione (lettore BancoPosta, numero di telefono certificato su carta Postepay o Libretto Smart, APP PosteID) e i cittadini in possesso di Carta Nazionale dei Servizi, Carta d’identità elettronica o Firma Digitale possono accedere ad una procedura di registrazione semplificata completamente online. Altrimenti bisognerà andare negli uffici postali abilitato a SPID, che da aprile saranno in tutta Italia (Poste ancora non ne fornisce la lista).
– Tim: al momento consente esclusivamente l’attivazione online per gli utenti aventi una firma digitale, la Carta nazionale dei servizi o la Carta d’Identità elettronica.
– Infocert: consente l’attivazione online per utenti in possesso di una firma digitale, la Carta nazionale dei servizi e la Carta di identità elettronica, per tutti gli altri utenti consente l’attivazione con riconoscimento via web (per 15 euro più IVA) e la possibilità di andare di persona in sede (solo a Roma, Padova e Milano).
Quali i vantaggi di SPID?
I Service Provider che aderiscono allo SPID, sia Pubbliche Amministrazioni sia imprese private, possono disporre di un parco utenti senza censirli, non avranno gli oneri derivanti dalla conservazione dei dati personali, non dovranno preoccuparsi di evitare attacchi volti al furto delle credenziali. Inoltre, i Service Provider possono avere profili con un’identità certa, eliminando i cosiddetti “falsi profili”, ed univoca, eliminando i duplicati.
Per gli utenti, SPID consente di semplificare la vita di cittadini e imprese nell’interazione con la Pubblica Amministrazione tramite servizi online grazie ad un unico login. Il sistema garantisce la massima sicurezza e privacy. SPID assicura la massima riservatezza dei dati ed è pensato proprio per aumentare la trasparenza sulla gestione dei propri dati ed erogare servizi secondo il principio dei dati minimi. Il Service Provider non può conservare i dati dell’utente che riceve dall’Identity Provider ed è assolutamente vietata la tracciatura delle attività di un individuo.
Quali i costi di SPID?
Il tema dei costi e in generale del business model è il più delicato.
Per gli utenti, SPID è gratuito per almeno due anni (per i livelli 1 e 2 di sicurezza). È ancora da capire cosa succederà tra due anni perché mettendo il servizio a pagamento si correrebbe il rischio di ridurre l’adozione da parte degli utenti e quindi l’attrattività per i Service Provider. Gli Identity Provider potranno invece pensare a servizi aggiuntivi da mettere a pagamento (ad esempio l’autenticazione da remoto).
Per le Pubbliche Amministrazioni SPID è gratuito e continuerà ad esserlo.
Per i Service Provider privati, SPID sarà a pagamento e dovranno pagare gli Identity Provider per l’utilizzo del servizio (potrà essere un canone annuale, una fee per ogni identificazione o una fee per ogni utente attivo nell’anno). Il modello di pricing non è ancora stato definito nel dettaglio e sarà uniforme tra i Service Provider; non vi sarà quindi competizione sul prezzo dei servizi core, ma la competizione sarà fatta su eventuali servizi aggiuntivi che potranno essere offerti.
Per gli Identity Provider, SPID è un investimento nella fase di avvio del servizio (infrastruttura tecnologica, accreditamento all’Agenzia, etc.), un costo per l’autenticazione degli utenti e un costo per la gestione delle identità. I ricavi per coprire i costi potranno provenire dagli utenti (dopo due anni il servizio potrà essere a pagamento ed eventuali servizi aggiuntivi saranno a pagamento) e dai Service Provider privati.