SPID, una breve introduzione all’identità digitale

Il Sistema Pubblico per l’Identità Digitale (SPID) costituisce uno dei pilastri della strategia italiana per l’Agenda Digitale 2014 – 2020, che vede nello sviluppo del digitale una leva per il cambiamento del paese, a servizio di una crescita intelligente, sostenibile, inclusiva e di innovazione dei processi economici, sociali, amministrativi e istituzionali.

Nell’ambito della priorità relativa alle identità digitali ricade l’istituzione di SPID, il cui obiettivo è quello di dotare cittadini e imprese di una identità digitale certificata per l’utilizzo in sicurezza dei servizi pubblici e privati in rete. Esso può essere definito come un sistema aperto e federato di soggetti pubblici e privati atti a consentire l’immediata verifica ai fornitori di servizi digitali di un’identità digitale “certificata” degli utenti e di eventuali attributi qualificati.

SPID è costituito da 5 categorie di attori, ovvero:

  1. gestori dell’identità digitale: soggetti che, previa identificazione certa, attribuiscono l’Identità Digitale agli utenti, forniscono le credenziali ad essa associate e provvedono ad effettuare l’autenticazione degli utenti stessi qualora richiesto dai fornitori di servizi;
  2. fornitori di servizi: soggetti che erogano servizi informatici attraverso la rete ed effettuano l’identificazione informatica dei propri utenti per mezzo dei Gestori di Identità Digitale, cui inoltrano le richieste di accesso ricevendone l’esito;
  3. gestori di attributi qualificati: soggetti che hanno il potere di attestare il possesso e la validità di attributi qualificati relativi agli utenti (es. appartenenza a ordini professionali, possesso di incarichi societari), su richiesta dei fornitori di servizi;
  4. Agenzia per l’Italia Digitale: governa l’attivazione dello SPID, definendone la normativa di riferimento, gestendo l’accreditamento e stipulando convenzioni con i soggetti partecipanti ed effettuando attività di vigilanza sugli stessi;
  5. utenti (persone fisiche e giuridiche): persone fisiche o giuridiche, titolari di un’identità digitale SPID, che utilizzano i servizi erogati in rete dai fornitori di servizi, previa identificazione informatica presso il proprio gestore di Identità Digitale.

Schema SPIDSPID si basa su principi di non discriminazione dei gestori dell’identità digitale da parte dei fornitori di servizi, libertà di scelta del gestore dell’identità digitale e del livello di sicurezza delle credenziali, attraverso l’utilizzo di standard internazionalmente riconosciuti per la gestione delle identità digitali (SAML v2.0). In particolare, sono previsti tre differenti livelli di sicurezza afferenti allo standard ISO/IEC 29115: il primo si basa su un livello di autenticazione ad un singolo fattore, per esempio la password, il secondo si basa su un’autenticazione forte ovvero a doppio fattore non necessariamente basato su certificati digitali, come ad esempio SMS OTP, APP OTP, Token OTP ed infine il terzo livello si basa su un sistema di autenticazione informatica a due fattori basato su certificati digitali e criteri di custodia delle chiavi private su dispositivi quali Smart Card.

SPID è stato introdotto dalla Legge 9 agosto 2013 n. 98 di conversione, con modificazioni, del Decreto Legge 21 giugno 2013 n. 69 ed è stato ulteriormente definito, negli elementi di carattere attuativo, dal Decreto del Presidente del Consiglio dei Ministri del 24 ottobre 2014. Inoltre, il 28 luglio 2015 sono state emanate le regole tecniche, le modalità attuative, le modalità di accreditamento e di vigilanza  per i gestori di Identità Digitale e infine le modalità di utilizzo di identità pregresse ai fini del rilascio dell’identità digitale stessa.

Le Pubbliche Amministrazioni sono un attore fondamentale per la diffusione di SPID. Sono state, infatti, le prime a partire come Service Provider. Da marzo 2016 i cittadini e le imprese possono chiedere la propria identità digitale e accedere a circa 300 servizi offerti da 10 tra pubbliche amministrazioni centrali (Agenzia delle Entrate, INPS, INAIL), Regioni (Piemonte, Friuli Venezia Giulia, Emilia Romagna, Liguria, Toscana, Marche) e Comuni (Firenze). Entro il prossimo giugno saliranno a 600 i servizi abilitati e si aggiungeranno altre amministrazioni centrali (Equitalia), nuovi Comuni (Venezia e Lecce) e nuove Regioni (Lazio e Umbria). Subito dopo partiranno Piemonte, Lombardia, e il Comune di Firenze. Entro 24 mesi (in teoria novembre 2017) tutte le Pubbliche Amministrazioni aderiranno obbligatoriamente a SPID e per loro i servizi di identificazione saranno completamente gratuiti.

L’Agenzia per l’Italia Digitale, con l’istituzione di SPID, si è posta diversi obiettivi, quali l’aumento in generale della fiducia dei cittadini nei servizi Internet, ivi inclusi i sistemi di pagamento online, l’ottimizzazione dello sviluppo di servizi digitali, separando la parte di identificazione e autorizzazione da quella di funzionalità dei servizi, la riduzione delle basi dati contenenti dati personali dei cittadini con accesso “autorizzato” solo ai dati di cui si ha bisogno per erogare il servizio, l’incremento dei livelli di sicurezza utilizzando modelli decentrati e cooperanti dell’architettura SPID, il massimo dello sfruttamento delle tecnologie disponibili per i metodi per la verifica delle identità e in ultimo lo sviluppo di un mercato per i servizi di gestione dell’identità digitale, con conseguente riduzione dei costi.