Con la legge n. 98 del 9 Agosto 2013, il Governo Italiano ha introdotto all’art. 17-ter il Servizio Pubblico di Identità Digitale (SPID).
Il Decreto del Presidente del Consiglio dei Ministri che ne definisce le modalità di adesione ed erogazione è ormai in dirittura di arrivo e non appena ottenuti i concerti del Ministero dell’Economia e Finanze e del Garante della Privacy, sarà inviato a Bruxelles in ottemperanza del Regolamento 98/48. Dopo 90 giorni (il c.d. “stand still period”), se non vi sono eccezioni, il Decreto sarà pubblicato in Gazzetta Ufficiale.
Il tema dell’Identità Digitale è stato più volte identificato, a ragion veduta, come uno dei pilastri dell’Agenda Digitale. L’uso di Identità Digitali sicure permetterà di aumentare la fiducia dei cittadini nei servizi Internet, ivi inclusi i sistemi di pagamento online, facilitando l’accesso ai servizi e abilitando una serie di nuove funzionalità utili sia per i portali della Pubblica Amministrazione, sia per i servizi offerti dai privati, come l’e-commerce. L’uso di un sistema pubblico di Identità Digitale consentirà inoltre di contrastare in maniera molto efficace i fenomeni criminali e in particolare il Furto d’Identità e l’”impersonificazione”, tipologie di frode informatica in rapida crescita. L’Identità Digitale come concepita in SPID consentirà un aumento della tutela della Privacy, visto che verranno notevolmente ridotti gli archivi contenenti dati personali.
L’Identità Digitale è l’insieme delle informazioni che ci permette di accedere a servizi digitali di qualsiasi natura. Ci permette di essere riconosciuti, di proteggere il nostro accesso e i nostri dati. Lo standard ISO 24760 parte 1 la definisce come un insieme di attributi relativi ad una entità (persona fisica, persona giuridica, sistema, oggetto, ecc.). Questi attributi possono essere informazioni personali (Nome, Cognome, data di nascita), informazioni relative al nostro profilo (indirizzo di email, consenso privacy, abilitazioni a servizi, ecc.). Tra gli attributi, ve ne sono alcuni speciali denominati credenziali: sono utilizzati per poter accedere in modo sicuro ai sevizi. La forma più semplice e conosciuta di credenziale è la “Password”, ma negli ultimi anni si sono diffusi sistemi molto più affidabili e sicuri, dalle “One Time Password” alle Smart Card, dalle App di sicurezza ai sistemi biometrici.
Normalmente ogni servizio o sistema informativo ha il suo sistema di Identità. E’ per questo motivo che ogni qual volta accediamo ad un nuovo servizio, ci viene richiesto di registrarci e di fornire una credenziale (Password) per proteggere il nostro profilo. Con questo sistema negli ultimi anni abbiamo assistito ad una esplosione di profili. Se in linea teorica ogni servizio dovrebbe essere protetto con una password diversa, la quasi totalità degli utenti sceglie sempre la stessa password, che spesso coincide con la password utilizzata per l’accesso all’Email. Questo fa si che l’email sia diventata di fatto un sistema di identità digitale, una sorta di Portachiavi digitale, facilissimo da violare, come è dimostrato dalla crescita esponenziale dei furti di identità.
A dimostrazione della gravità della situazione, il rapporto Verizon su Cyber Security del 2012 mostra che trai le sei prime tipologie di attacco, cinque riguardano il furto o la violazione di identità digitale.
E’ su queste premesse che è stato creato SPID. Nato da una proposta di legge predisposta dagli on. Stefano Quintarelli (Scelta Civica) on. Paolo Coppola (PD) e Antonio Palmieri (FI), SPID è diventato un progetto della Presidenza del Consiglio, che ho avuto l’onore di condurre e coordinare in questi mesi, con il supporto di un ottimo gruppo di esperti e appassionati del tema.
Il lavoro di questi mesi ha portato alla creazione di un modello innovativo, per certi versi unico.
Partendo dall’analisi dei progetti portati avanti da altri paesi come gli Stati Uniti (con il framework NSTIC), l’Inghilterra, l’Estonia, la Svezia e l’Azerbaijan, abbiamo creato un sistema innovativo che rispettasse le regole non scritte del Digitale e le aspettative degli utenti, che prediligono servizi semplici e diretti.
Il risultato è un Decreto che, a differenza del passato, non entra nei dettagli tecnici, ma definisce uno schema generale che servirà di supporto alla creazione dell’ecosistema delle identità Digitali.
In questo ecosistema ci saranno diversi attori. L’attore più importante, al centro di tutto, è il cittadino, il quale potrà ottenere una o più identità digitali. L’identità Digitale è di fatto l’equivalente di un Passaporto Digitale, che conterrà alcune informazioni identificative obbligatorie, come il codice fiscale, il nome, il cognome, il luogo di nascita, la data di nascita e il sesso. Oltre a queste informazioni, l’Identità conterrà altre informazioni come un indirizzo di email e un numero di telefono, utili per poter comunicare con il soggetto titolare dell’Identità. Oltre a queste informazioni, l’Identità conterrà una o più credenziali, utilizzate per poter accedere ai servizi in modo sicuro.
Il secondo attore è il Gestore delle Identità. Il Gestore è un soggetto pubblico o privato che, previo accreditamento presso l’Agenzia per l’Italia Digitale, si occuperà di creare e gestire le Identità Digitali.
Oltre ai Gestori di Identità, sono previsti i Gestori di Attributi qualificati, ovvero soggetti che per legge sono titolati a certificare alcuni attributi, come un titolo di studio, una abilitazione professionale, ecc.
Il Cittadino potrà utilizzare l’Identità Digitale sui “Gestori di Servizi”. I Gestori di Servizi saranno tutte le pubbliche amministrazioni, ovvero tutti quei soggetti privati che decideranno di aderire a SPID in maniera volontaria.
Il Cittadino che desidera ottenere una Identità Digitale, si dovrà rivolgere ad uno dei Gestori di Identità Digitale accreditati. Il Gestore per poter fornire una Identità Digitale dovrà procedere con un riconoscimento forte del cittadino, attraverso una verifica de-visu. La verifica da parte del Gestore prevederà anche il controllo in tempo reale della coerenza degli attributi sull’ANPR, l’Anagrafe Nazionale della Popolazione Residente. Questo permetterà a tendere di rendere praticamente impossibili tentativi di creazione di Identità con attributi non corretti.
Nel caso in cui il cittadino disponga già di una Identità Digital SPID, oppure già in possesso di una Carta d’Identità Elettronica attiva o di una Carta Nazionale dei Servizi o di una Tessera Sanitaria con Carta Nazionale dei Servizi, potrà richiedere un’Identità SPID direttamente on-line, poiché il Gestore dei Servizi potrà usufruire della verifica de-visu e degli attributi già effettuata.
Al momento della creazione dell’Identità Digitale, il cittadino verrà fornito di una o più credenziali di sicurezza. Queste credenziali dipenderanno dal sistema di autenticazione offerto dal Gestore di Identità Digitale. La grande innovazione è che SPID non prevede a priori uno specifico sistema di autenticazione, bensì consente al Gestore di Identità Digitale di fornire vari sistemi sulla base delle ultime evoluzioni tecnologiche. Il Decreto identifica tre differenti livelli di sistemi di autenticazione, sulla base dello Standard ISO/IEC 29115 :2013. Il primo livello di SPID corrisponde al livello II dello Standard e prevede sistemi di autenticazione a un fattore, come ad esempio la password.
Nel secondo livello, corrispondente al Livello III dello standard ISO/IEC 29115:2013, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori, non basati necessariamente su certificati digitali le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, come ad esempio le One Time Password o sistemi di autenticazione basati su App.
Nel terzo livello, corrispondente al Livello IV dello standard ISO/IEC 29115:2013, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori basati su certificati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, come ad esempio le Smart Cart e le SecureSIM.
Questo schema permette un grande livello di flessibilità, sia perché i Gestori di Identità Digitale potranno optare per lo stesso livello di sistemi di Autenticazione di tipo diverso, sia perché vi sarà la possibilità di far evolvere nel tempo i sistemi di Autenticazione sulla base delle nuove tecnologie messe a disposizione dal mercato.
Sebbene l’Identità Digitale contenga una serie di informazioni sul cittadino, SPID risponde al principio di condivisione minima degli attributi. Il Gestore dell’Identità Digitale fornire le informazioni sul Cittadino solamente previo consenso esplicito dello stesso. Un Gestore di Servizi potrebbe richiedere la conoscenza del nome, del cognome e la data di nascita del Titolare per poter accedere al proprio servizio: i dati verranno passati dal Gestore dell’Identità Digitale solamente se vi sarà l’esplicito consenso del Cittadino. Nel caso contrario nessuna informazione sarà fornita. SPID potrà essere utilizzato anche solo per la verifica delle credenziali, fornendo quindi anche un servizio di “Pseudonomity”. In ogni caso, i Gestori dell’Identità Digitale saranno tenuti a trattare le informazioni dei cittadini secondo elevati criteri di sicurezza, secondo il regolamento tecnico che sarà emesso dall’Agenzia per l’Italia Digitale.
Il Decreto sarà pubblicato entro giugno in gazzetta ufficiale. Non appena pubblicato, sarà avviato un progetto Pilota aperto a tutte quelle società che vi vorranno partecipare sia in qualità di Gestori di Identità, sia di Gestori di Servizi. Il Pilota, della durata di sei mesi, sarà particolarmente importante per la finalizzazione delle Regole Tecniche, che dovranno essere emesse entro tre mesi dalla fine del Pilota.
Tutti i siti della Pubblica Amministrazione dovranno adeguarsi ai sistemi di Identificazione Elettronica previsti dall’art. 64 del Codice dell’Amministrazione Digitale. Tutti quei siti che oggi non permettono l’accesso tramite Carta d’Identità Elettronica o Carta Nazionale dei Servizi, potranno consentire l’accesso tramite SPID. Poiché SPID è neutro rispetto ai sistemi di autenticazione, le CIE e le CNS potranno essere utilizzate, fornendo così all’amministrazione un unico sistema di accesso che copre sia i sistemi già implementati, che quelli futuri.