Da qualche settimana Agid ha approvato e pubblicato le Linee Guida per il rilascio dell’identità Spid anche per i minori di 18 anni.
È l’anticamera finale per l’avvio di questa possibilità, prevista nelle prossime settimane a seconda delle tempistiche decise da ciascun identity provider.
Il provvedimento è stato preceduto da una consultazione, nel corso della quale sono state presentate e accolte osservazioni da parte di esperti del settore.
Come funziona lo SPID per minori
L’accesso con SPID per i minorenni sarà garantito, in base all’età, dalle amministrazioni o dai privati che lo rendono disponibile.
Le linee Guida prevedono trattamenti e servizi diversi per minori che hanno superato i 14 anni e per quelli di età compresa tra i 5 e i 13 anni.
Le regole nel dettaglio
Ecco le regole nel dettaglio:
- Over 14: i minori che hanno superato i 14 anni di età potranno dotarsi di SPID per accedere ai servizi dell’INPS, tramite l’area riservata myinps, al Fascicolo Sanitario Elettronico oppure alla verifica dei punti sulla patente per ciclomotori;
- Under 14: i minori tra i 5 e i 13 anni potranno usare la propria identità digitale esclusivamente per i servizi online forniti dalle scuole e sotto stretto controllo del genitore, per un periodo sperimentale fino al 30 giugno 2023.
Prima dell’avvio dei trattamenti di dati personali in applicazione delle Linee guida, l’AGID emanerà specifici provvedimenti – anche con il coinvolgimento del Ministero dell’Istruzione sugli argomenti di comune competenza – attraverso cui saranno individuate:
- adeguate garanzie concernenti i presupposti e le modalità di rilascio di SPID ai minori fra i cinque e i quattordici anni;
- i trattamenti effettuabili da parte dei gestori dell’identità digitale – limitati a quanto strettamente necessario alla gestione dell’identità;
- i servizi che gli istituti scolastici potranno offrire ai minori infraquattordicenni.
Infine, con atto successivo, AGID disciplinerà altresì l’istituto dell’emancipazione del minore, che attualmente è considerato nelle Linee guida come minore ultraquattordicenne.
Come avviene la richiesta e rilascio dell’identità SPID per i minori
I genitori possono richiedere il rilascio di SPID per figli minorenni rivolgendosi al proprio Identity Provider (IdP), ovvero il gestore dell’identità digitale.
Cosa devono fare i genitori
Quindi il genitore deve:
- accedere con credenziali di livello 2 al servizio reso disponibile dal proprio IdP;
- inserire i seguenti dati relativi al minore in favore del quale intende chiedere il rilascio di SPID: nome, cognome, codice fiscale, data nascita;
- dichiarare, ai sensi dell’art. 46, comma 1, lett. u) del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 e s.m.i., la propria qualità di esercente la responsabilità genitoriale sul minore;
- dichiarare, ai sensi dell’art. 47 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 e s.m.i., di essere delegato alla richiesta di SPID da parte dell’eventuale Genitore non richiedente o di essere l’unico esercente la responsabilità genitoriale sul minore;
- accettare la ricezione di notifiche (ordinarie o push) da parte dell’IdP per l’autorizzazione all’utilizzo di SPID da parte del minore.
L’IdP genera il codice del genitore, composto dal risultato della funzione CRC-32 applicato al codice fiscale del genitore (ad esempio: il codice fiscale RSSMTT64A01G201K produce il CRC 0x4DFCE69E, pertanto il codice del genitore sarà 4DFCE69E), e lo associa al codice di verifica assegnato al minore per il quale è stato fornito il consenso al rilascio dell’identità digitale. Sarà compito del genitore comunicare il codice di verifica al minore che lo utilizzerà per completare la procedura di rilascio dell’identità digitale.
L’IdP, prima di acquisire i dati personali del minore, richiederà allo stesso il codice di verifica in modo da poter verificare la presenza del consenso genitoriale. Inoltre, se il minore ha compiuto almeno quattordici anni, l’IdP acquisisce anche da quest’ultimo il consenso al trattamento dei dati personali per il rilascio e la gestione dell’identità digitale.
Gli attributi richiesti al minore
Gli attributi richiesti al minore sono i seguenti:
• attributi identificativi obbligatori: cognome e nome, sesso, data e luogo di nascita, codice fiscale, estremi di un valido documento di identità, ai sensi dell’art. 1, comma 1, lett. c) del D.P.C.M. 24 ottobre 2014 e all’art. 5, terzo capoverso del “Regolamento recante le modalità attuative per la realizzazione dello SPID”;
• attributi secondari obbligatori: e-mail;
• attributi secondari facoltativi: il domicilio fisico, il domicilio digitale e il numero di telefono mobile (previsto come attributo facoltativo ai fini delle presenti Linee guida, in deroga all’art. 5, quinto capoverso del “Regolamento recante le modalità attuative per la realizzazione dello SPID”).
Nei casi in cui il minore non sia in possesso di un numero di telefonia mobile e/o di un dispositivo mobile, l’eventuale secondo fattore di autenticazione, funzionale alle autenticazioni di livello SPID 2, sarà – a mero titolo esemplificativo – trasmesso su canali alternativi quali l’indirizzo di posta elettronica oppure generato attraverso un apposito dispositivo fisico rilasciato al minore. Resta ferma, in tali casi, la facoltà dell’IdP di associare all’identità del minore il numero di telefono mobile del Genitore, utilizzabile unicamente per le funzionalità di gestione della sicurezza dell’identità digitale del minore (alert di sicurezza, procedure di recupero delle credenziali, configurazione dell’app di autenticazione, processi di sospensione/revoca, processi di assistenza per ragioni di sicurezza).
È sempre escluso l’utilizzo del telefono del Genitore per l’invio del secondo fattore di autenticazione con riferimento all’accesso del minore ai servizi degli SP con livello SPID 2.
Una volta rilasciata l’identità digitale, l’Identity Provider invia una e-mail informativa al genitore recante l’indicazione del nome del minore. In più, ogni volta che il minore tenta di utilizzare SPID è prevista una notifica push da parte dell’IdP al genitore che può così autorizzare o interrompere qualsiasi attività collegata all’identità digitale del figlio.
I paletti del Garante privacy
Prima dell’approvazione, il provvedimento è stato oggetto anche di un parere del Garante della Privacy, che ha dato alcune indicazioni in merito a:
- accertamento del ruolo del genitore, in modo da prevedere verifiche puntuali, al fine di evitare abusi (da questo punto di vista, è utile evidenziare che sarebbe una grande facilitazione la possibilità di utilizzare i dati di ANPR, ancora meglio se integrati nel prossimo futuro con anche i dati dello stato civile, che permettono la verifica anche della potestà genitoriale);
- modalità di acquisizione del documento di identità del minore;
- cosa avviene al compimento della maggiore età, al cui proposito è stato evidenziata la necessità che il neomaggiorenne venga messo nelle condizioni di esprimere il proprio consenso al mantenimento dell’identità digitale o, al contrario, di revocarlo; per fare ciò, è stato chiesto di prevedere una sospensione dello SPID con conseguente riattivazione in caso di volontà positiva, o definitiva cancellazione in caso contrario;
- la necessità che i SP (Service Provider) definiscano con attenzione quali servizi possono essere offerti ai minori e quali no;
- infine, per i minori di 14 anni, l’Autorità ha acconsentito soltanto ad un periodo di sperimentazione fino al 30 giugno 2023 e lo ha limitato ai servizi online offerti dalle scuole come il registro elettronico. Questo implica che dovrà essere garantito l’accesso al servizio anche con le modalità già esistenti.
Questa, infatti, è una fascia che necessita di maggiore protezione, soprattutto con riguardo alla tutela e protezione dei dati in rete.
Che cosa succede al sopraggiungere della maggiore età
Le linee guida dell’AgID stabiliscono che al compimento del diciottesimo anno di età, l’IdP ha l’obbligo di inviare un messaggio al neo maggiorenne mettendo a sua disposizione un servizio per revocare, previa autenticazione con credenziali SPID di livello 2, la propria identità digitale.
Nel caso in cui il neomaggiorenne non chieda la revoca, l’identità digitale de restare attiva ma l’IdP ha l’obbligo di:
- Eliminare i legami con l’identità digitale del genitore;
- Rimuovere le limitazioni precedentemente imposte dalla minore età;
- Cancellare tutte le informazioni relative all’utilizzo dell’identità digitale del minore rese disponibili al genitore, fatta eccezione per i log, in ragione del dovuto rispetto della politica di data retention.
L’obbligo di attuazione delle linee guida AgID decorre dal primo agosto 2022, quindi a partire da quella data i gestori IDP dovranno rendere disponibile il servizio.
Conclusioni
Il provvedimento può essere utile soprattutto per la fascia di età dai 14 anni in poi, in cui i ragazzi potrebbero avere maggiori necessità di utilizzo di servizi in rete che necessitano di autenticazione; vedremo se invece le famiglie accoglieranno con favore la possibilità di richiedere lo SPID anche per i minori di 14 anni: proprio la stessa fascia di età per cui il Garante ha richiesto maggiori garanzie.
Rimane invece un nodo ancora scoperto, ma di difficile soluzione, rappresentato dall’accesso dei minori ai Social Network, in cui sarebbe invece opportuno un intervento più deciso della normativa: rispetto all’utilizzo dei servizi in rete – che è un’esigenza assolutamente residuale per questa fascia di età – è nell’ambito dell’accesso ai social media che è più evidente la necessità di protezione dei minori.
