A partire dal primo dicembre 2019, gli identity provider dovranno essere in grado di rilasciare identità digitali SPID con l’aggiunta di un attributo che permetta di provare l’appartenenza di una persona fisica all’organizzazione di riferimento e/o la sua qualità di professionista.
Fino a quella data, infatti, SPID potrà essere utilizzato solo per l’identificazione online delle persone fisiche, senza nessun tipo di qualificazione, restringendo fortemente la platea dei soggetti che possono fruire dei servizi online mediante identificazione con SPID e limitando, dunque, l’offerta.
Affinché un soggetto possa autenticarsi, il fornitore di servizi SPID dovrà inserire nell’”authRequest” l’estensione SAML di cui al comma 4, art. 5 delle Linee Guida in commento e contenente l’attributo Purpose (appunto scopo), valorizzato con codice P.
È tale attributo a consentire ai fornitori dei servizi SPID di regolare l’accesso ai servizi dedicati ai professionisti e alle persone giuridiche e sempre a loro spetta la definizione del livello di autorizzazione associato alla persona fisica risultante dall’identità digitale uso professionale.
SPID per uso professionale. Che cosa non è
Le linee guida per il rilascio dell’identità digitale per uso professionale, adottate da AgID con Determina n. 318/2019, ai sensi dell’art. 71, CAD, chiariscono, all’art. 1, par. 1, che “le identità in questione […] non costituiscono prova dei poteri di rappresentanza di una persona giuridica dei quali una persona fisica è eventualmente in possesso né l’appartenenza di un professionista a un determinato ordine professionale o altro elenco qualificato”.
La prova dei poteri di rappresentanza delle persone fisiche appartenenti ad una persona giuridica, così come l’appartenenza di un professionista a un determinato ordine professionale o altro elenco qualificato, potranno essere oggetto, probabilmente, di autocertificazione (firmata digitalmente), con le conseguenze sul piano sanzionatorio previste dalla legge.
Come ottenere l’identità digitale per uso professionale
Le modalità di rilascio dell’identità digitale per uso professionale differiscono a seconda che il richiedente persona fisica appartenga o meno ad una persona giuridica.
Identità digitale uso professionale della persona fisica
Innanzitutto, l’IdP verifica l’identità personale della persona fisica richiedente e può farlo anche attraverso SPID, se rilasciato dallo stesso IdP o da altro IdP con il quale siano intervenuti specifici accordi di natura privata. L’IdP, quindi, rilascerà l’identità personale ad uso professionale richiesta.
Identità digitale uso professionale per la persona giuridica
Per questa tipologia è previsto un doppio binario: l’identificazione della persona fisica può essere effettuata dall’IdP oppure dalla stessa persona giuridica di appartenenza (in tal caso si applicheranno gli artt. 6 – 13 delle Linee Guida).
Identità digitale uso professionale per la persona giuridica con identificazione da parte dell’IdP
L’IdP verificherà dapprima l’identità personale (mediante SPID o altri strumenti); seguirà la verifica del titolo per richiedere l’identità digitale per la persona giuridica. Quest’ultima verifica è condotta secondo modalità che l’IdP dovrà previamente sottoporre ad AgID per l’approvazione.
L’IdP e il richiedente concluderanno poi un contratto contenente le condizioni per la fornitura dell’identità digitale per uso professionale. Se il richiedente appartiene a una persona giuridica, e ai soli fini della stipula del predetto contratto, l’IdP verificherà l’esistenza della persona giuridica (ad esempio consultando il registro delle imprese) e che il firmatario abbia adeguati poteri (per imputare gli effetti del contratto alla persona giuridica) e la sua identità.
Identità digitale uso professionale per la persona giuridica con identificazione da parte della stessa persona giuridica
Più complesso è il procedimento per il rilascio dell’identità digitale uso professionale per la persona giuridica, quando le operazioni di identificazione sono demandate a quest’ultima.
Una sintesi per punti cercherà di semplificare l’esposizione:
- L’organizzazione che intenda procedere alla verifica dell’identità dei soggetti ai quali fornire l’identità digitale uso professionale per la persona giuridica conclude un accordo con l’IdP, contenente le condizioni di cui all’art. 7 delle Linee Guida. L’IdP verifica la reale esistenza del soggetto giuridico che costituisce parte del rapporto;
- Sono individuati dei soggetti, detti gestori, con utenze di gestione o di governo. Le Linee Guida non specificano se i gestori debbano appartenere all’organizzazione o possano essere anche esterni alla stessa, con affidamento in outsourcing delle relative funzioni.
Un’indicazione in senso favorevole all’esternalizzazione è contenuta alla lett. b) dell’art. 7, nel quale si afferma che gli IdP debbano “assicurarsi che i trattamenti dei dati da parte dei gestori siano disciplinati da un contratto o da altro atto giuridico ai sensi dell’art. 28 del RGDP”, riferito al Responsabile del trattamento, notoriamente una figura esterna all’organizzazione del Titolare del trattamento. La successiva lett. c) sembrerebbe confermare quanto affermato, prevedendo che l’organizzazione fornisca “le istruzioni necessarie ai gestori per svolgere l’attività cui sono designati nel rispetto della normativa vigente in materia e dei vincoli giuridici dell’accordo stipulato con l’organizzazione”; un chiaro riferimento alle istruzioni al Responsabile del trattamento di cui all’art. 28 RGDP.
- Il rapporto fra IdP e organizzazione s’instaura in virtù di un atto giuridico contenente:
– i nominativi dei soggetti che hanno il potere di autorizzare il rilascio e la revoca delle credenziali dei gestori e le modalità di redazioni di tali richieste;
– un indirizzo PEC dell’organizzazione;
– il nominativo e i recapiti dei rispettivi responsabili del rapporto.
- L’organizzazione s’impegna formalmente a garantire che nessun operatore possa operare sia in qualità di utente di governo sia di utente di gestione; tali tipologie di utenza sono rilasciate dall’IdP ai soli gestori forniti dell’autorizzazione di cui al punto precedente;
- L’IdP realizza un sistema di gestione, accessibile ai soli possessori delle utenze di governo o di gestione, garantendone la netta separazione dei ruoli;
- L’utenza di governo permette di accedere al sistema di gestione al fine di rendere disponibile l’elenco dei soggetti eleggibili ad ottenere l’identità digitale uso professionale, indicandone il codice fiscale e l’indirizzo e-mail, potendo richiederne anche la revoca;
- All’utenza di gestione è demandato il compito di verificare l’identità del soggetto richiedente, mediante l’inserimento dei dati identificativi dello stesso, che comprendono fra gli altri, il numero di un documento di riconoscimento (carta di identità, passaporto o patente) e un numero di almeno tre cifre, diverse fra loro e scelte dal richiedente (c.d. codice di controllo);
- L’utenza di gestione rilascia una dichiarazione di aver ottemperato alla verifica dell’identità del soggetto sulla base della procedura prevista. Successivamente, rilascia al richiedente un token via sms o e-mail e trasmette all’IdP il token di autorizzazione[1] all’emissione dell’identità digitale, distruggendo il codice di controllo;
- Il richiedente accede al servizio di identità reso disponibile dall’IdP, inserisce il token ricevuto via sms o e-mail i dati personali e il codice di controllo;
- L’IdP provvederà a rilasciare l’identità digitale uso professionale richiesta, dopo aver ricalcolato il token di autorizzazione con i dati inseriti dall’interessato e averne accertato la corrispondenza con quanto ricevuto dal sistema di gestione.
Per capire l’utilità dell’introduzione di Spid per uso professionale, bisogna per forza dare i numeri.
5.127.839, sono le identità SPID erogate al 05/11/2019 (erano 3.406.153 a gennaio 2019, una crescita del 50%), 9 gli Identity Provider che forniscono i servizi di identità digitale, 4104 le PA che consentono l’accesso ai servizi online anche attraverso SPID (con una previsione di 10000 per il 2020), 1 fornitore di servizi privati[2].
Non è difficile capire dove risieda il problema: a fronte di un numero di identità rilasciate in crescita, sono ancora troppo poche le pubbliche amministrazioni che consentono l’accesso ai loro servizi online con SPID e soprattutto esiste soltanto un fornitore di servizi privati accessibili tramite SPID.
Dare la possibilità agli appartenenti a persone giuridiche (pubbliche e private) e ai professionisti di identificarsi attraverso SPID consentirà di incrementare il numero di fornitori di servizi (pubblici e privati)? Molto dipenderà dalla capacità di coinvolgere utenti e fornitori di servizi e nel dissipare i dubbi sull’utilizzo di SPID quale unico sistema di identità digitale per l’accesso ai servizi online, siano essi offerti dalle PA o dai privati.
__________________________________________________________________
- Si tratta di un algoritmo di hash SHA-256 della stringa di dati personali del soggetto richiedente, un token costituito da una stringa alfanumerica casuale di cinque caratteri (che invierà al richiedente via sms o e-mail) e il codice di controllo scelto dal richiedente (nome_cognome_codiceFiscale_numeroDocumento_inidirzzoMail_numeroCellulare_token_codiceControllo). ↑
- https://avanzamentodigitale.italia.it/it/progetto/spid, consultato in data 13/11/2019. ↑
