SPID for dummies: note essenziali sul nuovo Servizio Pubblico di Identità Digitale

Il 9 dicembre 2014 è stato -finalmente- pubblicato in Gazzetta Ufficiale il Decreto attuativo del Sistema Pubblico dell’Identità Digitale, il cosiddetto SPID.Il tema dell’Identità Digitale rappresenta uno dei pilastri dell’Agenda Digitale promossa dal Governo Letta e portata avanti in continuità da quello Renzi.

L’auspicio è che l’uso di identità digitali sicure possa funzionare come strumento per sostenere la fiducia dei cittadini nei servizi Internet e per semplificare e standardizzare parte dei processi e servizi oggi messi a disposizione sul web sia dalla Pubblica Amministrazione che da aziende private.
Il nostro tentativo in questo articolo è quello di illustrare in modo semplice ed essenziale la natura di SPID, segnalando nel contempo le opportunità che potrebbe sostenere.
Partiamo dalla definizione di Identità Digitale:  l’Identità Digitale può definirsi in breve come “l’insieme delle informazioni che ci permette di accedere a servizi digitali di qualsiasi natura”.
 
Concretamente, l’Identità Digitale è un insieme di attributi caratteristici relativi ad una entità: persona fisica, persona giuridica, sistema, ecc.. Attributi che possono essere classificati in:
  • credenziali (username, password, one time password, certificati digitali, dati biometrici,…);
  • informazioni personali (nome, cognome, data di nascita, indirizzo residenza, …);
  • informazioni relative al profilo (indirizzo di email, consenso privacy, abilitazioni a servizi, ecc.).
Per capire il contesto e la problematica all’interno della quale SPID si inserisce, permetteteci un excursus.
Furto di identitàOggi, quasi tutti i sistemi informatici che erogano servizi, hanno ciascuno un loro proprio sistema di gestione delle Identità degli utenti. La nostra quotidiana esperienza ci ha abituati a dover gestire decine (per quanto mi riguarda centinaia!) di credenziali di accesso diverse.
Quasi inevitabilmente le password utilizzate da una persona, per semplificarne la memoria e l’utilizzo,  si ripetono uguali nei diversi sistemi di identità digitale.
E’ facile comprendere come questo stato di cose determini un serio problema di sicurezza: se in qualche modo un malintenzionato riesce a scoprire la password che utilizzo per accedere ad un certo servizio, verosimilmente, con la stessa password, potrà avere accesso con la mia identità, a diversi altri servizi online.
Per contrastare questo rischio, supportando nel contempo l’utente nell’impresa di dover gestire le credenziali di accesso a molteplici sistemi informatici, oggi si utilizzano fondamentalmente due tipi di strategie:
  • i password manager (LastPass, KeyPass, …), software o servizi, che con una identità digitale unica, danno accesso ad una cassaforte privata dell’utente che contiene tutte le altre identità;
  • il riutilizzo di identità digitali di sistemi informatici a larga diffusione per l’accesso a servizi forniti online da soggetti terzi: credo sia esperienza di tutti quella di Apps sullo smartphone o di siti web che propongono la possibilità di registrazione ed accesso ad essi, utilizzando la propria identità Facebook o Google, proponendo nel contempo all’utente di mutuare tramite questi gestori di identità digitale, altre informazioni personali (nome, cognome, lista degli amici, …).
Tanti servizi tanti sistemi di identificazione

Nella seconda strategia, quella che coinvolge come Identity Providers, Facebook, Google o simili, il fornitore del servizio online, che ha deciso di andare incontro all’utente consentendogli di utilizzare una sua identità digitale esterna per accedere ai servizi che offre, non avrà accesso dai propri sistemi alle credenziali di autenticazione usate: inoltrerà la richiesta di autenticazione all’Identity Provider in base ad un protocollo che questo mette a disposizione per lo scopo; l’utente si accrediterà presso l’Identity Provider esterno, e il fornitore del servizio chiamante otterrà da Facebook o Google conferma o meno dell’identità dell’utente che chiede di accedere al proprio servizio.

 
Ora vi starete chiedendo: perché per parlare di SPID ci troviamo ad mettere a tema Identity Providers quali Facebook e Google? Semplicemente perché SPID realizza in modo normato e standardizzato una strategia per molti versi identica.
La normativa che introduce SPID non promuove però questo ruolo di Identity Provider in un’ottica centralizzata (e questo ci sembra decisamente un bene); promuove piuttosto la possibilità che attori pubblici o privati -sottostando a principi di competenza e solidità fissati dalla legge- si possano accreditare per svolgere questo ruolo in concorrenza tra loro.
 I servizi accreditati dovranno rispettare standard tecnici e protocolli di funzionamento (rif. specifiche OASIS SAML v2.0) a garanzia del fatto che un qualunque servizio compatibile con l’autenticazione SPID possa riconoscere l’identità di utenti registrati su un qualunque Identity Provider accreditato SPID.
Logica di flusso SPIDPer dare forza a questa iniziativa viene imposto a tutti i servizi web erogati dalla Pubblica Amministrazione italiana di diventare compatibili con SPID entro 24 mesi a decorrere dall’accreditamente del primo Identity Provider. Si stima dunque una scadenza per l’adeguamento della P.A. a Marzo 2017.
Quello che è obbligatorio per la Pubblica Amministrazione potrebbe diventare una interessante opportunità anche per tanti servizi online offerti da privati.
Per un fornitore privato di servizi online (banche, assicurazioni, servizi di ecommerce, sanità privata, …), impiegare SPID come sistema di identità digitale significherà infatti poter delegare a terzi, la problematica di gestione di informazioni potenzialmente critiche sui propri utenti (trasferendo agli Identity Provider  gli oneri e la responsabilità di gestione e conservazione), offrendo in aggiunta ai propri utenti una potenziale semplificazione -quindi una barriera in meno- per aderire ed utilizzare i propri servizi digitali.
Da un punto di vista degli utenti, se come si auspica l’utilizzo di SPID si diffonderà in modo importante, potrà significare avere l’opportunità di accedere a tantissimi differenti servizi web, impiegando sempre le stesse credenziali e garantendosi nel contempo una gestione sicura della propria identità digitale e un pieno controllo dei dati personali concessi ai diversi fornitori online.
Identità digitali sicureIl progetto del Sistema Pubblico di Identità Digitale, rispetto ad un semplice servizio di identità digitale, prevede peraltro che gli Identity Provider offrano diversi sistemi di autenticazione, con diversi livelli di sicurezza ben definiti e regolamentati.
I fornitori potranno dunque abilitare l’accesso ad un servizio, o a parte di esso, solo ad utenti SPID che utilizzano un livello di sicurezza determinato.
Ad esempio i sistemi di home banking che offriranno l’accesso tramite SPID certamente abiliteranno il loro servizi richiedendo (almeno) un’autenticazione a due fattori (livello 2 SPID).
L’Identity Provider SPID potrà peraltro stabilire che alcuni attributi degli utenti da lui gestiti, siano resi disponibili soltanto a fronte di un’autenticazione superiore ad un certo livello.
A completamente del sistema di gestione delle identità digitali, SPID prevede il ruolo di “gestore di attributi qualificati” che potrà essere un ruolo aggiuntivo per i gestori delle identità o un ruolo specifico di altri attori certificati.
I gestori di attributi qualificati, potranno conservare e mettere a disposizione in modo automatizzabile, sempre previa autorizzazione dell’interessato, alcuni attributi riguardanti il soggetto identificato quali ad esempio, informazioni sulla disponibilità di una certa patente di guida, conferma a riguardo del conseguimento di un certo titolo di studio, statuto di una impresa, ecc. .
Concludiamo questa presentazione di SPID riportando una selezione delle più interessanti (a nostro parere) FAQ  dedicate al nuovo Servizio Pubblico di Identità Digitale, riprese dal sito AGID (http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/spid). Sul sito in questione potete trovare l’elenco completo.
DOMANDA 1: perché abbiamo bisogno di identity provider (IdP) e non di una amministrazione pubblica che faccia le stesse cose?

RISPOSTA 1: Ci sono 5 motivi principali per cui si preferisce avvalersi di IdP piuttosto che svolgere questo compito all’interno di strutture governative o equipollenti:

  1. Principio della libertà di scelta dell’utente. Ogni cittadino potrà scegliere l’IdP che vorrà e smettere di usare un provider se lo desidera.
  2. Nessuna banca dati centralizzata delle identità. Per proteggere la privacy degli utenti, ogni IdP sarà responsabile dello svolgimento in modo sicuro delle attività connesse, mentre ogni service provider – pubblico o privato – avrà accesso solo ai dati di cui ha bisogno per erogare il servizio.
  3. Sicurezza. Utilizzando diversi IdP il sistema è più sicuro e meno vulnerabile; non esiste un singolo elemento che possa interrompere il servizio e nessun servizio unico che disponga di tutti i dati in un unico luogo.
  4. Sviluppo di un mercato. Gli IdP hanno la libertà di progettare servizi per soddisfare le norme dettate dal governo. Ciò consentirà loro di sviluppare servizi che possono essere utilizzati sia dal settore pubblico che privato, con conseguente riduzione dei costi.
  5. Sfruttare al massimo la tecnologia disponibile. La tecnologia e i metodi per la verifica delle identità sono in continua evoluzione. Le organizzazioni del settore privato, operando già in questo ambito, sono in una posizione migliore rispetto a qualunque pubblica amministrazione per tenere il passo con gli sviluppi di mercato.

 

DOMANDA 2: Non bastava il documento digitale unificato (DDU) per provare l’identità digitale?

RISPOSTA 2: SPID realizza un modello federato adatto a vari scenari (tecnologici, organizzativi e di business), anche in mobilità, nel quale oltre alle identità personali sono gestiti i ruoli, i titoli e le qualifiche professionali, non gestiti con il DDU. Inoltre, il DDU e ogni altro supporto plastificato equivalente richiede un lettore di carte, al contrario, SPID è tecnologicamente neutrale e indipendente da qualunque specifico device.

[…]

DOMANDA 7: Il cittadino sarà comunque obbligato a usare sempre e comunque lo strumento di autenticazione scelto, così come è obbligato ad usare sempre una carta elettronica?

RISPOSTA 7: No, il cittadino potrà dotarsi di diversi strumenti (e quindi diverse identità SPID, eventualmente con livelli diversi di sicurezza) ed utilizzare quello più comodo nella singola occasione.

[…]

DOMANDA 10: Una volta scelto un gestore di identità e ottenuta l’identità, il cittadino sarà indissolubilmente legato a quel soggetto?

RISPOSTA 10: No, il cittadino potrà revocare l’identità ottenuta in qualunque momento senza dover fornire alcuna spiegazione.

 

DOMANDA 11: Ipotizzando che il cittadino sia dotato di due identità SPID fornite da due diversi gestori, iniziando un processo amministrativo con una identità SPID, dovrà ricordarsi quale identità ha utilizzato per accedere nuovamente a quella PA per seguire la propria pratica o presentare altra documentazione?

RISPOSTA 11: No. La PA, sarà in grado di riconoscere il cittadino e consentirgli di accedere ai propri dati e alle proprie pratiche a prescindere dall’identità SPID utilizzata dal cittadino.

 

DOMANDA 12: Come è protetto il cittadino dalla legge a seguito di un furto di identità SPID perpetrato ai suoi danni?

RISPOSTA 12: È protetto da un punto di vista civile dalle norme che regolano SPID, ma anche dal codice penale che in questo caso prevede la reclusione fino a tre anni (oltre ad una multa) per il gestore di identità (art. 640-quinquies del codice penale). Altre norme sono applicabili al gestore di identità in quanto agisce in qualità di gestore di servizio pubblico.