SPID

Da Wikipedia, l'enciclopedia libera.

SPID (Sistema pubblico di identità digitale) è il sistema unico di login per l'accesso ai servizi online della pubblica amministrazione e dei privati aderenti.

Cittadini e imprese possono accedere ai servizi con un'identità digitale unica – l'identità SPID – che ne permette l'accesso da qualsiasi dispositivo di fruizione (desktop, tablet, smartphone).

L'identità SPID si ottiene facendone richiesta ad uno degli identity provider (Gestore di identità digitale) accreditati. Ciascun utente può scegliere liberamente il gestore di identità preferito fra quelli accreditati (e quindi autorizzati) dall'Agenzia per l'Italia digitale (AgID).

L'autenticazione con SPID si declina in tre livelli di sicurezza delle credenziali, a seconda della tipologia di servizio.

Nel sistema SPID si distinguono i ruoli di:

  • Identity provider (gestore di identità digitale): fornisce le credenziali di accesso al sistema (identità digitali) e gestisce i processi di autenticazione degli utenti.
  • Service provider (fornitore di servizi): mette a disposizione servizi digitali accessibili tramite il login con credenziali SPID.
  • Attribute provider (gestore di attributi qualificati): fornisce attributi che qualificano gli utenti (stati, ruoli, titoli, cariche), finalizzati alla fruizione dei servizi.

AgID, d'intesa con il Garante per la privacy, ha definito le regole tecniche per l'adozione del sistema SPID.

AgID gestisce le procedure di accreditamento dei gestori di identità digitale e svolge inoltre attività di vigilanza sull'operato degli identity provider.

Il percorso di attuazione[modifica | modifica wikitesto]

Il primo provvedimento di attuazione del sistema SPID è stato il decreto della Presidenza del Consiglio dei Ministri 24 ottobre 2014, pubblicato sulla Gazzetta Ufficiale n. 285 del 9 dicembre 2014.

Il 28 luglio 2015, con la Determinazione n. 44/2015, sono stati emanati da AgID i quattro regolamenti (Accreditamento gestori, utilizzo identità pregresse, modalità attuative, regole tecniche) previsti dall'articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014 con cui il sistema SPID è divenuto operativo[1].

Il regolamento che disciplina le modalità di accreditamento dei gestori di identità digitale è entrato in vigore il 15 settembre 2015, data dalla quale i soggetti interessati hanno potuto presentare domanda all'Agenzia per l'Italia Digitale.

Il 19 dicembre 2015, nel rispetto delle procedure previste dalle norme, AgID ha accreditato i primi tre gestori di Identità SPID:

Il 15 settembre 2016 sono stati accreditati:

Il 12 maggio 2017 sono stati accreditati:

Dal 15 marzo 2016 i primi tre gestori di identità digitale hanno iniziato a rilasciare le prime identità SPID a cittadini e imprese richiedenti.

Entro il mese di giugno 2016 è prevista l'adesione a SPID di 14 amministrazioni pilota: Agenzia delle Entrate, Equitalia, INPS, INAIL, Comune di Firenze, Comune di Venezia, Comune di Lecce, Comune di Genova, Regione Toscana, Regione Liguria, Regione Emilia Romagna, Regione Friuli Venezia e Giulia, Regione Lazio, Regione Piemonte e Regione Umbria.

SPID è anche candidato al riconoscimento a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014, consentendo ai cittadini che ne saranno dotati di utilizzare il sistema anche per l'accesso ai servizi resi disponibili in rete dalle pubbliche amministrazioni di tutta l'Unione europea e, facoltativamente, dai soggetti privati.

Attivazione dei servizi delle pubbliche amministrazioni

  • 15 marzo 2016: Regione Toscana, Inps [2]
  • 6 aprile 2016: Regione Friuli Venezia Giulia
  • 15 aprile 2016: Agenzia delle Entrate con servizio 730 precompilato
  • 28 aprile 2016: Equitalia

Principi di innovazione[modifica | modifica wikitesto]

Solo informazioni necessarie e sufficienti[modifica | modifica wikitesto]

Con SPID è introdotta un'innovazione nell'accesso ai servizi in rete: l'uso delle informazioni necessarie e sufficienti per il servizio. Un esempio è un servizio di chat dedicato ai minori, l'unica informazione necessaria al gestore del servizio è l'età del soggetto che accede.

A livello regolamentare i service provider potranno richiedere solo le informazioni minime utili all'erogazione del servizio.

"I fornitori di servizi, per verificare le policy di sicurezza relativi all'accesso ai servizi da essi erogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggetti richiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il set minimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto e mantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall'articolo 11 del decreto legislativo n. 196 del 2003. "[3]

Sistema aperto pubblico privato[modifica | modifica wikitesto]

Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'Agenzia per l'Italia Digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni.[4]

Livelli di sicurezza delle credenziali SPID[modifica | modifica wikitesto]

L'identità SPID è costituita da credenziali con caratteristiche differenti in base al livello di sicurezza richiesto per l'accesso. Esistono tre livelli di sicurezza, ognuno dei quali corrisponde a un diverso livello di identità SPID:

  • Il primo livello permette di accedere ai servizi online attraverso un nome utente e una password scelti dall'utente;
  • Il secondo livello – necessario per servizi che richiedono un grado di sicurezza maggiore – permette l'accesso attraverso un nome utente e una password scelti dall'utente, più la generazione di un codice temporaneo di accesso (one time password);
  • Il terzo livello, oltre al nome utente e la password, richiede un supporto fisico (es. smart card) per l'identificazione;

Ad oggi sono disponibili solo identità SPID di primo e secondo livello.

Tecnologia[modifica | modifica wikitesto]

SPID si basa su una federazione SAML 2.0.

Per l'utente sia le credenziali che l'uso dei servizi non devono imporre vincoli come l'uso di uno specifico hardware.

Note[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]

Diritto Portale Diritto: accedi alle voci di Wikipedia che trattano di diritto