SPID

Da Wikipedia, l'enciclopedia libera.
Jump to navigation Jump to search
Logo SPID

Lo SPID (Sistema Pubblico di Identità Digitale) è il sistema unico di accesso con identità digitale ai servizi online della pubblica amministrazione italiana e dei privati aderenti. Cittadini e imprese possono accedere a tali servizi con un'identità digitale unica che ne permette l'accesso e la fruizione da qualsiasi dispositivo.

È stato introdotto grazie al moltiplicarsi di servizi online che costringe i cittadini ad avere un numero sempre crescente di credenziali di accesso.

Dà spazio alla necessità di poter disporre di un unico set di credenziali in grado di garantire l’accesso a qualsiasi servizio web. Un sistema semplice per l’utente finale, normalizzato a livello nazionale, non esclusivo ma inclusivo, integrabile al sistema europeo.

L'identità SPID si ottiene facendone richiesta a uno degli identity provider (gestori di identità digitale), che è possibile scegliere liberamente fra quelli autorizzati dall'Agenzia per l'Italia digitale (AgID).

L'autenticazione con SPID si declina in tre livelli di sicurezza delle credenziali, a seconda della tipologia di servizio.

Storia[modifica | modifica wikitesto]

L'inizio dei lavori del sistema SPID è avvenuto nel marzo 2013 su proposta del deputato Stefano Quintarelli, presidente del comitato di indirizzo dell'AgID.[1][2]

Il primo provvedimento di attuazione è stato il decreto del Presidente del Consiglio dei Ministri 24 ottobre 2014, pubblicato sulla Gazzetta Ufficiale n. 285 del 9 dicembre 2014.[3]

Il 28 luglio 2015, con la Determinazione n. 44/2015, sono stati emanati da AgID i quattro regolamenti (accreditamento gestori, utilizzo identità pregresse, modalità attuative, regole tecniche) previsti dall'articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014 con cui il sistema SPID è divenuto operativo.[4]

Il regolamento che disciplina le modalità di accreditamento dei gestori di identità digitale è entrato in vigore il 15 settembre 2015, data dalla quale i soggetti interessati hanno potuto presentare domanda all'Agenzia per l'Italia Digitale.[5]

Il 19 dicembre 2015, nel rispetto delle procedure previste dalle norme, AgID ha accreditato i primi tre gestori di Identità SPID: InfoCert S.p.A., Poste Italiane S.p.A. e Tim (attraverso la società Trust Technologies del gruppo Telecom Italia).[6] Il 15 settembre 2016 sono stati accreditati Aruba Pec S.p.A. e Sielte S.p.A,[7] il 12 maggio 2017 Namirial S.p.A. e Register.it S.p.A.[8]

Dal 15 marzo 2016 i primi tre gestori di identità digitale hanno incominciato a rilasciare le prime identità SPID a cittadini e imprese richiedenti.[9]

Entro il mese di giugno 2016 era prevista l'adesione a SPID di 14 amministrazioni pilota: Agenzia delle entrate, Equitalia, INPS, INAIL, Comune di Firenze, Comune di Venezia, Comune di Lecce, Comune di Genova, Regione Toscana, Regione Liguria, Regione Emilia-Romagna, Regione Friuli-Venezia Giulia, Regione Lazio, Regione Piemonte e Regione Umbria.[9] I servizi vengono attivati il 15 marzo 2016 per Regione Toscana e INPS,[10] l'11 aprile 2016 per Regione Friuli-Venezia Giulia e Comune di Venezia,[11] il 15 aprile 2016 per Agenzia delle entrate con servizio 730 precompilato,[12] il 28 aprile 2016 per Equitalia.[13]

Di seguito il numero delle amministrazioni che hanno adottato SPID progressivamente alla data indicata[14][15]:

Data Numero
15 marzo 2016 0 (avvio del sistema in Italia)
15 gennaio 2017 3720
2 novembre 2017 3783
14 maggio 2019 4000
4 ottobre 2019 4109
24 settembre 2020 4478
15 dicembre 2020 5595
19 dicembre 2020 5739
23 febbraio 2021 6235
28 giugno 2021 7653

Lo SPID è stato anche riconosciuto a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014,[16] consentendo ai cittadini che ne saranno dotati di utilizzare il sistema anche per l'accesso ai servizi resi disponibili in Rete dalle pubbliche amministrazioni di tutta l'Unione europea e, facoltativamente, dai soggetti privati e Ii processo di notifica è stato ultimato e lo SPID è stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea  C318 del 10 settembre 2018.

Funzionamento[modifica | modifica wikitesto]

Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'Agenzia per l'Italia Digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in Rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni.[17]

A partire dal febbraio 2018 tutte le pubbliche amministrazioni dovranno aver aderito al sistema SPID, inoltre per l’autenticazione è possibile utilizzare anche l'impronta digitale, il timbro vocale, la retina o l'iride, o altre caratteristiche di riconoscimento biometriche.

Nel sistema SPID si distinguono i ruoli di:[18]

  • Gestore delle identità (Identity Provider o IdP), che fornisce le credenziali di accesso al sistema (identità digitali) e gestisce i processi di autenticazione degli utenti.
  • Fornitore di servizi (Service Provider o SP), che gestisce l'autorizzazione tramite il login ed eroga il servizio.
  • Gestore di attributi qualificati (Attribute Authority o AA), che fornisce attributi che qualificano gli utenti (stati, ruoli, titoli, cariche), finalizzati alla fruizione dei servizi.

L'Attribute Provider, che fornisce gli attributi qualificati secondo le regole tecniche SPID, è inserito nell’apposito registro AGID (Agenzia per l’Italia Digitale) e consente di rilevare il possesso di particolari requisiti ai fornitori di servizi.

AgID, d'intesa con il Garante per la privacy, ha definito le regole tecniche per l'adozione del sistema SPID. Essa gestisce inoltre le procedure di accreditamento dei gestori di identità digitale e svolge inoltre attività di vigilanza sull'operato degli identity provider.

Sicurezza[modifica | modifica wikitesto]

Privacy[modifica | modifica wikitesto]

Con lo SPID i fornitori di servizi possono richiedere solo le informazioni minime necessarie all'erogazione del servizio e tali dati sono mantenuti solo per il tempo necessario alla verifica.[19] Ad esempio, per accedere a un servizio di chat dedicato ai minori, l'unica informazione necessaria al gestore del servizio sarebbe l'età del soggetto che accede.

Livelli di sicurezza[modifica | modifica wikitesto]

L'identità SPID è costituita da credenziali con caratteristiche differenti in base al livello di sicurezza richiesto per l'accesso. Esistono tre livelli di sicurezza:[20][21]

  • Il primo livello permette di accedere ai servizi online attraverso un nome utente e una password scelti dall'utente;
  • Il secondo livello permette l'accesso con nome utente e password più un codice temporaneo di accesso (one-time password), fornito tramite SMS o app;
  • Il terzo livello, oltre al nome utente e la password, richiede un supporto fisico per l'identificazione, ad esempio una smart card.

Al settembre 2021 solo Aruba, IntesaID, Poste e Sielte forniscono il terzo livello di sicurezza.[22]

SPID supporta l'autenticazione unica single sign-on (SSO): dopo aver fatto l'accesso per un servizio non è necessario ripetere l'autenticazione se accedo ad altri servizi; questa funzione è attiva solo per il primo livello.

Tecnologia[modifica | modifica wikitesto]

Lo SPID si basa su una federazione SAML 2.0.[18] L'aggiunta di un nuovo Service Provider alla rete SPID avviene tramite lo scambio di metadati con l'Identity Provider con il quale si vuole accoppiare. La federazione permette quindi al Service Provider di estendere la platea dei suoi utenti a quelli attualmente iscritti all'Identity Provider di aggancio. Purtroppo ad oggi,[quando?] non risulta una federazione tra i vari Identity Provider per cui è necessario, al momento del login, selezionare l'Identity Provider in cui l'utente risultato accreditato.

Per l'utente sia le credenziali sia l'uso dei servizi non devono imporre vincoli come l'uso di uno specifico hardware.

Fornitori del servizio[modifica | modifica wikitesto]

Note[modifica | modifica wikitesto]

  1. ^ Quintarelli: "Verso un framework per l'identità digitale", su Agenda Digitale, 13 marzo 2013. URL consultato l'8 dicembre 2020.
  2. ^ Domande Frequenti - FAQ SPID con storia e fonti documentali, su blog Quintarelli, 22 settembre 2021. URL consultato il 23 settembre 2021.
  3. ^ Decreto del Presidente del Consiglio dei ministri 24 ottobre 2014, su gazzettaufficiale.it. URL consultato l'8 dicembre 2020.
  4. ^ Firme & Certificati - CyberLaws, in CyberLaws. URL consultato il 5 novembre 2017 (archiviato dall'url originale il 7 novembre 2017).
  5. ^ SPID e pagamenti elettronici: AgID incontra le Amministrazioni Centrali, su Agenzia per l'Italia digitale. URL consultato l'8 dicembre 2020.
  6. ^ SPID: Infocert, Poste Italiane e Telecom Italia accreditati come primi gestori di identità digitali (PDF), su agid.gov.it. URL consultato l'8 dicembre 2020.
  7. ^ SPID: Aruba e Sielte nuovi identity provider, su Agenzia per l'Italia digitale. URL consultato l'8 dicembre 2020.
  8. ^ SPID: Namirial e Register.it nuovi gestori di identità digitale, su Agenzia per l'Italia digitale. URL consultato l'8 dicembre 2020.
  9. ^ a b SPID: dal 15 marzo le prime identità digitali per cittadini e imprese, su Agenzia per l'Italia digitale. URL consultato l'8 dicembre 2020.
  10. ^ AGID [AgidGov], #SPID:da oggi Regione Toscana e INPS consentono accesso a primi servizi con Identità Digitale @INPS_it @RTConsiglio (Tweet), su Twitter, 15 marzo 2016.
  11. ^ SPID: al via Inail, Emilia Romagna, Friuli Venezia Giulia e Venezia, su Agenzia per l'Italia digitale. URL consultato l'8 dicembre 2020.
  12. ^ SPID: cresce il numero di servizi accessibili tramite identità digitale, su Agenzia per l'Italia digitale. URL consultato l'8 dicembre 2020.
  13. ^ Teresa Barone, Servizi online Equitalia: accesso con SPID, su PMI.it, 3 maggio 2016. URL consultato l'8 dicembre 2020.
  14. ^ web.archive.org, https://web.archive.org/web/*/https://avanzamentodigitale.italia.it/it.
  15. ^ Aggiornamento numero amministrazioni attive 28 giugno 2021, su archive.is.
  16. ^ SPID verso eIDAS, su Agenzia per l'Italia digitale. URL consultato l'8 dicembre 2020.
  17. ^ Artt. 14 e 15 (PDF), su Decreto del Presidente del Consiglio dei ministri 24 ottobre 2014, agid.gov.it (archiviato dall'url originale il 28 marzo 2016).
  18. ^ a b Regole tecniche | Introduzione, su Docs Italia. URL consultato l'8 dicembre 2020.
  19. ^ Art. 27 (PDF), su Regolamento recante le modalità attuative per la realizzazione dello SPID (articolo 4, comma 2, DPCM 24 ottobre 2014), agid.gov.it, 8 aprile 2016 (archiviato dall'url originale l'8 aprile 2016).
    «I fornitori di servizi, per verificare le policy di sicurezza relativi all'accesso ai servizi da essi erogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggetti richiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il set minimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto e mantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall'articolo 11 del decreto legislativo n. 196 del 2003».
  20. ^ Identità digitale: tre livelli di sicurezza per lo Spid, su Il Sole 24 ORE. URL consultato l'8 dicembre 2020.
  21. ^ Che differenze ci sono fra i tre livelli di sicurezza delle credenziali SPID?, su helpdesk.spid.gov.it. URL consultato il 10 dicembre 2020.
  22. ^ Come scegliere tra i gestori di identità digitale, su spid.gov.it. URL consultato il 24 settembre 2021.

Collegamenti esterni[modifica | modifica wikitesto]

Diritto Portale Diritto: accedi alle voci di Wikipedia che trattano di diritto