Archivio della categoria: Identity management

im

IDM – Lo scenario delineato dalla normativa

A cura di Andrea Sassetti – Direttore Servizi di Certificazione Gruppo Aruba – Iniziamo definendo il contesto sancito dal CAD in merito all’identificazione informatico di un soggetto:

L’identificazione informatica di un soggetto consiste nella validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad esso, consentendone l’identificazione nei sistemi informativi. L’identificazione deve essere effettuata attraverso opportune tecnologie atte a garantire la sicurezza dell’accesso.’ (Rif. AgID, Art. Gestione Identità, 12/06/2012).

Ed inoltre, riprendiamo la definizione dello SPID istituito dall’AgID:

Per favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte  di cittadini e imprese, anche in mobilità, è istituito, a cura dell’Agenzia per l’Italia  digitale, il sistema  pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID)’ (Rif. Art.64 Capo V, sez III, comma 2-bis)

‘Il  sistema SPID  è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, secondo le modalità definite con il decreto di cui al comma 2-sexies, gestiscono i servizi  di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete, ovvero, direttamente su richiesta degli interessati.’ (Rif. Art. 64 Capo V, sez III, comma 2-ter).

Ci si trova, quindi, ad affrontare l’esigenza di un sistema che provveda all’identificazione certa degli individui in rete, che garantisca l’interoperabilità e sia sviluppato secondo gli standard delineati dall’OASIS (linguaggio SAML).

 

Procediamo con un semplice ragionamento.

Attualmente, il certificato digitale include informazioni relative all’identità di un individuo online – certificata attraverso appositi sistemi, forniti dalle CA, per la profilazione ed autenticazione dell’accesso ad appositi servizi online – più, eventualmente, i dati attribuiti in modo univoco all’individuo relativi ad ruoli e qualifiche possedute. E’ questo il caso riferibile, ad esempio, a coloro che appartengono ad un ordine o collegio professionale, chi ha poteri di rappresentanza e chi è un pubblico ufficiale.

Cosa cambia?

Se fino a questo momento, ad ogni ruolo (o attributo) è corrisposto un diverso certificato digitale – uno per ciascun eventuale ruolo –  adesso si punta allo snellimento dei processi, ponendo maggior attenzione alla questione privacy, anche nel mondo online.

L’obiettivo è, infatti, di fornire un sistema pubblico, o meglio, un servizio online al quale le Amministrazioni, Enti, Aziende e privati cittadini possano accedere facilmente per consultare tali dati che devono essere ‘certi’ e aggiornati in tempo reale.

Qual è la novità?

Si guarda, quindi, alla separazione tra l’identità digitale, ad esempio, contenuta nel certificato digitale, e i possibili attributi del Titolare del certificato, che, quindi, non appariranno più congiuntamente al certificato o, più in generale, nello strumento di autenticazione o firma utilizzato. Gli attributi, infatti, saranno dati a sé stanti e saranno fruibili come servizi proprio per mezzo di questo nuovo sistema da sviluppare.

E’ in questa fase che entra in gioco lo sviluppo di una tecnologia abilitante di tali servizi, che oltretutto, sarà di supporto ai processi di dematerializzazione e accesso online. Ogni certificazione dell’appartenenza di un soggetto ad un ordine, o una propria qualifica professionale, o un’iscrizione ad uno specifico albo viene definita come ‘Asserzione’ e fornita dall’Attribute Authority.

Se da un lato, ad oggi le CA forniscono vari strumenti di autenticazione – quali ad esempio, l’Autenticazione Forte, l’OTP, le CNS – dall’altro, tali Autorità (anche in veste di AA, se si tratta di emettere le Asserzioni) stanno iniziando ad implementare soluzioni di IDM applicabili a tutti gli eventuali scenari, da privato cittadino a pubblica amministrazione, nessuno escluso.

Schema semplificato di un processo di IDM