Archivio della categoria: Identity management

firma

COMUNICATO STAMPA: SPID

COMUNICATO STAMPA: SPID

Roma, 5 dicembre 2019 – È in questi giorni in discussione al Senato il disegno di legge di Bilancio in cui sono previste importanti modifiche alla governance del sistema SPID (il Sistema Pubblico per l’Identità Digitale), modifiche riconducibili, secondo alcuni documenti circolati, alla “inefficienza degli operatori di mercato”.

Assocertificatori, che è l’Associazione che raggruppa la maggior parte degli operatori digitali italiani, alcuni dei quali Digital Champions europei, che gestiscono la quasi totalità del mercato delle PEC, identità digitali, firme elettroniche, servizi di conservazione digitale e fatturazione elettronica e che con l’insieme degli iscritti rappresenta uno dei maggiori contributori della digitalizzazione del Paese, desidera ricordare che l’attuale piattaforma SPID:

  • è attiva per circa 5 M.ni di cittadini ed ha visto una crescita di oltre 1,6 M.ni nei primi 10 mesi del 2019 (pari ad un + 47% in un solo anno);
  • è stata realizzata grazie all’impegno e alle risorse stanziate dagli operatori privati;
  • rispetta i massimi requisiti di affidabilità e sicurezza richiesti dagli standard internazionali, oltre ad essere già oggi interoperabile in molti paesi europei;
  • è stata rilasciata finora gratuitamente ai cittadini e tutti gli Identity Provider si sono impegnati a mantenere tale gratuità a tempo indeterminato.

Per tali ragioni, non appare corretto individuare presunte “inefficienze degli operatori di mercato” ma, al contrario, sembrerebbe opportuno rimarcare il contributo di questi operatori al Paese, in un contesto di lenta adozione di SPID da parte dei service provider pubblici.

Inoltre, si evidenzia come il modello che si verrebbe a realizzare rappresenterebbe una grave vanificazione degli investimenti fin qui stanziati dagli operatori di mercato, associata ad una importante perdita di chance, proprio nel momento in cui il servizio SPID ha cominciato a catalizzare l’interesse dei Cittadini. Parimenti, non sembra corretto evocare l’esigenza della gratuità di Spid per i cittadini come una delle motivazioni della scelta, quando tale gratuità è già garantita e fino ad oggi non ha richiesto alcun finanziamento pubblico.

Assocertificatori non ha mai fatto mancare verso il Governo e la PA il proprio supporto in termini di risorse, know how ed investimenti e resta in prima linea per partecipare attivamente, nel rispetto delle prerogative del Governo e del Parlamento, al processo di Trasformazione Digitale dell’Italia, dei suoi cittadini, delle sue imprese e della sua Pubblica Amministrazione.

im

IDM – Lo scenario delineato dalla normativa

A cura di Andrea Sassetti – Direttore Servizi di Certificazione Gruppo Aruba – Iniziamo definendo il contesto sancito dal CAD in merito all’identificazione informatico di un soggetto:

L’identificazione informatica di un soggetto consiste nella validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad esso, consentendone l’identificazione nei sistemi informativi. L’identificazione deve essere effettuata attraverso opportune tecnologie atte a garantire la sicurezza dell’accesso.’ (Rif. AgID, Art. Gestione Identità, 12/06/2012).

Ed inoltre, riprendiamo la definizione dello SPID istituito dall’AgID:

Per favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte  di cittadini e imprese, anche in mobilità, è istituito, a cura dell’Agenzia per l’Italia  digitale, il sistema  pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID)’ (Rif. Art.64 Capo V, sez III, comma 2-bis)

‘Il  sistema SPID  è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, secondo le modalità definite con il decreto di cui al comma 2-sexies, gestiscono i servizi  di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete, ovvero, direttamente su richiesta degli interessati.’ (Rif. Art. 64 Capo V, sez III, comma 2-ter).

Ci si trova, quindi, ad affrontare l’esigenza di un sistema che provveda all’identificazione certa degli individui in rete, che garantisca l’interoperabilità e sia sviluppato secondo gli standard delineati dall’OASIS (linguaggio SAML).

 

Procediamo con un semplice ragionamento.

Attualmente, il certificato digitale include informazioni relative all’identità di un individuo online – certificata attraverso appositi sistemi, forniti dalle CA, per la profilazione ed autenticazione dell’accesso ad appositi servizi online – più, eventualmente, i dati attribuiti in modo univoco all’individuo relativi ad ruoli e qualifiche possedute. E’ questo il caso riferibile, ad esempio, a coloro che appartengono ad un ordine o collegio professionale, chi ha poteri di rappresentanza e chi è un pubblico ufficiale.

Cosa cambia?

Se fino a questo momento, ad ogni ruolo (o attributo) è corrisposto un diverso certificato digitale – uno per ciascun eventuale ruolo –  adesso si punta allo snellimento dei processi, ponendo maggior attenzione alla questione privacy, anche nel mondo online.

L’obiettivo è, infatti, di fornire un sistema pubblico, o meglio, un servizio online al quale le Amministrazioni, Enti, Aziende e privati cittadini possano accedere facilmente per consultare tali dati che devono essere ‘certi’ e aggiornati in tempo reale.

Qual è la novità?

Si guarda, quindi, alla separazione tra l’identità digitale, ad esempio, contenuta nel certificato digitale, e i possibili attributi del Titolare del certificato, che, quindi, non appariranno più congiuntamente al certificato o, più in generale, nello strumento di autenticazione o firma utilizzato. Gli attributi, infatti, saranno dati a sé stanti e saranno fruibili come servizi proprio per mezzo di questo nuovo sistema da sviluppare.

E’ in questa fase che entra in gioco lo sviluppo di una tecnologia abilitante di tali servizi, che oltretutto, sarà di supporto ai processi di dematerializzazione e accesso online. Ogni certificazione dell’appartenenza di un soggetto ad un ordine, o una propria qualifica professionale, o un’iscrizione ad uno specifico albo viene definita come ‘Asserzione’ e fornita dall’Attribute Authority.

Se da un lato, ad oggi le CA forniscono vari strumenti di autenticazione – quali ad esempio, l’Autenticazione Forte, l’OTP, le CNS – dall’altro, tali Autorità (anche in veste di AA, se si tratta di emettere le Asserzioni) stanno iniziando ad implementare soluzioni di IDM applicabili a tutti gli eventuali scenari, da privato cittadino a pubblica amministrazione, nessuno escluso.

Schema semplificato di un processo di IDM