Archivio tag: SPID

schermata-2022-02-09-alle-11-58-45

Lettera aperta al Governo

DIFFUSIONE DELL’UTILIZZO DELLE IDENTITÀ DIGITALI NEL SISTEMA PAESE ED IN PARTICOLARE NEI SETTORI PRIVATI

AssoCertificatori è tra i firmatari della lettera aperta inviata da #ClubTI4SPID alle Istituzioni e Ministeri competenti. L’iniziativa ha l’obiettivo di sensibilizzare le istituzioni sulla necessità di diffondere e abilitare l’utilizzo di SPID e CIE anche ai settori privati, al fine di superare i ritardi e colmare il divario tra l’Italia e gli altri Paesi dell’UE in relazione alle competenze digitali della popolazione e al livello di innovazione e competitività delle imprese.

Riportiamo in basso il testo integrale della lettera.


A:
Ministro per l’innovazione tecnologica e la transizione digitale
Ministero dell’interno
Ministero dell’economia e delle finanze
Sottosegretaria Anna Ascani, Ministero dello sviluppo economico
Dipartimento per la trasformazione digitale
Agenzia per l’Italia digitale

Questa lettera ha l’obiettivo di sensibilizzare le istituzioni sulla necessità urgente di diffondere e abilitare l’utilizzo dei servizi digitali anche nei settori privati grazie all’ausilio delle identità digitali SPID e CIE, al fine di superare i ritardi e colmare il divario tra l’Italia e gli altri Paesi dell’UE in relazione alle competenze digitali della popolazione e al livello di innovazione e competitività delle imprese italiane.
Abbiamo apprezzato l’impegno delle istituzioni in questi anni per promuovere la diffusione di queste identità tra i cittadini e le pubbliche amministrazioni, e ancor più i risultati conseguiti in quest’ambito specifico, sicuramente prioritario per il Paese. Riteniamo che sia finalmente giunto il momento di assegnare un’analoga priorità alla diffusione delle stesse identità fra le imprese e i professionisti, digitalizzando e migliorando la qualità del rapporto tra cittadini, pubbliche amministrazioni e operatori economici.

Crediamo fortemente che la realizzazione concreta di una roadmap che tenga conto delle iniziative richieste in questa lettera possa contribuire in maniera rilevante al miglioramento dell’indice europeo DESI (Digitalizzazione dell’Economia e della Società) dei prossimi anni e permettere di raggiungere l’obiettivo del Piano Italia Digitale 2026 di assicurare un utilizzo diffuso e continuativo delle identità digitali almeno al 70% della popolazione.

Così come la fatturazione elettronica, il 730 precompilato e la certificazione anagrafica on-line sono state iniziative che hanno coinvolto gran parte del sistema Paese Italia innalzando il livello di competenze digitali di tantissimi soggetti, pensiamo che i servizi digitali privati integrati alle identità digitali possano rappresentare un nuovo volano per far sì che la stragrande maggioranza della popolazione diventi digitalmente abile e sia migliorato il livello di competenza digitale di imprese PMI, professionisti e lavoratori autonomi.

Consentire la piena fruizione dei servizi privati basati sull’identità digitale è un passo essenziale e necessario anche per facilitare al cittadino l’utilizzo di SPID e CIE nelle occasioni in cui è solito delegare agli intermediari autorizzati le pratiche fiscali, sindacali e previdenziali e per semplificare l’interazione di SPID e CIE con le complesse regole delle firme elettroniche, abilitando una piena interazione digitale tra cittadino e servizi pubblici.

Le competenze digitali nascono e si “allenano” nel quotidiano. Poiché il cittadino interagisce più spesso con il mondo privato che con il mondo pubblico, permettere l’adozione (diffusa e facilitata con gli aggregatori) di SPID e CIE da parte dei privati avrà come benefico effetto collaterale la presentazione ripetuta al grande pubblico dell’esperienza d’uso di SPID e di CIE, grazie anche al supporto dei Service Provider privati per superare il gap di ingresso.

Spingendo sulla diffusione dei servizi digitali privati tra gli utenti, il Governo può attivare un circuito virtuoso per la diffusione di competenze digitali nella popolazione e di crescita della cultura digitale del sistema Paese.

Per questo sono utili diverse azioni, alcune nell’immediato, altre nel medio periodo.

Nell’immediato, chiediamo di:

FORMALIZZARE, ADOTTARE E PUBBLICARE LA CONVENZIONE PER GLI AGGREGATORI DI SERVIZI PRIVATI SPID E CIE

I soggetti aggregatori sono imprese private che offrono a terzi, imprese e organizzazioni private (soggetti aggregati), la possibilità di rendere accessibili i propri servizi online tramite SPID o CIE. I soggetti aggregatori di servizi privati sia per SPID che per CIE avranno un ruolo strategico come soggetti “facilitatori” per l’autenticazione, l’identificazione certa e l’on-boarding tramite identità digitali dei servizi online erogati dai privati.

Perché le imprese possano adottare SPID e CIE con il sostegno degli operatori del mercato urge l’emanazione degli atti necessari per permettere l’avvio dell’operatività per gli aggregatori privati, emanazione che è già stata ripetutamente annunciata negli anni scorsi, senza purtroppo alcun seguito.

FORMULARE E PUBBLICARE LE LINEE GUIDA PER I GESTORI DI ATTRIBUTI QUALIFICATI E IL SISTEMA DI GESTIONE DELEGHE PER LE IDENTITÀ DIGITALI

I gestori di attributi qualificati sono potenzialmente tutti i soggetti che in base ad una norma hanno il potere di attestare qualifiche, stati personali, poteri di persone fisiche. Esempi sono gli Ordini e i collegi professionali, gli Albi, le Camere di Commercio, i Consigli nazionali e le pubbliche amministrazioni. Il sistema di gestione delle deleghe, dal canto suo, è assolutamente necessario per permettere la fruizione dei servizi web da parte delle persone digitalmente fragili.

Nel medio periodo, chiediamo di:

PROMUOVERE

  • I benefici del riconoscimento digitale certo degli utenti per diffondere i servizi online nel contesto B2C e B2B.
  • L’integrazione delle identità digitali alle sottoscrizioni elettroniche per digitalizzare i processi end-to-end nell’ambito B2C e B2B.

PROMUOVERE E COMUNICARE UNA ROADMAP DI ADOZIONE ESCLUSIVA DI SPID E CIE, IN PARTICOLARE DEFINIRE:

  • La programmazione dell’adozione diffusa dello SPID ad uso professionale sia per le persone giuridiche (aziende, enti pubblici, ecc.), sia per i professionisti.
  • La data entro cui, come peraltro già previsto dall’art. 64 c. 3-bis del CAD, i servizi online pubblici con finalità professionale e/o rivolti alle imprese consentiranno l’accesso alle imprese e ai professionisti esclusivamente con SPID e CIE.
  • La data entro cui, come peraltro già previsto dall’art. 64 c. 3-bis del CAD, i servizi online dei gestori di servizi pubblici e delle partecipate pubbliche utilizzeranno esclusivamente le identità digitali SPID e CIE ai fini dell’identificazione degli utenti dei propri servizi on-line.

SOSTENERE CONCRETAMENTE L’ECOSISTEMA SPID E CIE CON RISORSE DEL PNRR CHE TENGANO CONTO SPECIFICATAMENTE DELL’EVOLUZIONE DI SPID E CIE, E DELL’ADOZIONE DELLE IDENTITÀ DIGITALI NEI SERVIZI E PROCESSI AZIENDALI

  • Il PNRR ha previsto oltre 13 miliardi per la digitalizzazione delle imprese nell’ambito della Componente 2 della Missione 1 del Piano. In questo intervento è previsto dal Disegno di Legge di Bilancio 2022 il rafforzamento degli incentivi fiscali del Piano Transizione 4.0 tra i quali ad esempio i crediti d’imposta per gli investimenti in ricerca e sviluppo, innovazione digitale (software utilizzati nei progetti di innovazione tecnologica). Chiediamo di prevedere specificatamente tra le tecnologie elencate dai predetti crediti d’imposta l’aggiunta della “Progettazione e conduzione di servizi digitali tramite l’utilizzo di identità digitali SPID e CIE” oltre ad altre forme e strumenti di sostenibilità finanziaria a supporto delle imprese Service Provider, degli Aggregatori di servizi privati, degli Identity Provider e delle Attribute Authority, che investono e contribuiscono alla digitalizzazione dei processi e servizi aziendali e al successo delle piattaforme abilitanti SPID e CIE.
im

IDM – Lo scenario delineato dalla normativa

A cura di Andrea Sassetti – Direttore Servizi di Certificazione Gruppo Aruba – Iniziamo definendo il contesto sancito dal CAD in merito all’identificazione informatico di un soggetto:

L’identificazione informatica di un soggetto consiste nella validazione dell’insieme di dati attribuiti in modo esclusivo ed univoco ad esso, consentendone l’identificazione nei sistemi informativi. L’identificazione deve essere effettuata attraverso opportune tecnologie atte a garantire la sicurezza dell’accesso.’ (Rif. AgID, Art. Gestione Identità, 12/06/2012).

Ed inoltre, riprendiamo la definizione dello SPID istituito dall’AgID:

Per favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte  di cittadini e imprese, anche in mobilità, è istituito, a cura dell’Agenzia per l’Italia  digitale, il sistema  pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID)’ (Rif. Art.64 Capo V, sez III, comma 2-bis)

‘Il  sistema SPID  è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, secondo le modalità definite con il decreto di cui al comma 2-sexies, gestiscono i servizi  di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete, ovvero, direttamente su richiesta degli interessati.’ (Rif. Art. 64 Capo V, sez III, comma 2-ter).

Ci si trova, quindi, ad affrontare l’esigenza di un sistema che provveda all’identificazione certa degli individui in rete, che garantisca l’interoperabilità e sia sviluppato secondo gli standard delineati dall’OASIS (linguaggio SAML).

 

Procediamo con un semplice ragionamento.

Attualmente, il certificato digitale include informazioni relative all’identità di un individuo online – certificata attraverso appositi sistemi, forniti dalle CA, per la profilazione ed autenticazione dell’accesso ad appositi servizi online – più, eventualmente, i dati attribuiti in modo univoco all’individuo relativi ad ruoli e qualifiche possedute. E’ questo il caso riferibile, ad esempio, a coloro che appartengono ad un ordine o collegio professionale, chi ha poteri di rappresentanza e chi è un pubblico ufficiale.

Cosa cambia?

Se fino a questo momento, ad ogni ruolo (o attributo) è corrisposto un diverso certificato digitale – uno per ciascun eventuale ruolo –  adesso si punta allo snellimento dei processi, ponendo maggior attenzione alla questione privacy, anche nel mondo online.

L’obiettivo è, infatti, di fornire un sistema pubblico, o meglio, un servizio online al quale le Amministrazioni, Enti, Aziende e privati cittadini possano accedere facilmente per consultare tali dati che devono essere ‘certi’ e aggiornati in tempo reale.

Qual è la novità?

Si guarda, quindi, alla separazione tra l’identità digitale, ad esempio, contenuta nel certificato digitale, e i possibili attributi del Titolare del certificato, che, quindi, non appariranno più congiuntamente al certificato o, più in generale, nello strumento di autenticazione o firma utilizzato. Gli attributi, infatti, saranno dati a sé stanti e saranno fruibili come servizi proprio per mezzo di questo nuovo sistema da sviluppare.

E’ in questa fase che entra in gioco lo sviluppo di una tecnologia abilitante di tali servizi, che oltretutto, sarà di supporto ai processi di dematerializzazione e accesso online. Ogni certificazione dell’appartenenza di un soggetto ad un ordine, o una propria qualifica professionale, o un’iscrizione ad uno specifico albo viene definita come ‘Asserzione’ e fornita dall’Attribute Authority.

Se da un lato, ad oggi le CA forniscono vari strumenti di autenticazione – quali ad esempio, l’Autenticazione Forte, l’OTP, le CNS – dall’altro, tali Autorità (anche in veste di AA, se si tratta di emettere le Asserzioni) stanno iniziando ad implementare soluzioni di IDM applicabili a tutti gli eventuali scenari, da privato cittadino a pubblica amministrazione, nessuno escluso.

Schema semplificato di un processo di IDM