AVETE CREATO IL VOSTRO S.P.I.D.? (SISTEMA PUBBLICO IDENTITÀ DIGITALE). di Marco Martucci*

La repentina ed inarrestabile metamorfosi delle modalità di comunicazione (digitali) sta letteralmente trascinando anche il baricentro dei sistemi di informazione delle Istituzioni pubbliche. Talché, seguendo un processo estrusivo, partendo da uno scenario planetario, attraverso l’Unione Europea, anche il “sistema Italia” ha intrapreso un percorso di adeguamento e valorizzazione delle nuove tecnologie digitali orientate a semplificare e migliorare la nostra “vivibilità civica” ([1]).

Immaginandoci tutti in movimento lungo uno stesso sentiero, sono stabiliti, in modo rigoroso, tempi e modalità con le quali i due protagonisti del medesimo scenario (la Pubblica Amministrazione e noi cittadini-utenti) dovranno reciprocamente dialogare con modalità digitali.

Reiterati e recenti interventi normativi hanno valorizzato il Regolamento e-IDASelectronic IDentification Authentication and Signature ([2]) entrato in vigore il 17/09/2014 ed applicato dallo scorso 1 luglio 2016.

Nel contesto giuridico italiano l’impianto normativo si concretizza nel Codice dell’Amministrazione Digitale – C.A.D. ([3]).

Di seguito si ripropone la timeline tratta dal sito dell’AgID – Agenzia per l’Italia Digitale, incardinata presso la Presidenza del Consiglio dei Ministri ([4]) autority di riferimento sulla materia di specie.

first-digital-eidas

La creazione di un nuovo habitat digitale in cui convivono la Pubblica Amministrazione ed il cittadino-utente ha imposto la necessità di determinare una identità digitale attraverso la quale è possibile individuare gli interlocutori. Si è dinanzi ad un interesse reciproco, biunivoco, in cui sia la Pubblica Amministrazione, sia il cittadino richiedono di avere certezza di sapere con chi si sta dialogando.

Adeguandosi alle tappe del Regolamento eIDAS si assiste ad una massiva promozione ed incentivazione del profilo SPID Sistema Pubblico di Identità Digitale ([5]).

Lo SPID (strumento esecutivo del Regolamento eIDAS) si propone come «un sistema aperto attraverso il quale soggetti pubblici e privati – previo accreditamento da parte dell’Agenzia per l’Italia Digitale – possono offrire servizi di identificazione elettronica a cittadini e imprese» ([6]).

spid 1

Lo strumento prevede che il cittadino o l’azienda diventi titolare di un’unica identità (ID e password) che gli consenta l’accesso (login) a tutti i sistemi dei diversi enti della PA. Metaforicamente la possiamo paragonare ad un unico passepartout personalizzato tramite il quale accedere a qualunque stanza all’interno dell’edificio della PA.

Ad oggi l’AGID ha individuato alcuni partners qualificati ([7]) tramite cui creare il proprio profilo SPID.

spid 2

Secondo quanto dichiarato sul sito dell’AGID, lo SPID sarà gratuito fino al 2019. Verosimilmente perché in tale data si passerà dal riconoscimento (digitale) volontario a quello obbligatorio.

Quindi tutte le transazioni e le comunicazioni tra il cittadino-azienda e le Istituzioni avverranno prevalentemente (esclusivamente) in forma digitale.

Una semplice ricognizione sui principali siti istituzionali consente di rilevare come l’accesso con profilo SPID sia già una realtà.

Per redigere ed inserire la propria dichiarazione dei redditi.

spid Agenzia Entrate

Per accedere ad un concorso pubblico.

spid Gdf

Per operare sul proprio profilo previdenziale.

spid INPS

Per accedere alla propria busta paga.

spid NOIPA

Per iscrivere i propri figli a scuola.

spid MIUR

Per accedere all’anagrafe.

spid Roma

Ad onor del vero ancora non tutte le Istituzioni hanno già provveduto ad adeguare la propria “accessibilità” tramite SPID. Si pensi alla totalità dei Comuni e delle Regioni per esempio.

Riproponiamo le risposte alle domande più frequenti (F.A.Q.) riguardo allo SPID anticipando che nello sperimentare la creazione del profilo SPID (completamente gratuito a condizione che si scelga la modalità appropriata suggerita dal fornitore del servizio) si è avuto modo di accertare la completa e funzionale accessibilità a tutti i siti istituzionali sopra indicati.

La procedura di creazione di un profilo SPID prevede due fasi:

  1. PRIMA FASE: si crea, completamente on line, un profilo utente inserendo i propri dati personali, creando un nome utente ed associandovi una password. Il gestore di profilo SPID chiede di inviare (on line) l’immagine digitale del proprio documento di identità e della propria tessera sanitaria-codice fiscale.
  2. SECONDA FASE: è necessario procedere ad un “riconoscimento” con cui viene verificata l’identità del titolare SPID con i dati forniti. Questa procedura si può perfezionare tramite webcam dalla propria postazione domestica con un costo che varia tra i 15 ed i 19€ oppure, gratuitamente, recandosi fisicamente presso alcune agenzie di servizi che collaborano con i gestori di servizi SPID. Queste agenzie provvederanno, con una webcam, a fotografare l’interessato ed a reinviare l’immagine digitale dei documenti già prodotti nella prima fase dal richiedente per consentire una verifica incrociata ed evitare clonazioni di identità.

CHI?

Solo cittadini italiani (o provvisti di permesso di soggiorno) maggiorenni.

Al momento lo SPID è riconducibile solo a persone fisiche per cui il beneficio di tale strumento, per le società, sarà ricondotto ai responsabili legali. 

COSA SERVE PER CREARE UN PROFILO SPID?

Sono necessari un documento di identità (non è valida la patente di guida compresa quella rilasciata dal Prefetto) e la tessera Sanitaria-Codice Fiscale, entrambi in corso di validità, una e-mail, la disponibilità di un computer ovvero di uno smartphone. 

QUALE SICUREZZA?

Il profilo SPID prevede tre diversi livelli di sicurezza:

  • Il primo livello permette di accedere ai servizi online attraverso un nome utente e una password scelti dall’utente.
  • Il secondo livello – necessario per servizi “dispositivi” che richiedono un grado di sicurezza maggiore – permette l’accesso attraverso un nome utente e una password scelti dall’utente, più la generazione di un codice temporaneo di accesso (one time password – O.T.P.).
  • Il terzo livello, oltre al nome utente e la password, richiede un supporto fisico (es. smart card) per l’identificazione (allo stato non operativo). La CNS non è una modalità completamente smaterializzata (full digital) in quanto suppone l’uso di un lettore di smartcard. La previsione è che entro il 2019 l’accesso sarà esclusivamente SPID.PERCHÉ SCEGLIERE SPID?E’ un sistema strutturato con i medesimi (se non superiori) criteri di sicurezza digitale previsti per i sistemi finanziari o bancari on line. Tuttavia non si può non rilevare che il sistema si affida ad una azienda privata, seppur accreditata dall’AgID, che fornisce il servizio SPID. Riepilogando, si descrive di seguito la procedura per accedere con secondo livello di sicurezza al proprio profilo presso un sito della P.A. con credenziali dispositive”:

DIFFERENZA TRA LA CARTA NAZIONALE SERVIZI (CNS) E SPID?

La CNS non è una modalità completamente smaterializzata (full digital) in quanto suppone l’uso di un lettore di smartcard. La previsione è che entro il 2019 l’accesso sarà esclusivamente SPID. 

PERCHÉ SCEGLIERE SPID?

Il sistema SPID sarà il protocollo esclusivo di accesso alla PA.

E’ un sistema strutturato con i medesimi (se non superiori) criteri di sicurezza digitale previsti per i sistemi finanziari o bancari on line. Tuttavia non si può non rilevare che il sistema si affida ad una azienda privata, seppur accreditata dall’AgID, che fornisce il servizio SPID.

Con le credenziali SPID (ID, password e OTP) è possibile accedere a tutti i siti della PA.

COME SI USA LO SPID?

Riepilogando, si descrive di seguito la procedura per accedere con secondo livello di sicurezza al proprio profilo presso un sito della P.A. con credenziali dispositive”:

Si inseriscono le proprie credenziali fornite dal gestore del servizio SPID

Le credenziali sarenno le stesse per qualunque sito abilitato SPID.

accesso spid 1

Se devo accedere con credenziali “dispositive” mi viene chiesto l’inserimento di un ulteriore livello di sicurezza costituito da un codice temporaneo di accesso (one time password) ovvero OTP.

accesso spid 2

La generazione dell’O.T.P. avviene su un dispositivo (computer ovvero smartphone) in possesso dell’utente su cui è installata una APPlicazione software fornita dal gestore del servizio SPID. Quest’ultima, a sua volta, è protetta da una ulteriore password (codice sblocco).

accesso spid 3

Una volta inserito il codice OTP il sito avvisa che i propri dati personali saranno comunicati dal gestore del servizio SPID al sito dell’Istituzione a cui sto accedendo.

accesso spid 4

A questo punto mi sarà concesso di accedere con il mio profilo al sito di interesse e disporre secondo le mie intenzioni per i fini prefissati.

[1]     https://www.sicurezzacgs.it/first-digital-innanzitutto-digitale-di-marco-martucci.

[2]    Regolamento UE n° 910/2014 sull’identità digitale – ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri (http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/il-regolamento-ue-ndeg-9102014-eidas)

[3]    D.Lgs.82 datato 07/03/2005 – http://www.agid.gov.it/cad/codice-amministrazione-digitale.

[4]    http://www.agid.gov.it

[5]    http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/spid/percorso-attuazione#SPID

[6]   http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/il-regolamento-ue-ndeg-9102014-eidas/spid-verso-eidas

[7]  Trattasi di soggetti economici esterni alla P.A..

* Socio di Sicurezza Cum Grano Salis