Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

SPID: UNA CHIAVE DI ACCESSO INTEROPERABILE PER L’USO DI SERVIZI PUBBLICI E PRIVATI

di Elio Gullo

pdf-icon1. Identità digitale, cos’è
Un’Identità Digitale (ID) è l’insieme di informazioni relative ad una entità (persona fisica, persona giuridica, dispositivo), comunemente detti attributi, in grado di rappresentarla nel mondo digitale. Gli attributi comprendono informazioni personali (nome, cognome, data di nascita) ed alcuni attributi – denominati credenziali – svolgono la funzione di consentire l’accesso in modo sicuro ai servizi online e di assicurare l’imputabilità certa ad un soggetto delle azioni svolte sul sito.
La richiesta di essere identificati prima di accedere ad un servizio online è motivata da diverse esigenze: da quella di potere associare in maniera sicura l’utente ad una persona fisica, a quella di potere mantenere un profilo dell’utente con le sue preferenze e la storia delle sue transazioni passate. Generalmente ogni fornitore di servizio gestisce in proprio le identità dei propri utenti ed associa “username” e “password” attraverso la procedura di registrazione, completamente eseguita sul sito dell’erogatore del servizio.
Questo modello di gestione dell’identità digitale porta ad un’abnorme crescita di credenziali da tenere a mente (o conservare e modificare nel tempo) per l’accesso ai diversi servizi. L’uso di credenziali come la password, inoltre, non sono sufficientemente robusti da consentire lo sviluppo di servizi a valore aggiunto; infine, non vi sono regole comuni a livello internazionale per l’utilizzo delle ID (come invece esistono per l’utilizzo delle carte di credito, ad esempio). Per superare le criticità evidenziate stanno emergendo modelli alternativi che prevedono la distinzione dei ruoli di fornitore dei servizi, il Service Provider, e di gestore delle identità digitali, l’Identity Provider, con la connessa dematerializzazione dello strumento di riconoscimento: si tratta del noto “spostamento” da prodotto a servizio che caratterizza i mercati maturi. In questo caso il mercato dei servizi online, pubblici e privati.
In sostanza, con l’ID, si ottiene l’identità da un soggetto terzo, il Gestore delle Identità (Identity Provider), il quale si occupa di confermare ai gestori dei siti sui quali l’ID viene utilizzata che chi accede ha una certa identità ed ha titolo di accedere al sito, senza rivelare informazioni ulteriori oltre quelle strettamente necessarie per il servizio richiesto.

2. Modelli di ID attualmente usati
Sul mercato sono presenti organizzazioni pubbliche o private che supportano funzionalità di gestione delle identità digitali nell’ambito della propria offerta di servizi online. I Service Provider che offrono servizi ed applicazioni su Internet a livello planetario sono attivi anche nel ruolo di Identity Provider, poiché dispongono di informazioni su centinaia di milioni di clienti (Facebook, Yahoo, Google ad esempio). Tali società profilano i propri utenti per finalità di marketing ed hanno pertanto sistemi di gestione delle ID funzionali al proprio core business. Peraltro la loro localizzazione negli USA consente un utilizzo meno stringente delle regole sulla privacy rispetto a quanto accade nel Vecchio Continente.
Tale modello vede l’utente in posizione subordinata rispetto alle scelte di profilazione, vendita di informazioni e loro diffusione incontrollata da parte del gestore dell’ID. Il sistema funziona così: per usufruire dei servizi di Facebook o Google è necessario registrarsi, ottenendo le credenziali di accesso. I gestori di altri siti web, per concedere l’accesso ai propri servizi, accettano tali credenziali, secondo il modello di identità federata, risparmiando all’utente una ulteriore procedura di registrazione ed assegnazione di credenziali.
Ad esempio, il sito Academia.edu – creato per condividere i risultati delle ricerche da parte della comunità scientifica – consente agli utenti di Facebook e Google ad accedere alle ricerche pubblicate sul sito usando le credenziali dei due colossi statunitensi. Questo meccanismo, abbastanza semplice e agevole per l’utente, cela il modello di business appena descritto. Academia.edu agisce da Service Provider ed utilizza i servizi di gestione delle identità di altri Identity Provider con i quali ha – molto probabilmente – accordi per la fornitura di informazioni sulle transazioni effettuate dalle persone che accedono al sito, senza che le stesse possano decidere diversamente.

3. Perché un nuovo modello di gestione delle ID
Il modello descritto è una utile base per disegnare sistemi di ID che siano in grado di superarne alcuni limiti. Si tratta, infatti, da un lato di venire incontro alle esigenze di privacy che la rete pone in maniera mai così sentita e d’altra parte sistemi sicuri di ID sono considerati fattori abilitanti alle economie mature in cerca di sbocchi attraverso il ricorso al mercato elettronico.
Anche le pubbliche amministrazioni, in qualità di Service Provider, giocano un ruolo in questa partita e considerate le cardinalità dei clienti delle PA, possono fungere da stimolo per la realizzazione di infrastrutture sicure ed interoperanti di gestione delle ID cross-nazionali. Il nuovo modello in corso di perfezionamento sia a livello UE che in Italia considera prioritari alcuni requisiti relativamente al trattamento di dati individuali su Internet:

  • libertà nella scelta dell’Identity Provider da utilizzare per accedere ai servizi online;
  • Service Provider aperti ad accettare le credenziali fornite da differenti Identity Provider;
  • crescenti livelli di sofisticazione nelle modalità di identificazione in base al contesto ed al livello di sicurezza richiesto dal servizio a cui si vuole accedere, utilizzando diverse ID;
  • possibilità di negoziare con l’Identity Provider le regole con cui i dati relativi alla propria identità sono raccolti e forniti ai Service Provider;
  • possibilità di accedere ai servizi online fornendo la quantità di informazioni strettamente necessarie, ad esempio, presentando la certificazione di certi requisiti (es. la maggiore età) pur rimanendo anonimi.

Infine è considerata requisito fondamentale la portabilità della propria ID da un gestore ad un altro, compresa la possibilità di richiedere la cancellazione dei propri dati sui sistemi degli Identity Provider.

4. Ruolo delle pubbliche amministrazioni
Le istituzioni pubbliche giocano un ruolo fondamentale sia nel disegno delle nuove strategie di gestione delle ID, sia nella concreta implementazione delle medesime. Le amministrazioni pubbliche sono innanzitutto le fonti primarie delle credenziali relative agli attributi di identità degli individui (es. nome, data di nascita, cittadinanza, stato civile). Inoltre, come detto, le PP.AA. hanno intrinsecamente le potenzialità per generare una massa critica di individui in grado di utilizzare credenziali digitali con livelli di sicurezza elevati per l’accesso a servizi online.
Negli USA il governo federale ha definito la NSTIC (National Strategy for Trusted Identities in Cyberspace), con il fine di incrementare il livello di affidabilità associato alle identità delle entità coinvolte nelle transazioni in rete. L’applicazione di NSTIC conduce alla realizzazione di un ecosistema di identità federate, ossia di un ambiente “online” ove gli individui e le organizzazioni possono fidarsi reciprocamente, perché tutti hanno accettato e seguono un comune insieme di regole, procedure e standard per l’acquisizione e l’autenticazione delle ID.
Nel Regno Unito il programma IDA (Identity Assurance Programme) ha l’obiettivo di consentire ai cittadini di accedere ai servizi governativi mediante credenziali già rilasciate loro da un ampio gruppo di organizzazioni non governative (es. The Post Office, Verizon, PayPal).

5. SPID
La legge n. 98 del 9 agosto 2013, all’art. 17-ter, ha introdotto nel nostro ordinamento il Servizio Pubblico di Identità Digitale (SPID).
L’iter previsto si basa su un Decreto del Presidente del Consiglio dei Ministri che ne definisca le modalità di adesione da parte degli attori interessati è in corso di approvazione. Una volta approvato sarà inviato alla Commissione europea in ottemperanza alla Direttiva 98/34/CE così come modificata dalla Direttiva 98/48/CE. Ove non fossero sollevate obiezioni od eccezioni, dopo 90 giorni il DPCM sarà pubblicato in Gazzetta Ufficiale.

L’SPID prevede diversi attori:

  1. il cittadino che potrà disporre di uno o più ID. L’ID conterrà alcune informazioni identificative obbligatorie, come il codice fiscale, il nome, il cognome, il luogo di nascita, la data di nascita e il sesso.
  2. il Gestore delle Identità. Si tratta di un soggetto – pubblico o privato – che dovrà chiedere di essere accreditato presso l’Agenzia per l’Italia Digitale e che avrà il ruolo di creare e gestire le ID (modello già adottato per i Certificatori di firma digitale).
  3. il Gestore di Attributi qualificati. Si tratta di un soggetto – pubblico o di diritto pubblico – che per legge può certificare alcuni attributi, come il possesso di un titolo di studio, l’appartenenza ad un ordine professionale, etc.
  4. il Gestore di Servizi, tipicamente ogni pubblica amministrazione e le organizzazoni private che vorranno aderire a SPID.

Il cittadino che desidera ottenere una ID dovrà richiederla ad uno dei Gestori di Identità accreditati. Il Gestore ID per poterla fornire dovrà procedere con un riconoscimento personale del cittadino.
I possessori di una ID conforme alle regole SPID, di una CIE o di una CNS potranno evitare il riconoscimento de-visu presso il Gestore delle ID ed ottenere una ID direttamente online.
SPID prevede che i Gestori di ID offrano diverse credenziali di sicurezza con diversi livelli di sofisticazione. La scelta deriva dalla necessità di disporre di un modello di riferimento tecnologicamente neutro (nei limiti del possibile) e quindi in grado di adattarsi alla evoluzione tecnologica senza continui rimaneggiamenti, essendo basato su sistemi di autenticazione conformi a standard ISO internazionalmente riconosciuti.
In linea con le esigenze di tutela delle informazioni personali, SPID risponde al principio di condivisione minima degli attributi. Il Gestore delle ID potrà fornire al Gestore dei Servizi le informazioni sul cittadino solamente previo consenso dello stesso. SPID potrà essere inoltre utilizzato anche solo per la verifica delle credenziali, fornendo risposte di tipo SI/NO.

6. Criticità e tempi
Il sistema di gestione delle ID italiano è costituito da un insieme di regole – gran parte delle quali ancora da scrivere e comunque non approvate – che in qualche modo determineranno una sua adozione in tempi difficilmente inferiori a 18-24 mesi.
Il calcolo è presto fatto. Innanzitutto occorre che venga approvato il DPCM previsto all’art. 17-ter, comma 2, della legge n. 98 del 9 agosto 2013, con il quale è stato introdotto il Servizio Pubblico di Identità Digitale (SPID). Una volta approvato (ipotesi ottimistica, entro la primavera) occorrerà trasmetterlo alla Commissione europea per un avallo e, se ottenuto, dopo 90 giorni sarà pubblicato sulla Gazzetta Ufficiale. Questa prima fase è pertanto probabile che si concluda in tarda estate o primo autunno.
A quel punto potrà partire la fase sperimentale, la cui durata è stimata in sei mesi ed al termine della quale AGID dovrà redigere le regole tecniche (90 sono i giorni previsti dalla normativa). Pertanto, ammesso che tutto fili liscio e non vi sia alcun tempo morto tra la fine di una fase e l’inizio della successiva, le regole tecniche dovrebbero essere disponibili all’inizio del 2015. Fin qui l’iter normativo. SPID però non è un progetto autoconsistente. Si basa infatti su alcuni pilastri i cui tempi di completamento sono probabilmente prossimi ma non ancora certi:

  • l’ANPR (Anagrafe nazionale della popolazione residente, uno dei tre grandi progetti dell’Agenda Digitale Italiana), che ci si augura possa essere già funzionante alla data di emanazione delle regole tecniche;
  • il regolamento comunitario sulle ID ancora non approvato, e che, se anche vedesse la luce nel corso del semestre italiano di presidenza della UE, non sarebbe immediatamente adottabile dai paesi membri senza alcun altro intervento. Il regolamento prevede infatti che, qualora gli Stati membri notifichino alla Commissione Europea dei sistemi di ID, questi debbano essere conformi ai requisiti del regolamento stesso mentre resta ferma l’obbligo per ogni Stato membro di accettare gli strumenti che sono stati notificati alla Commissione da parte di altri Stati.

I tempi di adozione del sistema di ID in paesi con un livello di maturità “digitale” superiore al nostro (es: UK), suggeriscono una certa prudenza, considerata l’ampia platea di soggetti e organizzazioni pubbliche e private coinvolte e la delicatezza dei temi da affrontare. Infine, occorrerà prevedere un periodo transitorio durante il quale le PP.AA. dovranno adeguare i propri sistemi all’SPID ed anche in questo caso gli esempi recenti (es: protocollo informatico) non depongono a favore di una tempestività da record, considerate le scarse risorse disponibili per le amministrazioni pubbliche.©

[fancy_heading style=”style2″ size=”small”]Altri articoli di Elio Gullo[/fancy_heading]

Translate »