Cos’è SPID
SPID è il Sistema Pubblico di Identità Digitale che consente a cittadini e imprese di accedere con un’unica identità digitale (username e password) a tutti i servizi online delle Pubbliche Amministrazioni e dei privati aderenti, in maniera semplice e sicura, da qualsiasi dispositivo: computer, tablet e smartphone. Con SPID vanno in soffitta tutte le credenziali diverse finora necessarie per potersi autenticare e accedere ai servizi online della PA. La piattaforma SPID è stata istituita il 24 ottobre 2014 ed è prevista dall’art. 64 del Codice dell’Amministrazione Digitale (CAD). Il suo avvio operativo risale al 15 marzo 2016 (attivati i primi servizi accessibili con SPID).
Da settembre 2019 l’identità digitale SPID può essere usata per l’accesso ai servizi in rete delle pubbliche amministrazioni dell’Unione Europea aderenti ai singoli nodi nazionali. L’Italia è stata il secondo Paese a rendere possibile questo diritto, introdotto dal regolamento eIDAS, a seguito del completamento della procedura di notifica di SPID. Lo SPID diviene quindi uno strumento unico per la nostra identità digitale in tutta l’Unione europea.
SPID è elencata tra le piattaforme abilitanti previste nel Piano Triennale per l’Informatica nella PA.
Il cittadino può ottenere SPID tramite i Gestori di Identità (Identity Provider); una volta completata la procedura di autenticazione il cittadino accede ai Fornitori di Servizi (Service Provider).
Riferimenti normativi
La piattaforma SPID è stata istituita il 24 ottobre 2014 ed è prevista dall’art. 64 del Codice dell’Amministrazione Digitale (CAD) (Decreto Legislativo 7 marzo 2005, n. 82).
Il CAD all’articolo 3-bis (“Identità digitale e Domicilio digitale”) comma 01 stabilisce che “Chiunque ha il diritto di accedere ai servizi on-line offerti dai soggetti di cui all’articolo 2, comma 2, lettere a) e b)[1], tramite la propria identità digitale”. L’Identità digitale (art. 2 del CAD) è la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale secondo le modalità fissate nel decreto attuativo dell’articolo 64 (art. 1, comma 1, lett. u-quater, CAD).
Di seguito, all’articolo 64 “Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni”, stabilisce che “per favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell’Agenzia per l’Italia digitale, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID)”. (comma 2-bis). E nei successivi commi definisce il sistema SPID.
Il Decreto legislativo 26 agosto 2016 n. 179 recante “Modifiche e integrazioni al Codice dell’amministrazione digitale” e il successivo D.lgs. 13 dicembre 2017, n. 217 hanno apportato modifiche al CAD, prevedendo tra l’altro che “l’accesso ai servizi in rete erogati dalle PA, è consentito mediante SPID oppure tramite l’utilizzo della carta d’identità elettronica e la carta nazionale dei servizi”.
Il comma 2-sexies stabiliva che, con decreto del Presidente del Consiglio dei ministri, venissero definite le caratteristiche del sistema SPID, mentre il comma 3-bis stabiliva che, con decreto del Presidente del Consiglio dei ministri o del Ministro per la semplificazione e la pubblica amministrazione, venisse fissata la data a partire da cui le identità digitali sarebbero diventate l’unico strumento di identificazione per accedere ai servizi online di PA e gestori di servizi pubblici.
Nel 2014 è arrivato il Decreto attuativo dell’art. 64, comma 2-sexies del CAD: si tratta del DPCM 24 ottobre 2014 Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese”. Con il DPCM 24 ottobre 2014 il sistema SPID è divenuto operativo.
Il 28 luglio 2015, con la Determinazione n. 44/2015, sono stati emanati da AgID i quattro regolamenti (accreditamento gestori, utilizzo identità pregresse, modalità attuative, regole tecniche) previsti dall’articolo 4, commi 2, 3 e 4 del DPCM 24 ottobre 2014.
SPID e PA: dal 1°marzo 2021 addio PIN
Il Decreto Semplificazioni (decreto legge n 76/2020), stabilisce che a partire dal 1 marzo 2021, tutte le amministrazioni locali e centrali, gli enti pubblici e le agenzie, debbano consentire ai cittadini di accedere ai propri servizi digitali previa identificazione informatica effettuata esclusivamente attraverso il Sistema pubblico per l’identità digitale (SPID), ovvero tramite la Carta d’Identità Elettronica (CIE).
L’art. 24 del Decreto prevede infatti l’equiparazione di SPID e CIE e indica il 28 febbraio 2021 quale data per lo switch off delle modalità diverse di identificazione per l’accesso ai servizi online delle pubbliche amministrazioni (novella all’art. 64 del CAD). Dal 28 febbraio 2021, quindi, le amministrazioni non potranno più rilasciare o rinnovare credenziali per l’identificazione e l’accesso dei cittadini ai propri servizi in rete diverse da SPID o CIE, fermo restando l’utilizzo di quelle già rilasciate fino alla loro naturale scadenza e, comunque, non oltre il 30 settembre 2021.
Il modello federato e gli attori di SPID
SPID si basa su un modello federato e collaborativo. Ecco i soggetti partecipanti alla federazione SPID (art. 3, DPCM 24 ottobre 2014):
- i gestori dell’identità digitale (identity provider): persone giuridiche accreditate dall’AgID che, in qualità di gestori di servizio pubblico, previa identificazione certa dell’utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente per la propria identificazione informatica. Cittadini e imprese possono scegliere liberamente il proprio gestore di identità digitale;
- i gestori degli attributi qualificati: i soggetti accreditati ai sensi dell’art. 16 che hanno il potere di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi. Sono quindi soggetti che in base ad una norma hanno il potere di attestare qualifiche, stati personali, poteri di persone fisiche (per esempio gli Ordini e i collegi professionali, gli Albi, le Camere di Commercio, i Consigli nazionali e le pubbliche amministrazioni);
- i fornitori di servizi: questi, al fine di erogare servizi online, inoltrano le richieste di identificazione informatica dell’utente ai gestori dell’identità digitale e ne ricevono l’esito. I fornitori di servizi aderiscono a SPID tramite apposita convenzione (art. 13, DPCM 24 ottobre 2014) e possono essere:
- pubbliche amministrazioni: L’accesso ai servizi in rete erogati dalle pubbliche amministrazioni che richiedono identificazione informatica avviene tramite SPID (art. 64, comma 2-quater, CAD);
- soggetti privati: è altresì riconosciuta ai soggetti privati, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell’identità digitale dei propri utenti (art. 64, comma 2-quinquies, CAD)
- AgID (ruolo definito da art. 4, DPCM 24 ottobre 2014): cura l’attivazione dello SPID, gestendo in particolare l’accreditamento degli identity provider e dei gestori di attributi qualificati (tramite apposite convenzioni); aggiorna il registro SPID (che contiene la lista delle entità che hanno superato il processo di accreditamento per entrare nella federazione SPID) e vigila sui soggetti che partecipano allo SPID; stipula apposite convenzioni con soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità;
- gli utenti: persona fisica o giuridica, titolare di un’identità digitale SPID, che utilizza i servizi erogati in rete da un fornitore di servizi, previa identificazione informatica.
La federazione SPID prevede diverse convenzioni per entrare nel circuito, una per ogni tipologia di soggetto, ad esclusione degli utenti.
Gli attributi di SPID: come si identifica l’utente
Gli “attributi” sono le informazioni utilizzate per rappresentare l’identità di un utente, il suo stato, la sua forma giuridica o altre caratteristiche peculiari. Ecco come li individua il DPCM 24 ottobre 2014:
- attributi identificativi:
- persone fisiche: nome, cognome, luogo e data di nascita, sesso, codice fiscale, estremi del documento d’identità utilizzato ai fini dell’identificazione
- persone giuridiche: ragione o denominazione sociale, sede legale, partita IVA
- attributi secondari: il numero di telefonia fissa o mobile, l’indirizzo di posta elettronica, il domicilio fisico e digitale, nonché eventuali altri attributi individuati da Agid funzionali alle comunicazioni;
- attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati.
Gli attributi obbligatori per l’identità digitale SPID sono: codice identificativo; attributi identificativi; almeno un attributo secondario (funzionale alle comunicazioni tra il gestore dell’identità digitale e l’utente).
SPID E PA
Quali sono i vantaggi di SPID per la PA
SPID è una piattaforma abilitante di semplificazione tecnologica, che garantisce efficienza organizzativa e aiuta a ridurre i costi di gestione legati a sistemi di identificazione gestiti autonomamente.
Garantisce elevati standard di sicurezza, sia in fase di autenticazione che di accesso ai servizi, perché si basa su un solido schema architetturale che rispetta degli standard di design e di sicurezza garantiti dai gestori di identità (identity provider) che sono soggetti accreditati da AgID e da essa vigilati.
Come diventare fornitore di servizi
Il percorso per diventare “fornitore di servizi” (service provider) di SPID avviene attraverso l’interlocuzione e il supporto di AgID, e si compone di due procedure da completare: una tecnica e una amministrativa.
Per le amministrazioni che non possono aderire direttamente al sistema SPID, è possibile rivolgersi ai soggetti aggregatori riconosciuti da AgID.
Sono due le figure di riferimento necessarie e coinvolte in questo processo: il referente tecnico per tutte le attività di implementazione del sistema di autenticazione SPID; il rappresentante legale (o dipendente dotato di potere di firma) per la firma della convenzione.
L’accesso ai servizi avviene attraverso l’implementazione di SPID, la scelta del livello di sicurezza e della tipologia di identità digitale necessari (del cittadino o professionale) a seconda dei servizi e degli utenti.
Su Developers Italia sono disponibili le risorse utili a cui fare riferimento per l’integrazione di SPID.
La scelta del livello di sicurezza e della tipologia di identità digitale
Per abilitare l’accesso ai servizi tramite SPID l’amministrazione, nel percorso di implementazione dell’identità digitale, deve scegliere il livello di sicurezza relativo al proprio servizio e la tipologia di identità digitale necessaria per fruirne. La scelta della tipologia di identità consente di distinguere l’accesso ai servizi per categorie di soggetti, caratterizzando l’offerta per i cittadini o i lavoratori.
Ecco i tre livelli incrementali di sicurezza tra cui scegliere:
- il primo livello consiste nell’identificazione dell’utente tramite le credenziali SPID (nome utente e password scelta da lui scelta);
- il secondo livello prevede invece, oltre alle credenziali SPID, anche la digitazione di una OTP (One Time Password) inviata sul momento o l’uso di un’APP fruibile attraverso un dispositivo, come ad esempio uno smartphone, garantendo l’autenticazione con un grado di affidabilità e sicurezza maggiore e con conseguenti maggiori possibilità d’azione (es. accesso e download di documenti personali e/o inoltro di richieste alla PA);
- il terzo livello rappresenta il più elevato grado di sicurezza, prevedendo l’utilizzo di ulteriori soluzioni di sicurezza o di eventuali dispositivi fisici (es. smart card) che vengono erogati dal gestore dell’identità e consente ad esempio la sottoscrizione di contratti verso le PA.
Ecco le due tipologie di identità digitale (non escludenti):
- SPID del cittadino. Durante il processo di autenticazione, SPID veicola solo i dati della “persona fisica” (ad esempio nome, cognome, codice fiscale, mail, etc);
- SPID ad uso professionale. Con questa tipologia possono essere veicolati, oltre ai dati della persona fisica, anche i dati della persona giuridica (ad esempio la partita iva, la tipologia societaria, etc). Con quest’ultima il Sistema Pubblico di Identità Digitale potrà essere utilizzato anche per questioni lavorative, non solo per scopi privati.
Login with eIDAS: quando si deve aderire
Il Regolamento eIDAS (electronic IDentification Authentication and Signature) – Regolamento UE n° 910/2014 sull’identità digitale – ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli stati membri.
L’AgID ha ultimato il processo che consente ai cittadini italiani di utilizzare la propria identità digitale SPID con credenziali di livello 2 e 3 (è facoltà degli Stati membri accettare il livello 1) per accedere ai servizi in rete delle pubbliche amministrazioni europee. Tale diritto decorre dal 10 settembre 2019.
Tutte le pubbliche amministrazioni che rendono accessibili i propri servizi online con credenziali SPID di livello 2 o 3 (o attraverso la CIE), devono quindi obbligatoriamente rendere accessibili i servizi anche con gli strumenti di autenticazione notificati dagli altri Stati membri (art. 6 Reg. UE 910/2014), aderendo al nodo italiano “Login with eIDAS”.
Il nodo eIDAS si basa sull’interoperabilità transfrontaliera delle identità digitali (eID) e la sua implementazione consente: ai cittadini italiani di utilizzare le proprie credenziali SPID o CIE per accedere ai servizi pubblici online offerti dai vari stati membri dell’Unione Europea; ai cittadini europei di utilizzare i propri schemi di identità nazionale per accedere ai servizi online della Pubblica Amministrazione italiana.
Chi sono i soggetti aggregatori
Alcune amministrazioni possono necessitare di supporto per aderire al sistema SPID e possono per questo rivolgersi ai soggetti aggregatori riconosciuti da AgID: Pubbliche Amministrazioni, o privati, che offrono a terzi (soggetti aggregati, ad esempio i piccoli comuni) la possibilità di rendere accessibili i servizi con SPID in due modalità non escludenti:
- “light”, in cui esegue solo l’autenticazione con SPID;
- “full”, in cui, oltre ad eseguire l’attività di autenticazione, ospita l’intero servizio.
Chi è il Responsabile della verifica dell’identità – Registration Authority Officer (RAO)
È una pubblica amministrazione che può verificare gratuitamente, presso i propri uffici, l’identità personale dei cittadini che vogliono dotarsi di SPID e agevolarli nella prima fase di identificazione.
I cittadini si recano presso lo sportello pubblico delle amministrazioni aderenti per farsi riconoscere, ricevono via e-mail un file (token) che possono usare da casa per richiedere e ottenere l’identità SPID presso uno dei gestori aderenti al sistema.
Per aderire al modello RAO pubblico, l’amministrazione deve seguire la procedura indicata da AgID.
Sono disponibili le Linee Guida AgID per la realizzazione di un modello di R.A.O. pubblico.
Sul sito di SPID sono disponibili le amministrazioni attive e i gestori di identità abilitati.
SPID E CITTADINI
Quali sono i vantaggi di SPID per gli utenti
Con SPID cittadini e imprese possono accedere ai servizi online in maniera: semplice, grazie a un unico set di credenziali per tutti i servizi digitali della PA; sicura, grazie ai protocolli di sicurezza stabiliti da AgID su tutto il processo di autenticazione e di fruizione dei servizi; tutelata, in quanto la privacy dei dati è garantita e vigilata dal Garante per la protezione dei dati personali e i dati personali comunicati al gestore di identità non possono essere utilizzati per scopi commerciali, né possono essere utilizzati e ceduti a terze parti senza l’autorizzazione dell’utente. Inoltre SPID è anche la chiave di accesso ai servizi europei.
Come richiedere SPID
Tutti i cittadini maggiorenni possono attivare SPID rivolgendosi ad uno dei gestori dell’identità digitale riconosciuti da AgID. I gestori d’identità forniscono diverse tipologie di attivazione e tre diversi livelli di sicurezza tra cui scegliere.
Per il rilascio di SPID è necessario avere con sé: un documento di riconoscimento italiano in corso di validità (carta d’identità elettronica, passaporto, patente); la tessera sanitaria con il codice fiscale (oppure il certificato di attribuzione).
Si deve inoltre comunicare un indirizzo e-mail personale e un numero di cellulare ad uso personale.
Le modalità di riconoscimento attive sono:
- di persona presso gli uffici dei gestori di identità digitale (identity provider);
- via webcam con operatore messo a disposizione dal provider o con un selfie audio-video insieme al versamento di un bonifico bancario;
- con Carta d’Identità Elettronica (CIE) o un passaporto elettronico, identificandosi attraverso le app dei gestori
- scaricabili dagli store;
- con CIE, Carta Nazionale dei Servizi (CNS) -è possibile usare anche la tessera sanitaria-, firma digitale con l’ausilio di un lettore (ad esempio la smart card) e del relativo pin.
Tutte le procedure di attivazione sono disponibili sul sito di SPID.
In alternativa ci si può recare presso una delle pubbliche amministrazioni che possono svolgere le procedure per l’identificazione, consentendo quindi il rilascio successivo di SPID.
Quanto costa lo SPID?
Esistono modalità gratuite o a pagamento per il rilascio di SPID, che si possono conoscere prima di scegliere il gestore. Una volta ottenuto, l’utilizzo di SPID è gratuito, nessun costo o canone è richiesto al cittadino.
Per conoscere quali sono le modalità gratuite e quelle a pagamento si può consultare la lista di tutti gli identity provider abilitati.
Service Provider: quali sono già attivi?
Ad oggi (marzo 2021) sono 9 i gestori di identità digitale a cui poter richiedere SPID: Aruba, In.Te.S.A., InfoCert, Lepida, Namirial, Poste Italiane, Register, Sielte, TI Trust Technologies (Certification Authority del gruppo TIM).
Quante sono le identità SPID già erogate?
Sul sito di monitoraggio dei progetti di trasformazione digitale è possibile conoscere il numero sempre aggiornato delle Identità SPID erogate, di gestori di identità digitale attivi, delle amministrazioni e dei fornitori di servizi privati attivi.
[1] pubbliche amministrazioni e gestori di servizi pubblici
L'articolo SPID (Sistema Pubblico di Identità Digitale): tutto quello che devi sapere proviene da FPA.
0 Commentaires