Domande Frequenti (FAQ) su

(A cosa serve SPID, come è fatto e perchè,
spiegato alla mia famiglia)

A cosa serve questa guida/FAQ?

Nel 2013 fui eletto in parlamento e proposi il sistema che oggi è SPID.

Mia moglie ha pensato di farsi un account SPID per accedere al fascicolo sanitario e qualche altro servizio. Mi ha chiesto di spiegarle come funziona e il perché di certe cose che le sembravano complicazioni inutili (ad esempio perché usare un generatore di codici sul cellulare – “autenticazione a due fattori”).

Dopo che le ho spiegato tutto, rispondendo alle sue domande, ho provato a vedere online se c’era una simile guida/FAQ e non ho trovato nulla che rispondesse a tutto.

E allora, di getto, ho scritto queste FAQ che ho integrato anche con qualche domanda giuntami su twitter. (se avete altre domande, scrivetele pure nei commenti).
Spero vi sia utile!

Stefano Quintarelli (vai al blog)

12 thoughts on “FAQ su SPID, da chi l’ha inventato”

  1. Buongiorno e grazie per queste FAQ

    Segnalo un minuscolo errore di battitura:
    Una *orima* ragione riguarda la tenuta del sistema (nella risposta alla domanda “Perché ci sono tanti fornitori di servizi di autenticazione? Perché anche privati?”)

  2. Un risultato impressionante considerato che nasce da una geniale intuizione di un singolo, quasi casualmente “prestato” alla politica e con uno sforzo di volontà e collaborazione di individui dotati di mentalità aperta e sincero spirito di servizio. Ispirato poi a principi costituzionali spesso ignorati o trascurati. Grazie Quinta

  3. Una cortesia, non ho trovato una risposta chiara, forse negligenza mia nel cercare.
    Nel caso di persona invalida al 100% l’amministratore di sostegno nominato può e se sì come può richiedere uno SPID o una delega sul proprio SPID a operare per conto di quella persona?
    Grazie

    1. Stefano Quintarelli

      non ho idea come si faccia, ma è un caso che va affrontato e risolto, se non è stato fatto.
      la strada giusta per questo tipo di quesiti e’ mandare una PEC all’AgiD all’attenzione del Comitato di Indirizzo

  4. Sull’origine dei principi e delle soluzioni tecniche su cui si basa SPID, avendo tu citato il prof. Osnaghi e Massimiliano Pianciamore, bisogna dare atto e ricordare che nel 2001 venne varato il progetto PEOPLE che per primo conteneva l’idea di un sistema di identità “federato” e nel 2005 venne scritta da Pianciamore e Osnaghi la specifica del sistema SIRAC (Servizi Infrastrutturali di Registrazione Autenticazione e Comunicazione) basato su SAML 1.1.
    In Regione Lombardia ne facemmo riuso e creammo il sistema IdPC, sistema di gestione delle identità “federato” per le CNS, che andò live ad aprile 2006.
    A seguire le regioni fecero il progetto “inter-regionale” ICAR in cui il layer INF3 era un IdP basato su SAML 1.1 da cui poi nacquero diversi sistemi quali Federa di Regione Emilia Romagna ed altri.
    Nel 2012 all’interno delle regioni italiane c’era una esperienza ormai di molti anni sulla gestione di sistemi per l’identità “federata” basata su SAML.
    L’idea di “accreditare” soggetti privati a cui delegare il ruolo di IdP è la vera novità dell’ìmpianto di SPID, ma dal punto di vista tecnico era quasi tutto già stato fatto.
    Un abbraccio
    Daniele Crespi

    1. Stefano Quintarelli

      non solo.
      andai a cercare Sandro proprio per questo.
      ci sono alcune differenze nei dettagli (non tecnologici) di cui discutemmo.
      imparare dal passato e da chi ne sa più di te è sempre cosa buona…
      🙂

  5. L’unico aspetto che è restato fallimentare dell’architettura SPID è quello dei gestori di attributi qualificati, non è casuale che l’accesso alla pagina di indice
    https://registry.spid.gov.it/api/attribute-authorities generi un bell’errore. La mancanza di gestori di attributi qualificati la dice lunga sulla capacità di erogare servizi delle pubbliche amministrazioni. Certificare un attributo richiede non solo capacità tecnologiche (che si possono anche comperare all’esterno) ma anche un rigoroso controllo dei processi di produzione del dato (e qui casca l’asino).
    Alla tua breve lista di possibili gestori aggiungo un’auspicabile estensione:
    * Le Camere di commercio potrebbero certificare il ruolo di un soggetto in una azienda
    * Le PA potrebbero certificare i ruoli negli organi di governo e nell’organigramma

    1. Stefano Quintarelli

      questo è un problema di uovo e gallina al cubo…
      non puoi dire che sia fallimentare l’architettura semplicemente perche’ non ci sono ancora. (e quindi le -scarsissime- risorse e l’attenzione sono concentrate su altro, soprattutto in tempi straordinari come gli anni di covid e di predisposizione al pnrr)
      sarebbe come dire che e’ fallimentare aver previsto le finestre perche’ non ci sono i serramenti.
      arriveranno…
      certamente il nocciolo della qualità del dato non mi sfugge. ma l’alternativa è non fare.
      rendere il dato disponibile all’utente (secondo me importante il wallet – secondo framework – SSI in mano all’utente, collegato all’IdP) consente di mitigare gli effetti della bassa qualità dei dati, nel contempo non alterando equilibri di potere (che sono più ostici da modificare ch enon la bonifica dei dati, che comunque nel tempo andra’ fatta; sara’ un processo lungo che convergerà verso la correttezza – sapendo che non sarà mai 100%)
      i due esempi che citi sono attribute provision, per l’appunto.

  6. Buonasera! Dopo aver letto questa pagina di FAQ su SPID mi sono sorti alcuni dubbi sul grado di effettiva sicurezza del sistema SPID.
    In particolare leggo qui:

    https://blog.bit4id.com/spid-il-gestore-dell-identita-digitale/.

    che le condizioni per “accreditarsi” come gestori dell’identità digitale sono proibitive dal punto di vista sia economico che strutturale, e soprattutto non prevedono la partecipazione di alcuna realtà no profit al gioco.

    Perché ritengo che questo sia un problema?

    Fermo restando che l’unico database sicuro al 100% è quello che sta offline, come seconda istanza, il fatto di poter creare un proprio server di identificazione permetterebbe ai cittadini di ritirare l’accesso ai propri dati in qualsiasi momento se ritenesse che la PA o l’identity provider non sia più degno di fiducia. Attualmente, invece, il meccanismo di controllo mi pare si basi sulla legge ordinaria, col risultato di necessitare tempi e costi tali da scoraggiare la maggioranza dei cittadini.

    Per essere chiaro, quella che sto auspicando è un’architettura simile al progetto Solid di Tim Berners Lee o al Fediverso.
    Mancando questa possibilità, il rischio è che il sistema SPID finisca per promuovere ancora la cessione del controllo sui dati, in stile Web2.0.

    Aveva pensato a questo problema in fase di design?

    Se no, pensa sia possibile/desiderabile un’evoluzione di SPID in questo senso?
    Grazie.

    1. Stefano Quintarelli

      Quell’articolo è datato. I requisiti sono cambiati. Comunque deve essere soggetto pubblico o società di capitali
      https://duckduckgo.com/?q=MODALIT%C3%80+PER+L%E2%80%99ACCREDITAMENTO+E+LA+VIGILANZA+DEI+GESTORI+DELL%E2%80%99IDENTITA%E2%80%99+DIGITALE++site%3Aagid.gov.it&t=newext&atb=v294-1&ia=web
      Il requisito del capitale sociale elevato è venuto meno a seguito di un ricorso.

      L’utente SPID puo’ sempre sospendere o revocare il proprio account direttamente dal sito del gestore che aveva scelto.

      Solid e Mastodon sono cose molto diverse…Pero’ l’insieme degli IdP e’ una federazione.

      Qui non c’è alcuna cessione di dati. Ci sono sanzioni pesantissime (e anche reati) e ci sono tre soggetti indipendenti che verificano: AgiD, il garante privacy e la magistratura.

Leave a Reply

Your email address will not be published.