Domande Frequenti (FAQ) su

(A cosa serve SPID, come è fatto e perchè,
spiegato alla mia famiglia)

A cosa serve questa guida/FAQ? (qui la versione in PDF)

Nel 2013 fui eletto in parlamento e proposi il sistema che oggi è SPID.

Mia moglie ha pensato di farsi un account SPID per accedere al fascicolo sanitario e qualche altro servizio. Mi ha chiesto di spiegarle come funziona e il perché di certe cose che le sembravano complicazioni inutili (ad esempio perché usare un generatore di codici sul cellulare – “autenticazione a due fattori”).

Dopo che le ho spiegato tutto, rispondendo alle sue domande, ho provato a vedere online se c’era una simile guida/FAQ e non ho trovato nulla che rispondesse a tutto.

E allora, di getto, ho scritto queste FAQ che ho integrato anche con qualche domanda giuntami su twitter. (se avete altre domande, scrivetele pure nei commenti).
Spero vi sia utile!

Stefano Quintarelli (vai al blog)

21 thoughts on “FAQ su SPID, da chi l’ha inventato”

  1. Buongiorno e grazie per queste FAQ

    Segnalo un minuscolo errore di battitura:
    Una *orima* ragione riguarda la tenuta del sistema (nella risposta alla domanda “Perché ci sono tanti fornitori di servizi di autenticazione? Perché anche privati?”)

  2. Un risultato impressionante considerato che nasce da una geniale intuizione di un singolo, quasi casualmente “prestato” alla politica e con uno sforzo di volontà e collaborazione di individui dotati di mentalità aperta e sincero spirito di servizio. Ispirato poi a principi costituzionali spesso ignorati o trascurati. Grazie Quinta

  3. Una cortesia, non ho trovato una risposta chiara, forse negligenza mia nel cercare.
    Nel caso di persona invalida al 100% l’amministratore di sostegno nominato può e se sì come può richiedere uno SPID o una delega sul proprio SPID a operare per conto di quella persona?
    Grazie

    1. Stefano Quintarelli

      non ho idea come si faccia, ma è un caso che va affrontato e risolto, se non è stato fatto.
      la strada giusta per questo tipo di quesiti e’ mandare una PEC all’AgiD all’attenzione del Comitato di Indirizzo

    2. Grazie della domanda Matteo,
      avrà modo di indirizzarmi la risposta a questo quesito?

      Già solo il fatto che non vi è modo di contattare AgiD senza PEC, che non vi è un indirizzo generico (tipo info@agid.gov.it) né una lista di referenti della divisione è” impensabile”

  4. Sull’origine dei principi e delle soluzioni tecniche su cui si basa SPID, avendo tu citato il prof. Osnaghi e Massimiliano Pianciamore, bisogna dare atto e ricordare che nel 2001 venne varato il progetto PEOPLE che per primo conteneva l’idea di un sistema di identità “federato” e nel 2005 venne scritta da Pianciamore e Osnaghi la specifica del sistema SIRAC (Servizi Infrastrutturali di Registrazione Autenticazione e Comunicazione) basato su SAML 1.1.
    In Regione Lombardia ne facemmo riuso e creammo il sistema IdPC, sistema di gestione delle identità “federato” per le CNS, che andò live ad aprile 2006.
    A seguire le regioni fecero il progetto “inter-regionale” ICAR in cui il layer INF3 era un IdP basato su SAML 1.1 da cui poi nacquero diversi sistemi quali Federa di Regione Emilia Romagna ed altri.
    Nel 2012 all’interno delle regioni italiane c’era una esperienza ormai di molti anni sulla gestione di sistemi per l’identità “federata” basata su SAML.
    L’idea di “accreditare” soggetti privati a cui delegare il ruolo di IdP è la vera novità dell’ìmpianto di SPID, ma dal punto di vista tecnico era quasi tutto già stato fatto.
    Un abbraccio
    Daniele Crespi

    1. Stefano Quintarelli

      non solo.
      andai a cercare Sandro proprio per questo.
      ci sono alcune differenze nei dettagli (non tecnologici) di cui discutemmo.
      imparare dal passato e da chi ne sa più di te è sempre cosa buona…
      🙂

  5. L’unico aspetto che è restato fallimentare dell’architettura SPID è quello dei gestori di attributi qualificati, non è casuale che l’accesso alla pagina di indice
    https://registry.spid.gov.it/api/attribute-authorities generi un bell’errore. La mancanza di gestori di attributi qualificati la dice lunga sulla capacità di erogare servizi delle pubbliche amministrazioni. Certificare un attributo richiede non solo capacità tecnologiche (che si possono anche comperare all’esterno) ma anche un rigoroso controllo dei processi di produzione del dato (e qui casca l’asino).
    Alla tua breve lista di possibili gestori aggiungo un’auspicabile estensione:
    * Le Camere di commercio potrebbero certificare il ruolo di un soggetto in una azienda
    * Le PA potrebbero certificare i ruoli negli organi di governo e nell’organigramma

    1. Stefano Quintarelli

      questo è un problema di uovo e gallina al cubo…
      non puoi dire che sia fallimentare l’architettura semplicemente perche’ non ci sono ancora. (e quindi le -scarsissime- risorse e l’attenzione sono concentrate su altro, soprattutto in tempi straordinari come gli anni di covid e di predisposizione al pnrr)
      sarebbe come dire che e’ fallimentare aver previsto le finestre perche’ non ci sono i serramenti.
      arriveranno…
      certamente il nocciolo della qualità del dato non mi sfugge. ma l’alternativa è non fare.
      rendere il dato disponibile all’utente (secondo me importante il wallet – secondo framework – SSI in mano all’utente, collegato all’IdP) consente di mitigare gli effetti della bassa qualità dei dati, nel contempo non alterando equilibri di potere (che sono più ostici da modificare ch enon la bonifica dei dati, che comunque nel tempo andra’ fatta; sara’ un processo lungo che convergerà verso la correttezza – sapendo che non sarà mai 100%)
      i due esempi che citi sono attribute provision, per l’appunto.

  6. Buonasera! Dopo aver letto questa pagina di FAQ su SPID mi sono sorti alcuni dubbi sul grado di effettiva sicurezza del sistema SPID.
    In particolare leggo qui:

    https://blog.bit4id.com/spid-il-gestore-dell-identita-digitale/.

    che le condizioni per “accreditarsi” come gestori dell’identità digitale sono proibitive dal punto di vista sia economico che strutturale, e soprattutto non prevedono la partecipazione di alcuna realtà no profit al gioco.

    Perché ritengo che questo sia un problema?

    Fermo restando che l’unico database sicuro al 100% è quello che sta offline, come seconda istanza, il fatto di poter creare un proprio server di identificazione permetterebbe ai cittadini di ritirare l’accesso ai propri dati in qualsiasi momento se ritenesse che la PA o l’identity provider non sia più degno di fiducia. Attualmente, invece, il meccanismo di controllo mi pare si basi sulla legge ordinaria, col risultato di necessitare tempi e costi tali da scoraggiare la maggioranza dei cittadini.

    Per essere chiaro, quella che sto auspicando è un’architettura simile al progetto Solid di Tim Berners Lee o al Fediverso.
    Mancando questa possibilità, il rischio è che il sistema SPID finisca per promuovere ancora la cessione del controllo sui dati, in stile Web2.0.

    Aveva pensato a questo problema in fase di design?

    Se no, pensa sia possibile/desiderabile un’evoluzione di SPID in questo senso?
    Grazie.

    1. Stefano Quintarelli

      Quell’articolo è datato. I requisiti sono cambiati. Comunque deve essere soggetto pubblico o società di capitali
      https://duckduckgo.com/?q=MODALIT%C3%80+PER+L%E2%80%99ACCREDITAMENTO+E+LA+VIGILANZA+DEI+GESTORI+DELL%E2%80%99IDENTITA%E2%80%99+DIGITALE++site%3Aagid.gov.it&t=newext&atb=v294-1&ia=web
      Il requisito del capitale sociale elevato è venuto meno a seguito di un ricorso.

      L’utente SPID puo’ sempre sospendere o revocare il proprio account direttamente dal sito del gestore che aveva scelto.

      Solid e Mastodon sono cose molto diverse…Pero’ l’insieme degli IdP e’ una federazione.

      Qui non c’è alcuna cessione di dati. Ci sono sanzioni pesantissime (e anche reati) e ci sono tre soggetti indipendenti che verificano: AgiD, il garante privacy e la magistratura.

  7. Paolo Marchiori

    Riporto qui da un rapido scambio su Twitter la Grande Domanda che scaturisce dalla tua osservazione: “SPID non è come avrei voluto io, ma è il miglior compromesso possibile. Compromesso, in democrazia, è una parola alta.”

    Come lo avresti voluto – terminologia (cfr. primo commento) a parte?

    1. Stefano Quintarelli

      dal punto di vista tecnico avrei voluto subito un wallet associato ad ogni identità digitale (tipo oggi SSI), ed un servizio – tipo dns – di discovery di quali IDP possono autneticare il tuo CF.
      avrei preferito che fosse IDP originated e non SP originated. Ovvero: fai login al tuo IDP, e li’ c’e’ una directory di servizi e da li’ accedi. questo avrebbe contribuito ad una migliore sostenibilità economica nel tempo.
      poi avrei voluto che una identità digitale potesse essere creata non solo con un procedimento di KYC e con CIE ma anche un’altra identità digitale. (facilita la concorrenza che cosi’ spinge a migliorare i servizi) e che il generatore OTP potesse fornire anche altri servizi fiduciari (firma, conservazione, recapito…)
      e altre cose minori…

  8. Da cittadino sono abbastanza soddisfatto del sistema, sono anche riuscito a insegnare come si usa ai miei genitori (che hanno una certa età e non sono molto avezzi alla tecnologia), lo trovo molto comodo, ma questo è forse anche influenzato dal fatto che sono nato durante la bolla del dot-com.

    L’unica critica riguarda la generazione dei codici OTP. Dal punto di vista di un utente normale, per esempio i miei genitori, non ci sono problemi con l’applicazione fornita dal provider, ma da un punto di vista di un utente più “informatico” è una vera scocciatura avere un’applicazione proprietaria limitata ai soli sistemi Android (e spesso non tutte le sue varianti come la LineageOS) e iOS. Il motivo è che i provider usano lo stesso standard TOTP e basta avere un’applicazione che genera OTP qualsiasi. Secondo me si doveva fornire la possibilità al cittadino di usare o l’applicazione proprietaria del provider o un’applicazione che genera OTP di terze parti. È vero che ci sono metodi di reverse engineering[0] per fare in modo di evitare di usare l’applicazione, ma sono metodi di appannaggio solo per chi sa la materia in questione, cioè in pochissimi.

    [0]: Un esempio è questo articolo in cui vengono analizzati alcuni provider, io personalmente sono riuscito a fare lo stesso con un altro provider non citato nell’articolo: https://blog.jacopo.io/it/post/spid-google-authenticator/

  9. Intanto Grazie.
    Grazie per essere riuscito a rendere reale un sistema, di fondo “semplice”, efficente ed efficace alla portata di tutti.
    C’è un ma… e non è un ma personale ma “diffuso” in alcuni utilizzatori di SPID: se io lavoro per un’azienda privata e devo accedere per lavoro a dei servizi, perché devo usare il mio spid personale non posso averne uno aziendale? Perché mica voglio che i miei dati personali (leggasi fasciolo sanitario) possano essere letti in caso di furto di credenziali!
    Pur provando a spiegare che non è il SP, ne tanto meno l’azienda che autentica l’utente e, con tutti i miei limiti, provando a spiegare che lo SPID identifica sempre la persona fisica, al limite associata alla persona giuridica (SPID di tipo 3), ma ci sono persone che insistono che dovrebbe essere l’azienda a fornire uno SPID di tipo 2 (che non mi pare trovi applicazione in nessun SP) o di tipo 4 (che in ogni caso identifica la PF e anche la PG, ma non solo la seconda e in ogni caso nessun SP attualmente lo prevede).
    Siccome insistono, anche sul potere di delega rispetto all’uso di SPID professionale, e io continuo a provare a spiegare che in ogni caso è il SP che decide come e chi si deve e può autenticare, al limite inibendo l’accesso agli utenti “non professionali” o inibendo l’accesso agli altri, adducendo fantomatici problemi di responsabilità legale nell’uso di SPID personale per cose di laoro (ps persone che spesso usano la propria patente per guidare auto aziendali…), come posso fare compredere in modo “for dummies” che la loro “convinzione” non trova fondamento, o meglio che il sistema è tale per cui lo SPID è “analogo” all’uso di una documento fisico atto a riconoscere una persona, che magari in quel preciso momento svolge attività lavorative per un’azienda?

    Spero di essere stato chiaro e spero che possa derimere questo dubbio di alcuni.

    Grazei ancora

    1. Stefano Quintarelli

      personalmente non sono d’accordo sulla differenziazione SPID per persona fisica e per persona giuridica.
      è stata una scorciatoia dettata dalla mancanza, al momento, della possibilita’ di delega.
      non potendo delegare accessi in azienda (dall’AD a un collaboratore, per esempio), si e’ pensato di fare delle credenziali “aziendali” che potessero essere date al collaboratore con un semplice verbale interno all’azienda.
      spero che in futuro si possa superare la doppia categoria, implementando le deleghe.

  10. Buongiorno, si potrebbe avere una versione semplificata di questa pagina, magari in pdf, come era stato fatto per il post “Mo’ scendo”? Non tanto per stamparla fisicamente, quanto perché volevo salvarmela in un formato comodo, e non sono riuscito a trovare un trucco per stampare la pagina con tutte le FAQ aperte

Leave a Reply

Your email address will not be published.