Domande Frequenti (FAQ) su
(A cosa serve SPID, come è fatto e perchè,
spiegato alla mia famiglia)
Aggiornamenti:
Luglio 2022: aggiunte mail storiche e domanda su deleghe
Dicembre 2022: aggiunte varie
Maggio 2023: precisazioni e aggiunta su wallet europeo
A cosa serve questa guida/FAQ? (qui la versione in PDF)
Nel 2013 fui eletto in parlamento e proposi il sistema che oggi è SPID.
Mia moglie ha pensato di farsi un account SPID per accedere al fascicolo sanitario e qualche altro servizio. Mi ha chiesto di spiegarle come funziona e il perché di certe cose che le sembravano complicazioni inutili (ad esempio perché usare un generatore di codici sul cellulare – “autenticazione a due fattori”).
Dopo che le ho spiegato tutto, rispondendo alle sue domande, ho provato a vedere online se c’era una simile guida/FAQ e non ho trovato nulla che rispondesse a tutto.
E allora, di getto, ho scritto queste FAQ che ho integrato anche con qualche domanda giuntami su twitter. (se avete altre domande, scrivetele pure nei commenti).
Spero vi sia utile!
Stefano Quintarelli (vai al blog)
SPID serve a farsi riconoscere con valore legale da un servizio online della Pubblica Amministrazione e/o di privati e ad accedere ai servizi pubblici online degli altri Stati UE. Di per sé non è un documento d’identità ma quando la Legge impone alla Pubblica Amministrazione di controllare il documento d’identità di chi accede a un servizio, identificarsi con SPID equivale anche a presentarlo.
Perché per accedere a determinati servizi online, in particolare quelli della PA, ma anche dei privati che forniscono servizi regolati dalla Legge, non è sufficiente fornire nome e cognome ed abbinare a questi un numero di telefono/email. Chiunque potrebbe disporre di questi dati. Chi fornisce il servizio deve accertarsi dell’identità del richiedente prima di poter dare l’accesso e dar corso alle richieste del cliente. Questa la ragione per cui la banca o la compagnia telefonica, ad esempio, vuole riconoscerci con un documento di identità.
Nella pubblica amministrazione, prima di SPID, per accedere ad un servizio online, serviva una smartcard (la tesserina di plastica tipo tessera sanitaria) con un pin/password. Una cosa macchinosa sia nella fornitura che nell’uso. Dove abito io la tessera sanitaria veniva spedita a casa, poi si doveva andare all’ASL a farsi riconoscere e a farsi consegnare un pezzo di codice e poi ti arrivava per posta un altro pezzo di codice e solo allora si poteva iniziare l’uso. Per usare questo tipo di carta però avevi bisogno di un lettore di smartcard (che praticamente nessuno aveva ).
I servizi erano pochissimi e scarni perché gli utenti erano pochi. Ed è anche vero che gli utenti rimanevano pochi perché c’erano pochissimi servizi. Il lettore di tessere e la procedura di fornitura erano degli ostacoli che scoraggiavano quasi tutti (la provincia di Trento è l’eccezione che conferma la regola).
Per l’amministrazione non si tratta solo di fornire le credenziali. A volte gli utenti le perdono (o le persone muoiono) e quindi vanno revocate. Riconoscere a vista la persona, fornire le credenziali, gestire le loro sospensioni e revoche, il tutto per tutti i cittadini, è una attività costosissima per una pubblica amministrazione o un privato che voglia fornire un servizio online.
Tanti servizi pubblici sono gestiti con dei computer e dei database e sarebbero candidati ideali per essere messi online. Un motivo rilevante per cui non sono ancora erogati online al pubblico è proprio perché gestire il rilascio e la sicurezza delle credenziali specifiche per ogni servizio avrebbe un costo proibitivo, per cui il gioco non vale la candela.
Facevo sempre un esempio per chiarire: molti di noi hanno la tomba dei propri cari in un comune di origine e lì ci sono spese da sostenere e talvolta, esumazioni. Questi dati stanno all’interno di un piccolo server, ma non avrebbe senso renderli accessibili online perché gestire il “ciclo di vita” delle credenziali avrebbe un costo incredibilmente sproporzionato.
Il costo di rilasciare e mantenere in vita credenziali informatiche è infatti estremamente elevato e di fatto si giustificava solo quando erano in ballo servizi critici quali la sanità o la giustizia.
Ecco dunque l’idea: mettere a fattor comune il costo di gestione delle credenziali informatiche, così da abilitare la realizzazione e pubblicazione online pressoché di qualsiasi servizio.
Questo è SPID: un sistema di autenticazione che consente ad ogni amministrazione di concentrarsi sui servizi che deve erogare e non sulla gestione delle credenziali.
Ma non solo.
Desideriamo tutti che la pubblica amministrazione non ci chieda più informazioni che ci riguardano che essa abbia già in suo possesso. Molto più facile a dirsi che a farsi. Sia per questioni di privacy che per correttezza dei dati contenuti nei database sia perché i database non usano criteri omogenei.
Se andiamo all’università, la chiave di accesso ai database è il numero di matricola, se andiamo in comune il numero di carta di identità, alla motorizzazione il numero della patente, all’ospedale il numero di tessera sanitaria, all’agenzia delle entrate il codice fiscale, e via dicendo.
Rendere accessibili tutti i servizi usando come chiave di accesso il codice fiscale spinge tutte le amministrazioni a creare un substrato comune, una fondamenta per riconoscere quali documenti ci riguardano, in ogni amministrazione. Per inciso SPID, consentendo di identificare le persone, potrà anche consentire a ciascuno (se lo vorrà) di autorizzare un terzo ad accedere a proprie informazioni, superando così anche problemi di privacy nell’accesso ai documenti della PA che ci riguardano.
SPID richiede alcuni controlli sull’identità della persona che deve essere riconosciuta, di persona o a distanza, da un addetto prima che le credenziali siano emesse.
Questo avviene perché c’è bisogno di fiducia e perché SPID garantisce il riconoscimento delle persone e quindi le credenziali non possono che essere rilasciate dopo aver attentamente verificato l’identità di chi le richiede (con i suoi documenti di identità). In questo modo, poi, tutti i servizi online potranno fidarsi che chi usa quelle identità è realmente chi dichiara di essere.
Il fatto che sia estremamente facile registrarsi ai servizi online ci deve far riflettere sulla affidabilità con cui gli stessi ci identificano. In molti servizi chiunque può dichiarare dati anagrafici non corretti e registrarsi senza particolari verifiche. Basterebbe fare una ricerca online per trovare immagini di carte di identità da prendere, crearsi un indirizzo mail corrispondente e poi spacciarsi per qualcun altro.
SPID si basa invece su una verifica de visu di documenti di identità forniti dallo Stato (unico che può rilasciarli) su cui si poggia un servizio di erogazione e autenticazione/verifica delle credenziali. Questo servizio di autenticazione può essere fornito da amministrazioni pubbliche o da privati, in conformità con le regole europee e come già avviene, ad esempio, per la posta elettronica certificata o per la firma digitale.
Con SPID si può accedere infatti (anche) a servizi che gestiscono dati assai privati e che consentono di disporre azioni per cui è necessario essere certi dell’identità del richiedente (pur senza chiedergli di andare presso uno sportello di un ufficio) ad esempio istanze che riguardano i diritti della persona, pagamenti, accessi a procedure amministrative.
Per questo SPID ha tre livelli di “fiducia” crescente, dal solito username/password adatto per i servizi più semplici (livello 1), ad un sistema di “autenticazione forte a due fattori” (livello 2) ad un sistema che sfrutta una smartcard (livello 3).
È dunque imprescindibile e necessario, al rilascio, fare una verifica approfondita, con controlli dietro le quinte, per accertarsi che chi richiede una credenziale sia effettivamente chi dice di essere. Sono verifiche simili a quelle che dovrebbero avvenire ad uno sportello, ma da remoto, ed una volta per tutte. E per questo fornire dichiarazioni false è un reato. (proprio per i controlli di sicurezza dietro le quinte le credenziali non sono rilasciate in tempo reale)
[Se vuoi saperne di più, vedi la sezione su “Cos’è la autenticazione a più fattori e perché serve?”].
Ciò detto, essendo il servizio erogato da più fornitori, come sempre quando si è in concorrenza ce n’è qualcuno più bravo degli altri. Se uno non ci soddisfa, possiamo sceglierne un altro. È il bello della concorrenza. [Vedi anche “Possiamo avere credenziali con più fornitori di servizi di autenticazione?”]
Ricordiamoci comunque che le procedure di rilascio vanno fatte una volta sola, dopodiché SPID ci identificherà per molti anni solo con pochi clic all’accesso ai servizi, garantendo la nostra identità.
Ottenere SPID non è certamente più complicato che richiedere la carta di identità o il passaporto, cosa che tutti, prima o poi, siamo chiamati a fare, anzi, è certamente più semplice.
Usare SPID certamente richiede un minimo di familiarità con l’uso dello smartphone o browser web e le relative procedure.
Il sistema effettua più verifiche ai livelli di sicurezza più elevati e questo può rendere l’uso in certi casi più complesso, ma comunque esso rimane piuttosto simile all’uso dei PIN e delle APP da tempo presenti sui sistemi di home banking. Premesso che, essendo il servizio erogato da più operatori, come sempre quando si è in concorrenza ce n’è qualcuno più bravo degli altri. Se un fornitore di SPID non ci soddisfa, possiamo sceglierne un altro.
È il bello della concorrenza.
In realtà, il sistema è meno macchinoso di quanto possa apparire, se capiamo il senso di ciò che facciamo.
Nella sezione “Perchè è utile” spiego che SPID consente di mettere a fattor comune le credenziali, per accelerare lo sviluppo di servizi e favorire la realizzazione di sistemi di scambio di documenti tra le amministrazioni. Ciò significa che l’amministrazione del Comune PIPPO che ci eroga servizi online per lo scuolabus delega al gestore di SPID la verifica delle nostre credenziali: Andiamo sul sito del Comune PIPPO, scegliamo il servizio scuolabus e clicchiamo “accedi con SPID” per passare temporaneamente al nostro gestore SPID che verifica le nostre credenziali e, se la verifica è positiva, il nostro gestore comunica al comune PIPPO alcuni dati identificativi (dopo avercene chiesto il permesso per rispettare la privacy).
Questo gestore SPID, che verifica le nostre credenziali, è il soggetto (privato o pubblico) cui ci siamo rivolti per ottenere le credenziali. È chiamato “identity provider” (ci fornisce il servizio di verifica dell’identità)
Quindi il flusso è
Comune PIPPO → “Identity Provider” SPID → Comune PIPPO
Solitamente la verifica fatta dall’Identity Provider prevede una autenticazione a più fattori, per maggiore sicurezza, simile a quella che facciamo in banca.
[Se vuoi saperne di più, vedi la sezione su “Cos’è la autenticazione a più fattori e perché serve?”].
I soggetti SPID appartengono a quattro categorie:
• gli utenti (cittadini, imprese)
• i gestori che rilasciano le credenziali ed erogano il servizio di autenticazione (“identity provider” o IdP)
• i fornitori che erogano servizi online (“service provider”o SP) che autenticano gli utenti presso gli identity provider
• i fornitori di attributi (“attribute provider”) che attestano una qualche informazione relativa ad una persona (ad esempio potranno esserlo le università che attestino la laurea o gli albi professionali per attestare l’iscrizione, ecc.)
Inoltre, strada facendo (non c’era nell’idea originaria), è stata aggiunta la figura degli “aggregatori” che sono sostanzialmente degli intermediari: se un soggetto vuole delegare a terzi l’offerta di propri servizi con accesso tramite SPID, può rivolgersi a un aggregatore. Si pensi ad esempio alle Regioni che erogano servizi per conto di molti piccoli comun. Così possono divenire service provider SPID delegando loro tutta l’attività.
Sia gli identity provider (IDP) che i service provider (SP) che gli attribute provider possono essere soggetti pubblici o privati.
Per IDP ed SP, oltre alle leggi normali sotto a vigilanza della magistratura ed alle norme sulla privacy sotto la vigilanza del Garante per la Privacy, è previsto un accreditamento ed una vigilanza svolta dall’Agenzia per l’Italia Digitale (con sanzioni pesanti, che possono arrivare fino a multe salatissime ed alla revoca dell’accreditamento, oltre ad altre sanzioni civili ed – eventualmente – penali)
Gli identity provider ad oggi sono 9, che cooperano in una sorta di federazione [link]
No. Poste, con la capillarità degli uffici postali, è il più diffuso, ma ci sono altri fornitori che svolgono le attività di riconoscimento e rilascio delle credenziali, anche online.
Ad oggi ci sono 9 fornitori, indicati qui [link]
In sostanza sono quelli che determinano il codice fiscale.
Essendo basato sull’identità certificata dallo Stato, è necessario un documento valido (carta di identità, passaporto, patente) per i dati anagrafici.
Anche se raro, si può verificare la cosiddetta “omocodia”, ovvero due persone diverse con stesso nome nate nella stessa città lo stesso giorno.
Queste due persone potrebbero avere il codice fiscale identico, per cui la situazione si risolve in sede di erogazione del codice fiscale. Per questo è richiesto anche il codice fiscale indicato sul tesserino del codice fiscale o sulla tessera sanitaria. Tutti questi dati che compongono il codice fiscale vengono mantenuti.
Inoltre viene richiesto un numero di cellulare ed un indirizzo email che servono come punti di contatto nella consueta procedura di attivazione di un servizio web.
Questi dati, mantenuti dal gestore dei servizi di autenticazione che hai scelto, non vengono forniti a terzi, se non su esplicita autorizzazione dell’utente.
Non possono essere forniti a terzi perché tutto il sistema è vigilato dal Garante della Privacy. Inoltre, se quando accediamo ad un fornitore di servizi questi richiedesse informazioni eccessive, non necessarie per effettuare il servizio, il trattamento sarebbe “non proporzionale” e può essere segnalato al Garante Privacy
SPID ha tre livelli di “fiducia” crescente, dal solito username/password adatto per i servizi più semplici (livello 1), ad un sistema di “autenticazione forte a due fattori” (livello 2) ad un sistema che sfrutti un dispositivo fisico, come una smartcard (livello 3).
È divenuta prassi, anche se non è strettamente necessario, che le amministrazioni che erogano servizi chiedano una autenticazione a due fattori, come quella in uso per i servizi bancari. In realtà, per molti servizi a bassa criticità potrebbe essere sufficiente il semplice username/password ed infatti la normativa lo consente.
L’autenticazione “a due fattori” si chiama così perché oltre ad avere un fattore di sicurezza (la password) prevede l’uso di un ulteriore fattore di sicurezza. Di solito si parla di fattori di sicurezza “cosa sai” (la password), “cosa hai” (un oggetto fisico), “chi sei” (controllo biometrico).
La sola password può essere indovinata, scoperta, copiata, etc… e quindi un malintenzionato può impersonarci quindi “rubandoci l’identità”.
Abbinando anche il controllo di un oggetto fisico (una volta erano delle specie di portachiavi che generavano un PIN) la probabilità di impersonazione è molto più bassa, basta che custodiamo con cura tale oggetto.
Oggi pressoché tutti abbiamo uno smartphone che assolve il ruolo di fattore “cosa hai”. Una volta lo si faceva ricevendo un SMS con un codice, ora tipicamente il codice viene generato con una app presente sullo smartphone. Va detto che nel tempo il canale SMS è divenuto meno sicuro (non è impossibile intercettare SMS).
Ma è anche possibile perdere il cellulare e, se non si è messo un PIN di blocco, chi lo trovasse avrebbe accesso diretto alla app di generazione del codice di autenticazione a due fattori! Per questo, frequentemente, le app (ad esempio bancarie) che generano il codice di autenticazione a due fattori richiedono un PIN di sblocco. È il caso anche delle App di autenticazione a due fattori di SPID.
Anche nell’autenticazione, come in ogni attività umana, la sicurezza porta un po’ di complicazioni.
Inserisco username e password sul computer, inserisco il pin di sblocco nell’App sul telefono, leggo il codice generato e lo inserisco sul computer. Sono tre-quattro passaggi, ma la sicurezza ha un piccolo costo e, comunque, è sempre più semplice e più veloce che trovare parcheggio davanti al municipio…
I gestori dei servizi di autenticazione non possono usare i dati personali dell’utente né cederli a terzi senza autorizzazione da parte dell’utente. Tutti i log devono essere cancellati dopo un periodo prefissato.
Il sistema è composto da gestori pubblici e privati. Come ovvio, c’è la magistratura e poi, con funzioni specifiche, anche il Garante della Privacy e l’Agenzia per l’Italia Digitale. Le sanzioni in caso di comportamenti irregolari possono essere pesanti, arrivare fino a multe salatissime ed alla revoca dell’accreditamento, oltre ad altre sanzioni civili ed – eventualmente – penali.
Puoi leggere anche la sezione sotto: [Perché ci sono tanti fornitori di servizi di autenticazione? Perché anche privati?]
Questo fu un punto che inserii fin dalla mia proposta iniziale di un sistema di autenticazione con valore legale.
Una prima ragione riguarda la tenuta del sistema. Il modello di Internet è stato concepito proprio pensando all’assenza di un punto unico di governo della rete. La resilienza di Internet non è data dalla sua robustezza ma dalla sua anti-fragilità: ogni pezzo può essere vittima di un attacco ma il sistema nel suo complesso può continuare a funzionare. Dal punto di vista della resilienza, un sistema composto da più soggetti è più antifragile di uno centralizzato, in caso di un attacco.
Ma la mia motivazione principale fu un’altra. Proiettiamoci qualche anno o decennio nel futuro. Saranno sempre più i servizi dematerializzati, svolti online, che richiederanno identità certe. Dall’ottenimento di un finanziamento, all’accesso ad un concorso, alla difesa in un processo amministrativo, alla sottoscrizione di un referendum, ecc.
Supponiamo di concentrare il governo di tutte queste autorizzazioni in un solo punto.
Chi lo controlla ha un potere immenso, esercitabile con grande velocità e – potenzialmente – opacità.
Per questa ragione la Costituzione della Repubblica Italiana, all’articolo 5, non modificabile, recita:
La Repubblica, una e indivisibile, riconosce e promuove le autonomie locali; attua nei servizi che dipendono dallo Stato il più ampio decentramento amministrativo; adegua i principi ed i metodi della sua legislazione alle esigenze dell’autonomia e del decentramento
Questo articolo fu inserito in Costituzione perchè emergevamo dalle lacerazioni della guerra e del ventennio fascista con la paura di creare condizioni che favorissero pulsioni autoritarie che si volevano evitare per il futuro.
Noi diamo per scontati tanti valori della vita democratica che scontati non sono.
Gli esempi abbondano, con tentativi (alcuni riusciti ed altri no) anche nella storia italiana, eppure li consideriamo devianze da una normalità.
In realtà è la democrazia ad essere una eccezione. La regola, purtroppo, sono sistemi autoritari.
Non dimentichiamo che per entrare in un sistema autoritario basta votare mentre non è altrettanto semplice uscirne.
La democrazia va tutelata costruendo nei momenti di luce le salvaguardie strutturali che ci tutelino nei momenti bui.
Il Prof. Lessig, costituzionalista americano di fama mondiale, giustamente ha osservato che “code is law”, il codice informatico è una forma di legge, in quanto, al pari delle leggi, ci consente o meno di fare determinate cose. Come ad esempio quelle abilitate (o vietate) da un sistema di autenticazione.
Spesso identifichiamo “lo Stato” con il Governo. Ma non è così.
Il Governo è solo uno dei poteri dello Stato.
Montesquieu è considerato il padre dello Stato moderno con la tripartizione dei poteri (legislativo, esecutivo e giudiziario), con meccanismo di controlli e di bilanciamenti.
Sotto il controllo di quale potere avrebbe posto il codice informatico, il sistema di autenticazione? Sotto quello verticalmente integrato del ministro pro tempore degli interni e degli ordini impartiti ai suoi sottoposti o sotto il sistema giudiziario ?
Un sistema di autenticazione online non è come una credenziale cartacea.
La carta d’identità, una volta che viene emessa e consegnata alla persona, può essere usata ovunque senza che chi la rilascia abbia contezza se è stata usata per dimostrare la maggiore età entrando in un locale o per iscriversi ad un servizio di sostegno psicologico.
Una autenticazione online è permanentemente connessa consentendo potenzialmente di accumulare informazioni e, soprattutto, può essere inibita alla velocità della luce.
Un gestore privato di un servizio di autenticazione è sottoposto alla vigilanza del potere giudiziario, del Garante della Privacy e dell’Agenzia per l’Italia Digitale (AgID) che ne risponde in Europa, [come spiegato poco più in basso: “Come funziona in Europa”].
Un sistema di autenticazione condiviso consente di aumentare l’efficienza del sistema e certamente un sistema centralizzato potrebbe essere in linea teorica un po’ più efficiente (costerebbe un pochino meno) e, se si trattasse di una azienda, quindi, probabilmente preferibile.
L’estremo opposto precedente a SPID, ovvero in cui ciascuno costruiva e gestiva il proprio sistema di autenticazione, è certamente inefficiente e limitante.
Ma non bisogna dimenticare che lo Stato non è il Governo e non è nemmeno un’azienda
Va trovato un punto di equilibrio tra efficienza e salvaguardia del sistema democratico e di tutela dei diritti dei cittadini.
Un sistema federato con gestori pubblici e privati, vigilati dalla magistratura, dal Garante della privacy e dall’AgID, in cui ciascun cittadino può ottenere credenziali da più fornitori è l’architettura che massimizza l’efficienza nel rispetto del dettato Costituzionale e nella tutela dei diritti dei cittadini, oggi e nel futuro.
PP.SS. La CIE (Carta di Identità Elettronica) è vigilata dal ministro pro tempore e i meccanismi di accountability esterna sono l’accesso civico (FOIA), che sappiamo essere inefficace e l’interrogazione parlamentare (anche questa scarsamente incisiva). Per aumentare la sicurezza per i cittadini, sarebbe bene estendere anche alla CIE le garanzie di sicurezza richieste per SPID
No!.
Non possono svolgere alcun tipo di profilazione nè tantomeno vendere i dati ! [vedi sezione “Chi controlla tutto? Che sicurezza c’è? I miei dati sono al sicuro ?”]
La legge prevede che gli enti pubblici che erogano servizi autenticati con SPID usino il sistema gratis.
In genere gli Identity Provider privati sono soggetti che forniscono al mercato servizi che gestiscono la “fiducia digitale” come ad esempio posta elettronica certificata, archiviazione e conservazione dei dati, firma digitale, software di workflow certificato, ecc. Il fatto di essere gestori SPID gli dà un guadagno reputazionale che possono giocarsi sul mercato, non solo nazionale (alcuni di essi infatti operano in altri paesi, anche extraeuropei – una frontiera per servizi trusted “Made in Europe”).
Inoltre, gestendo la app di autenticazione, hanno frequenti occasioni di contatto in più con i clienti, rimanendo loro “top of mind” per servizi di questo genere.
Possono anche sviluppare servizi integrati combinando elementi della loro offerta oggi a pagamento, mantenendo l’autenticazione gratuita.
Gli sviluppi europei per i servizi fiduciari vanno verso una evoluzione della PEC e verso la creazione di “portafogli digitali” che in futuro potrebbero complementare la loro offerta di servizi, collegati all’identità SPID.
Teniamo presente che l’elemento più costoso è il riconoscimento iniziale che, se fatto remotamente, richiede un piccolo pagamento. Il costo variabile di una autenticazione è marginale.
Pensiamo a chi offre mutui, finanziamenti, ecc.: avere un dato certo grazie a del personale che verifica le identità, ad esempio presso un negozio di elettrodomestici, costa una decina di euro o più (che ricadono sul costo del finanziamento). Se divengono service provider autenticando gli utenti tramite SPID non usufruiscono del servizio gratuitamente: il costo base delle autenticazioni, è di 40c all’anno per utente.
Abbiamo infatti previsto nella legge che cittadini ed enti pubblici potessero usare i servizi gratuitamente e che gli altri fornitori di servizio pagassero.
In particolare la legge prevede che le società che erogano servizi pubblici debbano adottare SPID entro una data che deve essere stabilita per decreto.
Pensiamo ad esempio al trasporto pubblico locale o al trasporto ferroviario o anche alle strutture sanitarie private (ospedali, laboratori, ecc.).
Molti usano SMS per autenticare, un sistema meno sicuro, che ha un costo confrontabile se non maggiore.
Oggi c’è una massa critica di utenti ed ormai c’è consuetudine all’uso di SPID, cose che potrebbero giustificare l’avvio dell’obbligo previsto dalla legge
Il beneficio sarebbe duplice: alimentare di risorse il sistema ed erogare un dato con una chiave di accesso comune. Ciò faciliterebbe l’implementazione di interoperabilità dei sistemi (per registrare anche i loro dati nel Fascicolo Sanitario Elettronico regionale e nel cassetto fiscale/dichiarazione precompilata). Discorso analogo può essere esteso a molti altri tipi di servizi.
Si.
È una caratteristica pensata by design sin dall’inizio, per aumentare il livello di privacy delle persone.
Puoi leggere anche la sezione precedente [Perché ci sono tanti fornitori di servizi di autenticazione? Perché anche privati?]
Certo, sarebbe bellissimo, se il mondo non fosse così complicato.
Ai vecchi di Internet come me questa idea ricorda romanticamente Yahoo.
A fine anni 90 Yahoo manteneva un elenco di tutti i siti web che apparivano online. Il modello “directory” andava per la maggiore. Ci mandavamo le mail per avvertirci “hai visto? C’è un nuovo servizio di previsioni meteo in Francia!”
Poi, con l’aumento esponenziale dei servizi web che nascevano, il modello directory non funzionava più e si impose il motore di ricerca.
In Italia ci sono oltre 13mila pubbliche amministrazioni ed ognuna di queste ha decine, centinaia di procedure che, nel tempo, verranno rese accessibili con SPID.
Parliamo di una directory con centinaia di migliaia di servizi. (Inoltre ricordo che SPID può essere usato anche da gestori privati e lo sarà sempre di più).
È facile prevedere che il sistema prevalente per trovare il servizio cui vogliamo accedere sarà, come oggi, un motore di ricerca.
Ciò detto, c’è una pagina gestita da AgID che consente di trovare i servizi abilitati da SPID. [link]
Il numero di telefono è un requisito che abbiamo inserito per avere un punto di contatto rapido con i cittadini e, oltretutto, facilita la registrazione e la generazione dei codici.
Quindi per ogni identity provider il numero di cellulare è legato ad una persona, e sarebbe meglio che la corrispondenza fosse univoca, anche per possibili ragioni di privacy.
Per identity provider diversi, tuttavia, lo stesso cellulare potrebbe corrispondere a persone diverse (es. marito e moglie), se loro consapevolmente fanno registrazioni diverse con Identity Provider diversi con lo stesso numero di cellulare.
In definitiva, se questa è una esigenza proprio non evitabile, basta usare due Identity provider diversi tra i 9 esistenti.
Le credenziali SPID identificano la persona. E’ circa come autorizzare una persona ad apporre la propria firma su un documento.
E’ bene evitare.
Io lo evito assolutamente.
Ci sono alcuni ambiti in cui può essere necessario, come ad esempio adempimenti aziendali che richiedono moltissimi accessi dal rappresentante legale, che è improbbaile che abbia il tempo di farli. Per questo è nato l’account SPID per le aziende, in modo che lui possa drle alla persona di propria assoluta e cieca fiducia. Non è stata una bella soluzione. E’ stata una necessità per trovare una soluzione in fretta a quel problema specifico che sarebbe risultato bloccante per moltissime, moltissime persone/attività.
Il modo giusto di procedere sarebbe stato fare in modo di gestire le deleghe: io con il mio account SPID delego una persona che usa a quel punto il suo account SPID, compiendo l’operazione richiesta in mia vece, e mantenendo registrata la delega.
Fare questo sistema richiede molto tempo, i vincoli legali sono molti.
Per questo si è accelerato con lo SPID aziedale che è una misura tampone.
E’ previsto infatti il Sistema Gestione Deleghe. Il Dipartimento per la Transizione Digitale (chiamato normalmente “Ministero dell’innovazione”) ha completato l’iter di emanazione del decreto attuativo il 30 marzo 2022. La realizzazione e gestione del sistema è stata affidata all’Isitituto Poligrafico Zecca dello Stato.
Oggi (dic. 2022) è attivo in 3 città
Secondo me sarebbe auspicabile, nel breve,
– estendere a livello nazionale il sistema di gestione deleghe oggi (dec. 2022) attivo in sole 3 città. in questo modo l’anziano può delegare il figlio o il CAF, il dirigente può delegare un assistente, un cittadino può delegare per specifici atti il suo avvocato o commercialista, ecc.
– semplificare automatizzando la scelta del verificatore di credenziali (“identity provider”) durante la fase di login
– va esteso l’accesso tramite SPID ai gestori privati di servizi pubblici (es. ospedali privati, laboratori privati, ecc.) come previsto nella norma che ha istituito SPID.
Vi sono poi ulteriori migliorie più tecniche, alcune delle quali vanno nella direzione di rendere l’identità non un mezzo (per accedere ad un servizio) ma una infrastruttura su cui altri servizi si appoggino. Ho suggerito questo approccio in sede OCSE (OECD) e tra qualche mese avrò qualcosa di dimostrabile per illustrare a cosa penso. Stay tuned!
Aggiornamento Maggio 2023:
una catena è forte tanto quanto il suo anello più debole.
– il processo di rilascio di una credenziale SPID prevede registrazione audio/video del richiedente e della sua voce, del suo indirizzo IP, del numero di telefono, prerequisito un documento precedente ed il codice fiscale, controlli successivi vari (per questo non c’è rilascio in tempo reale).
– il processo di rilascio di una CIE prevede la possibilità di non esibizione di documenti precedenti ma solo di due testimoni, nessuna registrazione dell’evento.
– in entrambi i casi la fornitura delle credenziali all’interessato avviene da parte di funzionari di aziende private (servizi postali e identity provider) che operano con la qualifica di incaricati di pubblico servizio.
—
Chiaramente, più verifiche di sicurezza si aggiungono, più il sistema diviene sicuro e (solitamente) meno usabile. Se fosse possibile fare un controllo del DNA in tempo reale avremmo un sistema sicurissimo, ma non usabile.
La sicurezza totale non esiste, come spiegavo ai miei allievi quando ho insegnato computer security. E’ sempre un bilanciamento tra rischi.
Con una smartcard come la CIE si ha un filo di certezza in più durante la fase di verifica ed una vulnerabilità sisttemica in più rispetto a possibili bug software.
Nel 2017 metà delle carte elettroniche estoni furono sospese per rischio di furto di identità a causa della scoperta di un bug nei microchip. Erano 760mila (l’Estonia è più piccola di Milano) e sistemarle non fu un gran problema (anche se gli uffici di polizia furono intasati per un po’).
Immaginiamoci nel 2030 in Italia con 50 milioni di smartcard emesse, usate per autenticazione, e che si scopra un bug hardware (improbabile ma non impossibile). Vanno sospese e riemesse (per l’uso online, non per mostrarle al vigile) una operazione che può richiedere anni, anche perchè non è detto che tali volumi possano essere concretamente acquistabili, anche perchè sarebbe un problema che impatterebbe tutti nello stesso momento, non solo l’Italia. Francia e Germania propendono per l’uso di smartcard, essendo i principali produttori europei.
Ora immaginiamo che siamo nel 2030 e si scopre un bug in un’app di uno dei 12 identity provider (oggi sono già in 10)
Si aggiorna l’app e si riscarica. Quanto tempo ci si mette a ripristinare? Ore, qualche giorno e solo su una parte dell’utenza. Un brutto disservizio ma che non blocca il paese.
Avere molti verificatori di credenziali (gli “identity provider”) ê più resiliente di uno solo e una soluzione software che si basa su smartphone a livello sistemico offre più garanzie di antifragilitá
P.S. il livello base di sicurezza nella fase di verifica dell’identità nell’accesso alla pubblica amministrazione è … un fax con una copia di un documento. Questo è il motivo per cui ogni tanto ci viene richiesto di mandare una copia di un documento di identità. SPID e CIE sono anni luce più sicuri degli altri sistemi in vigore.
PP.SS.come spiegato in altri punti delle FAQ, il sistema SPID è vigilato da magistratura, Garante Privacy e AgID; gli identity provider non possono toccare i dati, nemmeno guardarli… La CIE è vigilata dal ministro pro tempore. Per aumentare la sicurezza per i cittadini, sarebbe bene estendere anche alla CIE le garanzie di sicurezza richieste per SPID
SPID è certamente meno usabile di un galoppino che fa le pratiche per noi.
Per quanto riguarda la usabilità, uno studio degli osservatori del Politecnico di Milano ha rilevato che per autenticarsi in modo sicuro ci vogliono i seguenti tempi
– accesso alla banca 57 secondi
– accesso SPID 60 secondi
– accesso CIE 116 secondi.
Secondo questi dati, la CIE richiede un tempo circa doppio di SPID. Entrambi sono migliorabili. Comunque entrambi infinitamente meno che andare a fare una coda allo sportello..
Ricordiamoci che i PC, sostanzialmente non hanno un lettore NFC e la maggioranza degli usi di identità digitale fatti da professionisti ed aziende avvengono via PC.
L’usabilità di SPID è confermata anche dai dati d’uso:
A novembre 2022 vi erano 33,2 milioni di utenti SPID e 32,5 milioni di CIE (sostanzialmente 50/50).
Nel 2022, fino a novembre, ogni 100 accessi 98 sono fatti tramite SPID e 2 fatti tramite CIE
A fine 2022 si supererà un miliardo di autenticazioni SPID in un anno e si raggiungeranno 20 milioni di autenticazioni CIE
L’idea di proporre un sistema di autenticazione condiviso mi venne quando vidi molti anni fa qualche comune che iniziava ad erogare qualche servizio prendendo per buone le identità autodichiarate su Facebook.
Pensai che fosse una aberrazione, che non fosse possibile lasciare a una multinazionale l’autenticazione della nostra identità che deve essere garantita dallo Stato.
L’identità è l’asset competitivo più estremo, non deve essere controllata da un monopolista non sottoposto alle leggi dello Stato. (Costituzione, art. 22: Nessuno può essere privato, per motivi politici, della capacità giuridica, della cittadinanza, del nome.)
La risposta breve è si.
Molti lo hanno fatto di recente per i referendum.
Una firma di un file non è – come molti pensano – un autografo su un foglio, fotografato con il cellulare. Una firma siffatta ha un valore molto debole. In caso di contenzioso la sua validità, il fatto che corrisponda al presunto firmatario, deve essere valutata dal giudice. Di per sé ha il valore di una fotocopia e in mancanza dell’originale potrebbe non essere accettata. D’altro canto è molto facile prendere una foto di una firma e copia-incollarla su un documento. Insomma, va provato che sia vera.
Utilizzando SPID per provare la propria identità (nell’ambito di specifici sistemi di firma previsti dall’Agenzia per l’Italia Digitale) si può fare una firma elettronica più forte, che viene accettata come vera dal giudice in caso di contenzioso e che può essere disconosciuta solo denunciando per falso il suo autore. Insomma, va provato che sia falsa.
Una firma elettronica di questo tipo non è una immagine messa su una pagina di un file ma un insieme di bit (“quantità di sicurezza”) incollata al file stesso. Questo insieme di bit è il risultato di operazioni crittografiche che matematicamente assicurano che quel file è integro e che non è stato manomesso.
Per firmare un documento che ci viene proposto da un fornitore un processo tipico potrebbe essere il seguente:
• ci facciamo riconoscere dal fornitore di servizio in modo giuridicamente certo usando SPID; in questo modo lui ci può proporre il documento da firmare essendo certo che non lo sta mostrando a terzi
• il fornitore ci propone il documento da firmare e, se accettiamo, gli appone una quantità di sicurezza e lo invia al nostro identity provider (quello che ci ha rilasciato le credenziali SPID)
• l’identity provider ci chiede di confermare la sottoscrizione chiedendoci una nuova verifica della nostra identità (non sia mai che il documento che gli è stato mandato sia diverso da quello che ci era stato mostrato!)
• Se confermiamo, autenticandoci, anche l’IDP appone una quantità di sicurezza e restituisce il documento a noi ed al fornitore e poi cancella il file (che così resta solo nella disponibilità nostra e del fornitore.
Attenzione, ci sono dei limiti a ciò che si può firmare. In generale, tutte le firme di atti tipicamente notarili…devono essere fatti davanti a un notaio.
In Europa ci sono servizi analoghi previsti da un regolamento europeo chiamato eIDAS che prevede che le credenziali rilasciate in un paese siano accettate anche negli altri.
Per fare questo esiste una rete di nodi interoperabili che fungono da “ponte” tra Service provider e Identity provider di altri stati.
Una catena è robusta quanto il suo anello più debole. Dato che le credenziali rilasciate in un paese europeo sono valide negli altri, è importante che le regole del gioco ed il livello di fiducia sia analogo in tutta Europa.
Per questo ogni variazione delle regole di SPID va comunicato ai nostri partner europei e discusso con loro.
Si.
Se un privato qualunque vuole erogare un servizio essendo certo dell’interlocutore, può autenticare i suoi utenti con SPID con un costo modestissimo.
Ci potrebbero essere dei rischi se ne venisse fatto un uso indiscriminato (ad esempio di accumulo di dati) per cui chi lo vuole usare deve accreditarsi presso l’Agenzia per l’Italia Digitale come descritto qui.
Prossimamente sarà inoltre possibile per i privati avvalersi di SPID utilizzando i servizi di aggregatori accreditati con l’AgID.
Nella sezione Avanzamento digitale del sito Agid [link]
Avevo scritto sul mio blog a marzo del 2012 un post con una prima riflessione di come migliorare l’autenticazione online dato i modestissimi risultati della carta di identità elettronica. Quello fu il momento di inizio delle riflessioni.
Il 6 gennaio 2013 ricevetti una telefonata di quelle che ti cambiano la vita. Non essendomi mai occupato di politica prima, mi veniva chiesto di dare il mio contributo alla nascente lista civica dell’allora Presidente Monti. Avevo dei rapporti professionali in corso e non fu una decisione facile, ma alla fine accettai e venni eletto nelle elezioni del 24/25 febbraio 2013.
La settimana dopo le elezioni iniziai subito a proporre a colleghi di altri partiti e ad operatori del settore l’idea di un sistema di autenticazione, scollegato da un servizio specifico ma che fosse un servizio infrastrutturale a sé stante, federato e con valore legale. Il primo annuncio pubblico fu in questa intervista del 13 marzo .
Il 29 aprile, giorno della fiducia al Governo Letta, mentre ero in partenza per Roma feci un terribile incidente automobilistico che mi tenne tra la vita e la morte per una decina di giorni ed in ospedali e centri di riabilitazione vari per oltre 4 mesi. In quel periodo, con riunioni via telefono, skype e scambio di documenti via mail lavorammo alla definizione delle specifiche ed alla stesura della proposta di legge, sotto la guida esperta del grande Prof. Alessandro Osnaghi, cui si deve la prima bozza di articolato, la grande collaborazione di Paolo Coppola con fondamentali giudizi e osservazioni sui casi d’uso pratici, il supporto legislativo di Eugenio Prosperetti (fondamentale nella prima stesura della Proposta di Legge).
In quel periodo (a fine giugno) il Presidente Letta nominò Francesco Caio commissario per l’attuazione dell’agenda digitale. Venne a trovarmi e discutemmo dell’importanza di un tale sistema che rientrò così, nelle sue tre priorità assieme ai progetti esistenti del polo dei pagamenti (oggi PagoPA) e della centralizzazione dell’anagrafe (ANPR).
Così da proposta di legge parlamentare – che non fu quindi nemmeno depositata – prese la corsia di sorpasso e divenne delega al Governo e successivo decreto della Presidenza (bozza), lavoro coordinato da Andrea Rigoni (cui si deve il nome SPID), con anche Giuseppe Caporello, Massimiliano Pianciamore, Annapia Sassano (grande concretezza e importanti i casi di vita vissuta), Stefano Arbia (che ne ha poi seguito gli sviluppi in Italia e in Europa) e di altri che certamente dimentico (mi scuso…).
Nel 2016 fu approvata la riforma del Codice dell’Amministrazione digitale cui avevamo lavorato per molti mesi con Paolo Coppola, Elio Gullo (del Ministero della Funzione Pubblica) e con il contributo di Sergio Boccadutri e degli avv. Eugenio Prosperetti e Guido Scorza (e, occasionalmente, di varie altre persone).
In quella occasione introducemmo una innovazione che non era prevista nel regolamento europeo (eIDAS) ma nemmeno escluso: la possibilità di fare una “firma digitale” con SPID. Questa innovazione, a quanto so unica in Europa (almeno all’epoca), consente di usare le identità SPID per un vasto numero di usi con valore legale, ben oltre l’autenticazione.
Nel 2017 Paolo Coppola e Andrea Mazziotti avevano presentato due emendamenti (che avevamo sottoscritto con alcuni colleghi) per raccogliere le firme per le liste per le politiche, ma purtroppo furono bocciati. Riccardo Magi nel 2021 ne ha presentato uno per i referendum ed è stato approvato.
In democrazia, le cose non vanno mai come decide una persona sola, ma tutte le scelte sono frutto di accordi e mediazioni tra varie parti interessate. Per questo non posso dire che cambierei cose frutto di mediazioni, ma solo cose che dipesero da me.
In quell’articolo del marzo 2013 in cui parlai di “identità digitale”, tornando indietro forse userei termini diversi.
La parola “identità” in informatica ha una accezione ben precisa che non corrisponde alla idea che ne può avere un non informatico. Forse sarebbe più preciso autenticazione, identificazione, autorizzazione (o forse no, anche qui, giuridicamente, il significato di queste parole è diverso dall’accezione informatica).
Forse “gestione e verifica di credenziali”.
Ecco qui:
La riflessione del 7 marzo 2012
L’intervista, con il lancio dell’idea, del13 marzo 2013
Qualche mail degli inizi (con l’autorizzazione dei corrispondenti):
SPID ha già subito evoluzioni tecniche, come è ragionevole attendersi per l’evoluzione tecnologica.
SPID fa parte del circuito europeo di sistemi di autenticazione con valore legale defniti dal regolamento europeo eIDAS, in corso di aggiornamento e che sara’ approvato nella seconda meta’ del 2023.
Dal punto di vista tecnico, la nuova versione del regolamento prevede che ogni Stato riconosca almeno un portafoglio digitale (wallet) interoperabile in Europa. Questo non esclude che possa continuare un sistema nazionale e nemmeno che il sistema nazionale preesistente possa evolvere dalla tecnologia attuale (SAML) a una prossima tecnologia (Wallet).
Mentre il primo regolamento eIDAS prevedeva che l’autenticazione potesse avvenire con tre livelli di garanzia (basso, sostanziale, elevato), l’attuale discussione politica a livello UE prevede per l’inserimento dei certificati nel portafoglio digitale (wallet) solo un livello di garanzia “elevato”. La differenza tra “sostanziale” ed “elevato” riguarda principalmente il riconoscimento de visu del cittadino e la modalita’ tecnica di conservazione dei certificati digitali nei dispositivi hardware.
Secondo recenti aggiornamenti delle discussioni politiche a livello UE, le attivita’ di riconoscimento delle persone gia’ effettuati nei vari stati membri con crecdenziali di livello di garanzia “sostanziale” saranno migrabili ad un livello di garanzia “elevato” con una procedura tecnica minimamente invasiva e totalmente online. Alcuni Identity provider italiani sono stati notificati alla Commissione UE con livello “sostanziale” ed altri anche con livello “elevato”, per cui il parco utenti (oggi superiore a 35 milioni) sara’ conservato.
Il nuovo regolamento eIDAS (vedi “L’Europa chiede di abbandonare SPID e passare al “Wallet” ?”) prevede che ogni Stato riconosca almeno un wallet interoperabile a livello UE.
Il wallet potrà essere realizzato direttamente dallo Stato, da una società su incarico dello Stato o da una società privata e riconosciuto dallo Stato
Ogni cittadino potrà utilizzare un wallet riconosciuto in un qualsiasi Stato europeo: se un’ipotetica azienda ACME danese fara’ un wallet riconosciuto da uno stato (poniamo il Lussemburgo), un cittadino italiano potra’ usare tale wallet. Ogni cittadino potrà quindi scegliere tra molteplici wallet da molti fornitori.
Google ed Apple possiedono già dei wallet, in alcuni casi preinstallati sui telefoni. Se, o meglio, “quando”, il loro wallet sara’ riconosciuto da uno Stato europeo (ad esempio l’Irlanda), esso potrà essere usato da qualunque cittadino UE. Il fatto che i wallet di Google ed Apple saranno preinstallati sui telefoni farà sì che, a tendere, essi risulteranno quelli più largamente utilizzati in Europa. E’ facilmente prevedibile che i Wallet avranno piu’ tasche, una contenente i certificati di identità e firma digitale a valore legale, e un’altra con dati quali gli abbonamenti a servizi/app, i buoni del caffe’, le vcarte di credito, carte fedelta’, criptovalute, eccetera. Negli USA, dove non c’è un obbligo di documento di identità e dove la gestione della fiducia si poggia su principi diversi, all’interno dei loro wallet vengono già inserite da fine 2022 le foto ed i dati delle patenti di guida e delle carte di identità.
In Italia operano qualche decina di prestatori di servizi fiduciari che vendono i loro servizi (riconoscimento remoto SPID, firma digitale, PEC, eccetera).
Alcune di queste aziende sono delle punte di eccellenza a livello mondiale, e hanno approfittato di un mercato innovativo italiano per acquisire società controllate che erogano questi servizi in altri paesi del mondo, dall’Europa al Sudamerica.
Il nuovo regolamento eIDAS (vedi “L’Europa chiede di abbandonare SPID e passare al “Wallet” ?”) prevede che le firme digitali siano gratuite per i cittadini. Alcuni Stati stanno pensando di fornire ai cittadini dei voucher perche’ possano ottenere senza alcuna spesa i certificati di firma da gestori privati e fare gestire a queste aziende degli ulteriori servizi per mitigare la migrazione verso i wallet di Google ed Apple. (Vedi “Ci sara’ un solo Wallet per paese ? Cosa faranno Apple e Google ?”)
Altri Stati, tra cui l’Italia, stanno lavorando per concentrare in una azienda a controllo statale i servizi fiduciari.
Certamente, se lo Stato si mette a dare il pane gratuitamente, i panettieri hanno una prospettiva cupa; il vantaggio competitivo di personale esperto, clienti, tecnologie sarà fortemente eroso e dovranno reinventarsi.
Buongiorno e grazie per queste FAQ
Segnalo un minuscolo errore di battitura:
Una *orima* ragione riguarda la tenuta del sistema (nella risposta alla domanda “Perché ci sono tanti fornitori di servizi di autenticazione? Perché anche privati?”)
grazie, sistemato
Un risultato impressionante considerato che nasce da una geniale intuizione di un singolo, quasi casualmente “prestato” alla politica e con uno sforzo di volontà e collaborazione di individui dotati di mentalità aperta e sincero spirito di servizio. Ispirato poi a principi costituzionali spesso ignorati o trascurati. Grazie Quinta
Una cortesia, non ho trovato una risposta chiara, forse negligenza mia nel cercare.
Nel caso di persona invalida al 100% l’amministratore di sostegno nominato può e se sì come può richiedere uno SPID o una delega sul proprio SPID a operare per conto di quella persona?
Grazie
non ho idea come si faccia, ma è un caso che va affrontato e risolto, se non è stato fatto.
la strada giusta per questo tipo di quesiti e’ mandare una PEC all’AgiD all’attenzione del Comitato di Indirizzo
Grazie della domanda Matteo,
avrà modo di indirizzarmi la risposta a questo quesito?
Già solo il fatto che non vi è modo di contattare AgiD senza PEC, che non vi è un indirizzo generico (tipo info@agid.gov.it) né una lista di referenti della divisione è” impensabile”
sei sicuro non ci sia ?
https://duckduckgo.com/?q=%22info%40agid.gov.it%22+site%3Awww.agid.gov.it&atb=v294-1&ia=web
per tutte le amministrazioni pubbliche, per sapere quali sono le unita’ organizzative, basta andare qui
https://indicepa.gov.it/ipa-portale/consultazione/domicilio-digitale/ricerca-unita-organizzativa
dove c’e’ scritto “denominazione/acronimo ente” scrivi agid e poi ricerca.
voila’.
Sull’origine dei principi e delle soluzioni tecniche su cui si basa SPID, avendo tu citato il prof. Osnaghi e Massimiliano Pianciamore, bisogna dare atto e ricordare che nel 2001 venne varato il progetto PEOPLE che per primo conteneva l’idea di un sistema di identità “federato” e nel 2005 venne scritta da Pianciamore e Osnaghi la specifica del sistema SIRAC (Servizi Infrastrutturali di Registrazione Autenticazione e Comunicazione) basato su SAML 1.1.
In Regione Lombardia ne facemmo riuso e creammo il sistema IdPC, sistema di gestione delle identità “federato” per le CNS, che andò live ad aprile 2006.
A seguire le regioni fecero il progetto “inter-regionale” ICAR in cui il layer INF3 era un IdP basato su SAML 1.1 da cui poi nacquero diversi sistemi quali Federa di Regione Emilia Romagna ed altri.
Nel 2012 all’interno delle regioni italiane c’era una esperienza ormai di molti anni sulla gestione di sistemi per l’identità “federata” basata su SAML.
L’idea di “accreditare” soggetti privati a cui delegare il ruolo di IdP è la vera novità dell’ìmpianto di SPID, ma dal punto di vista tecnico era quasi tutto già stato fatto.
Un abbraccio
Daniele Crespi
non solo.
andai a cercare Sandro proprio per questo.
ci sono alcune differenze nei dettagli (non tecnologici) di cui discutemmo.
imparare dal passato e da chi ne sa più di te è sempre cosa buona…
🙂
L’unico aspetto che è restato fallimentare dell’architettura SPID è quello dei gestori di attributi qualificati, non è casuale che l’accesso alla pagina di indice
https://registry.spid.gov.it/api/attribute-authorities generi un bell’errore. La mancanza di gestori di attributi qualificati la dice lunga sulla capacità di erogare servizi delle pubbliche amministrazioni. Certificare un attributo richiede non solo capacità tecnologiche (che si possono anche comperare all’esterno) ma anche un rigoroso controllo dei processi di produzione del dato (e qui casca l’asino).
Alla tua breve lista di possibili gestori aggiungo un’auspicabile estensione:
* Le Camere di commercio potrebbero certificare il ruolo di un soggetto in una azienda
* Le PA potrebbero certificare i ruoli negli organi di governo e nell’organigramma
questo è un problema di uovo e gallina al cubo…
non puoi dire che sia fallimentare l’architettura semplicemente perche’ non ci sono ancora. (e quindi le -scarsissime- risorse e l’attenzione sono concentrate su altro, soprattutto in tempi straordinari come gli anni di covid e di predisposizione al pnrr)
sarebbe come dire che e’ fallimentare aver previsto le finestre perche’ non ci sono i serramenti.
arriveranno…
certamente il nocciolo della qualità del dato non mi sfugge. ma l’alternativa è non fare.
rendere il dato disponibile all’utente (secondo me importante il wallet – secondo framework – SSI in mano all’utente, collegato all’IdP) consente di mitigare gli effetti della bassa qualità dei dati, nel contempo non alterando equilibri di potere (che sono più ostici da modificare ch enon la bonifica dei dati, che comunque nel tempo andra’ fatta; sara’ un processo lungo che convergerà verso la correttezza – sapendo che non sarà mai 100%)
i due esempi che citi sono attribute provision, per l’appunto.
geniale nella sua semplicità!! Sarebbero da condividere anche sul sito ufficiale!
Buonasera! Dopo aver letto questa pagina di FAQ su SPID mi sono sorti alcuni dubbi sul grado di effettiva sicurezza del sistema SPID.
In particolare leggo qui:
https://blog.bit4id.com/spid-il-gestore-dell-identita-digitale/.
che le condizioni per “accreditarsi” come gestori dell’identità digitale sono proibitive dal punto di vista sia economico che strutturale, e soprattutto non prevedono la partecipazione di alcuna realtà no profit al gioco.
Perché ritengo che questo sia un problema?
Fermo restando che l’unico database sicuro al 100% è quello che sta offline, come seconda istanza, il fatto di poter creare un proprio server di identificazione permetterebbe ai cittadini di ritirare l’accesso ai propri dati in qualsiasi momento se ritenesse che la PA o l’identity provider non sia più degno di fiducia. Attualmente, invece, il meccanismo di controllo mi pare si basi sulla legge ordinaria, col risultato di necessitare tempi e costi tali da scoraggiare la maggioranza dei cittadini.
Per essere chiaro, quella che sto auspicando è un’architettura simile al progetto Solid di Tim Berners Lee o al Fediverso.
Mancando questa possibilità, il rischio è che il sistema SPID finisca per promuovere ancora la cessione del controllo sui dati, in stile Web2.0.
Aveva pensato a questo problema in fase di design?
Se no, pensa sia possibile/desiderabile un’evoluzione di SPID in questo senso?
Grazie.
Quell’articolo è datato. I requisiti sono cambiati. Comunque deve essere soggetto pubblico o società di capitali
https://duckduckgo.com/?q=MODALIT%C3%80+PER+L%E2%80%99ACCREDITAMENTO+E+LA+VIGILANZA+DEI+GESTORI+DELL%E2%80%99IDENTITA%E2%80%99+DIGITALE++site%3Aagid.gov.it&t=newext&atb=v294-1&ia=web
Il requisito del capitale sociale elevato è venuto meno a seguito di un ricorso.
L’utente SPID puo’ sempre sospendere o revocare il proprio account direttamente dal sito del gestore che aveva scelto.
Solid e Mastodon sono cose molto diverse…Pero’ l’insieme degli IdP e’ una federazione.
Qui non c’è alcuna cessione di dati. Ci sono sanzioni pesantissime (e anche reati) e ci sono tre soggetti indipendenti che verificano: AgiD, il garante privacy e la magistratura.
Riporto qui da un rapido scambio su Twitter la Grande Domanda che scaturisce dalla tua osservazione: “SPID non è come avrei voluto io, ma è il miglior compromesso possibile. Compromesso, in democrazia, è una parola alta.”
Come lo avresti voluto – terminologia (cfr. primo commento) a parte?
dal punto di vista tecnico avrei voluto subito un wallet associato ad ogni identità digitale (tipo oggi SSI), ed un servizio – tipo dns – di discovery di quali IDP possono autneticare il tuo CF.
avrei preferito che fosse IDP originated e non SP originated. Ovvero: fai login al tuo IDP, e li’ c’e’ una directory di servizi e da li’ accedi. questo avrebbe contribuito ad una migliore sostenibilità economica nel tempo.
poi avrei voluto che una identità digitale potesse essere creata non solo con un procedimento di KYC e con CIE ma anche un’altra identità digitale. (facilita la concorrenza che cosi’ spinge a migliorare i servizi) e che il generatore OTP potesse fornire anche altri servizi fiduciari (firma, conservazione, recapito…)
e altre cose minori…
Da cittadino sono abbastanza soddisfatto del sistema, sono anche riuscito a insegnare come si usa ai miei genitori (che hanno una certa età e non sono molto avezzi alla tecnologia), lo trovo molto comodo, ma questo è forse anche influenzato dal fatto che sono nato durante la bolla del dot-com.
L’unica critica riguarda la generazione dei codici OTP. Dal punto di vista di un utente normale, per esempio i miei genitori, non ci sono problemi con l’applicazione fornita dal provider, ma da un punto di vista di un utente più “informatico” è una vera scocciatura avere un’applicazione proprietaria limitata ai soli sistemi Android (e spesso non tutte le sue varianti come la LineageOS) e iOS. Il motivo è che i provider usano lo stesso standard TOTP e basta avere un’applicazione che genera OTP qualsiasi. Secondo me si doveva fornire la possibilità al cittadino di usare o l’applicazione proprietaria del provider o un’applicazione che genera OTP di terze parti. È vero che ci sono metodi di reverse engineering[0] per fare in modo di evitare di usare l’applicazione, ma sono metodi di appannaggio solo per chi sa la materia in questione, cioè in pochissimi.
[0]: Un esempio è questo articolo in cui vengono analizzati alcuni provider, io personalmente sono riuscito a fare lo stesso con un altro provider non citato nell’articolo: https://blog.jacopo.io/it/post/spid-google-authenticator/
Intanto Grazie.
Grazie per essere riuscito a rendere reale un sistema, di fondo “semplice”, efficente ed efficace alla portata di tutti.
C’è un ma… e non è un ma personale ma “diffuso” in alcuni utilizzatori di SPID: se io lavoro per un’azienda privata e devo accedere per lavoro a dei servizi, perché devo usare il mio spid personale non posso averne uno aziendale? Perché mica voglio che i miei dati personali (leggasi fasciolo sanitario) possano essere letti in caso di furto di credenziali!
Pur provando a spiegare che non è il SP, ne tanto meno l’azienda che autentica l’utente e, con tutti i miei limiti, provando a spiegare che lo SPID identifica sempre la persona fisica, al limite associata alla persona giuridica (SPID di tipo 3), ma ci sono persone che insistono che dovrebbe essere l’azienda a fornire uno SPID di tipo 2 (che non mi pare trovi applicazione in nessun SP) o di tipo 4 (che in ogni caso identifica la PF e anche la PG, ma non solo la seconda e in ogni caso nessun SP attualmente lo prevede).
Siccome insistono, anche sul potere di delega rispetto all’uso di SPID professionale, e io continuo a provare a spiegare che in ogni caso è il SP che decide come e chi si deve e può autenticare, al limite inibendo l’accesso agli utenti “non professionali” o inibendo l’accesso agli altri, adducendo fantomatici problemi di responsabilità legale nell’uso di SPID personale per cose di laoro (ps persone che spesso usano la propria patente per guidare auto aziendali…), come posso fare compredere in modo “for dummies” che la loro “convinzione” non trova fondamento, o meglio che il sistema è tale per cui lo SPID è “analogo” all’uso di una documento fisico atto a riconoscere una persona, che magari in quel preciso momento svolge attività lavorative per un’azienda?
Spero di essere stato chiaro e spero che possa derimere questo dubbio di alcuni.
Grazei ancora
personalmente non sono d’accordo sulla differenziazione SPID per persona fisica e per persona giuridica.
è stata una scorciatoia dettata dalla mancanza, al momento, della possibilita’ di delega.
non potendo delegare accessi in azienda (dall’AD a un collaboratore, per esempio), si e’ pensato di fare delle credenziali “aziendali” che potessero essere date al collaboratore con un semplice verbale interno all’azienda.
spero che in futuro si possa superare la doppia categoria, implementando le deleghe.
Buongiorno, si potrebbe avere una versione semplificata di questa pagina, magari in pdf, come era stato fatto per il post “Mo’ scendo”? Non tanto per stamparla fisicamente, quanto perché volevo salvarmela in un formato comodo, e non sono riuscito a trovare un trucco per stampare la pagina con tutte le FAQ aperte
vediamo…
Grazie Quintarelli per il suo prezioso e lungo impegno in questo settore così importante.
Ho provato a installare una app italiana per gestire il mio nuovo SPID, ma il cellulare de-googlizzato dice che l’app non può funzionare perché blablabla.
L’app contiene 3 tracker: Google CrashLytics, Google Firebase Analytics e New Relic.
Questi tracker sono congruenti con la gestione (di una parte) degli SPID italiani?
Mi viene in mente Shoshana Zuboff…
l’abitudine di usare (almeno) analytics provenienti dai monopolisti è fortemente consolidata.
difficile trovare qualcosa che ne prescinda.
magra consolazione, comunque, dato che quell’app e’ usata solo per generare un token e non da’ alcuna informazione su dove e a cosa si stia accedendo.
cmq. quello che uso io ne usa uno solo.
puo’ provare ad installare le app dei vari IdP e vedere quale e’ piu’ rispettosa.
Caro Quinta
c’è il mio amico Emilio che ha fatto quest’interessante considerazioni.
Che ne pensi ?
Saluti e grazie per l’attenzione
Antonio
_____________________________________________________________
Autenticazione CIE/CNS in Ubuntu (Linux)
di Emilio GUIDI
Le specifiche del sito ufficiale per l’installazione delle autenticazioni CIE/CNS o non esistono
(CNS) o sono parziali e limitative (CIE), oltre a presentare degli errori nell’applicativo.
Chiarimenti Sogei
Sono inutili in quanto le risposte sono contrastanti ed errate e costituiscono, a loro detta, solo suggerimenti (esperienza su tre telefonate con apertura di due ticket) o sono vaghe (alla domanda cose succede dopo il 31/12/2023 a seguito dell’allungamento della scadenza della vecchia CNS la risposta è stata: c’è un anno e mezzo!).
Considerazioni
A seguito di ciò ho accertato che l’autenticazione CIE/CNS segue la metodologia PKCS #11 creata dall’esercito americano.
Accedendo quindi alle specifiche dell’esercito americano (ho acceduto al sito: https://militarycac.com/linux.htm) ho potuto eseguire l’autenticazione:
• sia con la CIE
• che con la CNS
anche con browser diversi da Firefox (il sito specifica tutti i browser Chrome/Chromium; io ho utilizzato Vivaldi) contrariamente a quanto indicato dalle specifiche ufficiali!
Per fare ciò occorre comunque installare:
• Java (necessario solo per l’applicazione CIE e non indicato nelle specifiche) e
• le applicazioni
o modutil (sudo apt install libnss3-tools),
o pcscd
I software di autenticazione dovrebbero averlo installato automaticamente e quindi configurare, dalla propria home, i browser per l’applicazione/i di autenticazione desiderata/e:
• per cns: modutil – dbdir sql:.pki/nssdb/ -add “nome di fantasia: es. CNS” -libfile /usr/lib/bit4id/libbit4xpki.so
Il software dell’applicazione CIE presenza degli inconvenienti a causa di errori di
programmazione.
1) Infatti se per l’autenticazione si utilizza un lettore di smarcard:
• che presenta più di uno slot (come il “minilector air di” della bit4id che utilizza lo slot 1 per leggere le tessere no-contactless e lo slot 4 per quelle contactless)
e la smartcard non è rilevata sul primo slot si ha,
• indipendentemente dall’installazione adottata (quella descritta nelle specifiche ufficiali o dell’esercito americano)
il totale blocco del browser: non sarà più possibile utilizzare il browser; si dovrà reinizzializzarlo!
Per ovviare all’inconveniente si dovrà, con l’applicazione modutil, disabilitare, ma solo per l’applicazione di autenticazione in questione, tutti gli slot tranne quello su cui è rilevata la smartcard!
Questo inconveniente l’ho risolto avendo creato un programma ad hoc in gambas3.
2) Un ulteriore baco nel software di autenticazione CIE si ha nell’abbinamento della CIE con il PC, scritto in java!.
Da ubuntu 22.04 l’applicazione, dopo aver fornito il pin completo e premuto il tasto
“Abbina” si chiude inaspettatamente e quindi non sarà più possibile autenticarsi presso qualunque sito!
Di questo errore non ho rilevato il motivo; ho rilevato che nella home viene generato un file di dump di diverse centinaia di migliaia di byte.
Proposta
Un’interessante prospettiva potrebbe essere, a seguito di uno studio sui software di
autenticazione, verificare se fosse possibile, previa memorizzazione del contenuto del cip della tessera, autenticarsi senza la necessità di rileggere la tessera stessa. Sarebbe una comodità per esempio per chi ha persone, genitori parenti o amici, che non risiedono nello stessa città evitando quindi di recarsi presso di loro per ritirare e riconsegnare la tessera.
velocemente
meglio usare spid
c’e’ oggi un sistema di virtualizzazione del chip delle carte su smartphone, per le carte si andrà li..