Sistema pubblico di identità digitale
adv

L’AgID ha reso noto che anche i professionisti potranno rendere più fruibili i propri servizi digitali grazie al Sistema pubblico di identità digitale (c.d. SPID)

L’AgID con una nota informativa, pubblicata lo scorso 07 febbraio sul proprio sito istituzionale, ha divulgato le procedure e le regole tecniche che le imprese dovranno seguire per adeguare le proprie strutture informatiche al Sistema pubblico di identità digitale e diventare così Service provider. In questo modo, le aziende potranno diventare fornitori di servizi digitali al pari delle PA.

E’opportuno chiarire immediatamente che le imprese non hanno, ancora, alcun obbligo legale di adeguarsi a questo sistema, diversamente da quanto previsto per la pubblica amministrazione.Tuttavia non si possono ignorare i dati statistici che vedono il sistema SPID in continua e costante crescita, infatti ad oggi quasi 2 milioni di italiani sono in possesso di un’identità digitale, secondo le previsioni dell’Agenzia per l’’Italia digitale entro il 2020 i cittadini che utilizzeranno questo sistema quintuplicheranno.

Pertanto, in un mondo in costante evoluzione, permettere alle persone l’accesso ai propri servizi utilizzando un unico username e una sola password e garantendo, peraltro, un forte grado di sicurezza, potrebbe costituire una discriminante nella scelta di un fornitore di servizi rispetto ad un altro.

L’utilizzo di questo sistema permette alle aziende una facile autenticazione dell’identità dei clienti, evitando così di incorrere in frodi e raggiri come spesso avviene per le imprese che si occupano di commercio elettronico o di erogazione di servizi di pubblica utilità (come ad esempio gas ed elettricità).

Dopo aver elencato i pregi di questo sistema di autenticazione vediamo come le aziende possono diventare Service provider, cioè fornitori di servizi. Innanzitutto, dovranno completare due procedure, una tecnica e una amministrativa. La prima prevede l’utilizzo di un protocollo detto SAML2, che serve ad implementare il sistema SPID nei propri applicativi web; successivamente l’azienda dovrà elaborare dei metadata per la configurazione dei propri servizi presso gli IDP, come previsto dalle regole tecniche stabilite dall’AgID.

Per quel che concerne il procedimento amministrativo, invece, si procederà ad una verifica tecnica sull’effettiva implementazione di SPID. Una volta terminata la verifica e solo e soltanto se quest’ultima dia esito positivo si procederà alla stipula della convenzione con l’AgID.

Ma come viene garantita la sicurezza e l’autenticazione delle persone??? Per carpirlo bisogna analizzare la struttura dello SPID. Il sistema pubblico di identità digitale è stato progettato su tre livelli di sicurezza, per ognuno dei quali le credenziali di accesso hanno caratteristiche differenti. Il primo livello prevede l’accesso ai servizi on-line utilizzando un nome utente e una password liberamente scelti dall’utente.

Il secondo livello, invece, viene utilizzato per i servizi che richiedono un grado di sicurezza più elevato: per accedere oltre ad username e password è necessario un codice temporaneo di accesso, detto anche on time password (questo codice di solito viene comunicato all’utente attraverso un sms inviato su smartphone o tablet).

Infine, il terzo livello è contraddistinto dalla necessità dell’utilizzo oltre al nome utente e password, anche di un supporto fisico per l’identificazione (come ad es. una smart card).

Ad oggi, i soggetti abilitati all’autenticazione degli utenti e quindi anche al rilascio di SPID (denominati anche Identity provider) sono: Aruba, Infocert, Intesa, Namirial, Poste, Register, Sielte e Tim.

Avatar
Mi chiamo Benedetta Greco, nel 2013 mi sono laureata in giurisprudenza, presso l'università Federico secondo di Napoli, con tesi sulla definizione di terrorismo in diritto internazionale (di cui vado molto fiera). Ho collaborato come praticante avvocato abilitato per diversi Studi legali e nel 2016 dopo tre anni di gavetta ho superato con successo l'esame di abilitazione alla professione forense. Le mie esperienze professionali si estendono anche al piano della didattica: nel 2014 ho diretto dei moduli riguardanti la “Legislazione commerciale” e “ Legislazione fiscale” nell'ambito di un corso sui “Requisiti professionali per il commercio” nonché un modulo sui “Riferimenti normativi e legislativi in ambito socio sanitario” rientrante nel corso di studi per l’acquisizione dell’attestato di Operatore socio sanitario.