Il RAO Registration Authority Officer ha un ruolo fondamentale nell’ambito della gestione delle identità e dei certificati digitali. In questo articolo vediamo qual è il ruolo del RAO in Italia e quali sono le sue responsabilità.
RAO, chi è e cosa fa
Il RAO (detto anche Operatore di Registrazione) è un soggetto che ha il compito di verificare l’identità personale dei cittadini che richiedono un certificato digitale, indispensabile per usufruire di servizi che per il loro utilizzo prevedono un’identificazione certificata. In questa tipologia di servizi rientrano, ad esempio, i servizi online che prevedono l’accesso tramite identità digitale SPID o il servizio di firma digitale.
Il RAO viene nominato dalla Registration Authority (RA) o dalla Certification Authority (CA), al termine di un percorso di formazione che si conclude con un test di valutazione e il rilascio della relativa qualifica. Ottenuta la qualifica, il RAO sottoscrive con la RA o CA un’apposita convenzione, che serve a definire e disciplinare i rapporti tra di loro e quelli che sono gli obblighi e le responsabilità del RAO.
Anche dopo l’ottenimento della qualifica, la CA potrebbe comunque chiedere al RAO di sottoporsi a corsi di formazione integrativi, per confermare il possesso dei requisiti necessari allo svolgimento dei suoi compiti o per finalità di aggiornamento.
Quali sono le responsabilità del RAO
Nell’ambito dell’emissione dei certificati digitali, il RAO svolge compiti specifici relativi alla registrazione e alla gestione delle identità e delle firme digitali. Il suo ruolo principale è quello di garantire l’autenticità e l’integrità delle identità e dei certificati digitali emessi.
In particolare, il RAO compie le seguenti operazioni:
• garantisce il riconoscimento del soggetto che richiede l’emissione del certificato digitale;
• verifica la presenza degli elementi formali indispensabili per ottenere il certificato (maggiore età, documenti, eventuali ruoli avuti all’interno di un’organizzazione);
• controlla il documento di identità e la tessera sanitaria del soggetto;
• registra i dati dell’utente;
• fa firmare al richiedente la richiesta di registrazione;
• invia all’e-mail del richiedente i codici segreti abbinati al certificato;
• attiva la procedura di emissione, sospensione e revoca dei certificati;
• informa il richiedente sugli obblighi di protezione del Pin e del dispositivo su cui è caricato il certificato.
Va chiarito che formalmente non è il RAO a emettere il certificato e a consegnare al richiedente il dispositivo che lo contiene, in quanto queste operazioni sono compiute dalla RA o dalla CA.
Requisiti per diventare RAO
Per ricoprire il ruolo di RAO in Italia non sono richiesti titoli di studio specifici, ma tuttavia è necessario acquisire delle competenze specifiche, rappresentate essenzialmente dalle competenze tecniche e dalla conoscenza della normativa e delle linee guida di settore, che vengono acquisite durante il corso di formazione iniziale e gli eventuali aggiornamenti.
Per quanto riguarda le normative e le linee guida, non sono soltanto quelle specifiche legate alla registrazione delle richieste dei certificati, ma anche quelle relative alla protezione dei dati personali e alla sicurezza delle informazioni.
RAO pubblici
Una particolare categoria di RAO sono i cosiddetti RAO pubblici. Sono una figura specifica prevista per le amministrazioni pubbliche, affinché possano avere personale adeguatamente qualificato per il rilascio dell’identità digitale SPID presso i loro sportelli.
In pratica, i RAO pubblici sono rappresentati dai Comuni che decidono di attivare un servizio specifico per il rilascio dello SPID ai cittadini. Recandosi presso lo specifico ufficio o sportello, i cittadini possono sottoporsi all’identificazione necessaria per ricevere la propria identità digitale, dai gestori che hanno deciso di avvalersi della rete comunale.
Un elenco di RAO pubblici è riportato nella pagina del sito di SPID in cui è possibile consultare l’elenco degli uffici pubblici abilitati.
