Il progetto SPID
Il progetto SPID è un sistema di identificazione nazionale unico per l’accesso di cittadini e imprese ai servizi online di PA e privati aderenti.
Lo SPID è stato introdotto dall’articolo 17-ter del decreto-legge n. 69 del 2013 (cosiddetto Decreto del fare). Tale progetto è uno dei cardini del processo di digitalizzazione del sistema Italia. A giorni arriverà il primo decreto ministeriale di attuazione della normativa sull’identità digitale, la cui bozza ha già avuto l’approvazione del Parlamento Europeo.
Il progetto dovrebbe essere avviato entro aprile 2015 ed è promosso dall’Agid (Agenzia per l’Italia digitale) come parte dell’Agenda Digitale italiana. Con SPID si potrà accedere con la propria identità digitale a tutti i servizi online delle pubbliche amministrazioni e dei privati aderenti. L’identità digitale consiste in una coppia di credenziali uniche, assegnate al momento del rilascio del proprio SPID e non cambiano mai.
Il principale vantaggio è che con una sola stessa identica coppia di credenziali potremo accedere a tutti i servizi online della PA e delle aziende private che vorranno avvalersi di questo sistema. Non dovremo più procedere alla creazione di credenziali diverse per ciascuno dei servizi. Inoltre, tali credenziali saranno più sicure, in quanto emesse da soggetti autorizzati e certificati.
Di seguito riportiamo una descrizione del processo di identificazione e accreditamento ai servizi online delle pubbliche amministrazioni tramite il sistema SPID.
Il ruolo di identity provider e service provider
L’AgID definisce SPID “l’insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia Digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni”.
Infatti, l’identità digitale, che sarà facoltativa per i cittadini, non verrà fornita da enti pubblici, ma da soggetti privati accreditati (definiti Identity Provider). Da gennaio ci saranno i primi gestori che chiederanno di essere iscritti come Identity Provider (IdP) e quindi l’AgID comincerà la selezione.
La scelta di affidarsi agli Identity Provider e non a un’amministrazione pubblica per la distribuzione di questo servizio è dettata da vari fattori. Uno di questi è la libertà di scelta dell’Identity Provider da parte del cittadino. Ogni cittadino, quindi, sarà libero di scegliere il provider che meglio soddisferà le sue esigenze sia in termini di qualità del servizio che di prezzo.
Inoltre, la presenza di diversi IdP rende il sistema più sicuro e meno vulnerabile, non esistendo un unico punto di vulnerabilità e nessuna banca dati centralizzata che disponga di tutti i dati in un unico luogo.
Per proteggere la privacy degli utenti, ogni IdP sarà responsabile dello svolgimento in modo sicuro delle attività connesse. Ogni service provider (ossia i soggetti pubblici o privati che renderanno accessibili i loro servizi online tramite l’identità digitale) avrà invece accesso solo ai dati indispensabili per erogare il servizio.
È ovvio che un’identificazione univoca, qualora fosse rubata, può permettere a chi si appropri di tale identità di ottenere sulla vittima le più svariate informazioni, comprese quelle sanitarie e giudiziarie. Per tale ragione è necessario usare strumenti in grado d’impedire tali eventi e di monitorare l’impiego dello strumento in modo efficace.
