Un pin unico per tutti i servizi online della Pa

Al via i 4 regolamenti sull'identità digitale

mercoledì 29 luglio 2015

Sole24ore
Le regole ci sono e lo Spid è pronto a partire per cercare di tagliare il traguardo della prima identità digitale entro dicembre. L'Agenzia per l’Italia digitale (Agid) ha pubblicato con la determinazione n. 44/2015 quattro regolamenti tecnici per l'avvio del sistema che permetterà l'accesso con una sola chiave, o lucchetto (è questo il logo), ai servizi online della Pa. «Grazie ad un'efficace e proficua attività di collaborazione con il Garante per la protezione dei dati personali», spiega l'Agid, sono stati emanati i provvedimenti relativi alle caratteristiche dello Spid; ai tempi e alle modalità di adozione del sistema da parte delle pubbliche amministrazioni e delle imprese; all'accreditamento dei gestori di identità digitale; e alle regole necessarie agli identity provider per il riuso delle identità digitali già esistenti». determinazione n. 44/2015 I tempi dello Spid Ma considerata «l'importanza strategica del sistema Spid per l'intero percorso di digitalizzazione del Paese», l'Agenzia guidata da Antonio Samaritani evidenzia come si continuerà a lavorare insieme al Garante «per assicurare l'allineamento dei regolamenti e delle soluzioni tecniche con le esigenze di sicurezza e garanzia di protezione dei dati, anche nelle successive fasi legate alla realizzazione, allo sviluppo e all'implementazione del sistema».L'operatività dello Spid entro l'anno è stata una delle priorità indicate dal Governo: disegnata l'architettura del sistema si cerca ora di rispettare il calendario. «La prima identità digitale sarà rilasciata a dicembre, questo è il nostro obiettivo». Afferma il dg Agid, Antonio Samaritani: «Ora è finita la parte di stesura delle regole, che ha fatto seguito a un processo di sperimentazione», in cui sono state coinvolte amministrazioni pilota, evidenzia il direttore generale dell'Agid. La prossima tappa è quella del 15 settembre: uno dei quattro regolamenti ha definito infatti le modalità di accreditamento e ha fissato la data (quella di entrata in vigore del provvedimento) dalla quale i soggetti interessati possono presentare domanda di accreditamento all'Agenzia. Il regolamento definisce le caratteristiche che devono avere gli identity provider che si candidano come gestori dell'identità digitale: una volta che l'Agid ha verificato che i soggetti rispettano le regole questi potranno essere abilitati a rilasciare lo Spid.«L'Agid, dal 15 settembre, ha 180 giorni di tempo massimo, quindi marzo 2016, per analizzare le richieste che arriveranno ma il nostro obiettivo è di chiudere prima, appunto per dicembre». Dunque continua Samaritani «entro la fine dell'anno» il sistema partirà e «si comincerà dalle amministrazioni che hanno condotto la fase di test: sei Regioni (Piemonte, Emilia Romagna, Toscana, Liguria, Marche, Friuli Venezia Giulia) oltre all'Agenzia delle Entrate, l'Inps e l'Inail permetteranno l'accesso ai propri servizi tramite Spid». I tempi dello Spid Che cosa è lo Spid È proprio Samaritani a dare una definizione dello Spid: «Si tratta di un'infrastruttura-Paese, che permette ai cittadini e alle imprese di accedere, in maniera semplice e sicura, ai servizi online sia delle pubbliche amministrazioni, che sono obbligate entro due anni ad adeguarsi al sistema, sia dei privati che aderiranno a questo sistema di log-in federato». Lo Spid permetterà di gestire tutte le pratiche burocratiche sul web, inserendo le proprie credenziali che saranno le stesse sia per pagare le Tasi, le rate delle scuola, il bollo auto o per controllare analisi e altri esami clinici. Samaritani ci tiene a ricordare come Spid sia «il primo tassello di tutta la strategia per la crescita digitale che ha come approdo Italia Login, il portale per tutti i servizi online della pubblica amministrazione».

Lo Spid poi sarà «a costo zero per il cittadino». Sottolinea il direttore generale e quindi, lo “Spid base” verrà rilasciato gratis a cittadini e imprese. Infatti, precisa Samaritani, la gratuità riguarda «l'identità digitale di tipo uno e due», ovvero che corrisponde ai primi due livelli di sicurezza, quelli che permetteranno al cittadino di accedere alla maggior parte dei servizi digitali della Pa, al livello tre invece è associato un supporto materiale, una smart card.Insieme al Garante Privacy sono stati disegnati infatti tre livelli di sicurezza, a seconda del servizio.

Al livello base serve solo il Pin unico, al secondo gradino si affianca una “one time password” (usa e getta), al terzo si aggiunge una “smart card”, un supporto magnetico (è il caso di operazioni come il trasferimento di fondi o lo scambio di documenti con dati sensibili). Che cosa è lo Spid I regolamenti Il primo regolamento riguarda le procedure per consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello Spid, il rilascio dell'identità digitale. Nel regolamento sono descritti i requisiti generali che tali preesistenti sistemi devono possedere per poter essere utilizzati «al fine di ottemperare alla verifica dell'identità di un soggetto che richiede il rilascio di un'identità Spid e le modalità con cui l'Agenzia conduce l'istruttoria prevista».

Per utilizzare le soluzioni di identificazione informatica preesistenti il gestore dell'identità digitale può presentare una domanda all'Agenzia. Il secondo regolamento è quello che definisce le modalità per l'accreditamento e la vigilanza dei gestori dell'identità digitale: dal 15 settembre i soggetti, pubblici e privati, che intendono ottenere l'accreditamento potranno iniziare a fare la domanda e presentare i documenti elencati nell'allegato al provvedimento. Il terzo regolamento , che stabilisce invece le modalità per la realizzazione dello Spid, individua i criteri attuativi: a) con cui i soggetti aderiscono al sistema, previo accreditamento e stipula di convenzioni; b) di rilascio dell'identità digitale, previa verifica dell'identità del soggetto richiedente e rilascio delle credenziali; c) di gestione del ciclo di vita dell'identità digitale, ivi compresa la sospensione e la revoca; d) di autenticazione del soggetto che richiede il servizio; e) di monitoraggio da parte dell'Agid. Il quarto decreto infine definisce le regole tecniche. I regolamenti Il primo regolamento Il secondo regolamento Il terzo regolamento Il quarto decreto