Vai al contenuto

I Sistemi di Identificazione Digitale

Da Wikiversità, l'apprendimento libero.
lezione
lezione
I Sistemi di Identificazione Digitale
Tipo di risorsa Tipo: lezione
Materia di appartenenza Materia: Informatica del diritto
Avanzamento Avanzamento: lezione completa al 100%

L'Identità Digitale è l'insieme delle informazioni e delle risorse concesse da un Sistema Informatico ad un particolare utilizzatore del suddetto sotto un processo di Identificazione. In un'accezione più ampia essa è costituita dall'insieme di informazioni presenti on line e relative ad un soggetto/ente/brand/ecc..

Le Caratteristiche dell'Identità Digitale

[modifica]

La rappresentazione dell'identità digitale deve essere tanto più completa quanto è complessa la transazione in cui è coinvolta. Infatti il grado di affidabilità e le quantità di informazioni richiesti possono variare in modo molto significativo a seconda del tipo di Transazione.

Un'identità digitale è articolata in due parti:

  • Chi uno è (identità).
  • Le credenziali che ognuno possiede (gli attributi di tale identità).

Le credenziali possono essere numericamente e qualitativamente molto variegate e hanno differenti utilizzi. L'identità digitale completa è abbastanza complessa e ha implicazioni sia legali che tecniche. Comunque, l'identità digitale più semplice consiste in un ID (o Username) e una parola di identificazione segreta (o Password). In questo caso lo username è l'identità, mentre la Password è chiamata credenziale di Autenticazione. Ma l'identità digitale può essere complessa come una vera e propria identità umana.

L'Autenticazione

[modifica]

Nelle transazioni quando viene provato che l'identità digitale presentata sia effettivamente quella di chi o di cosa dice di essere, si parla di processo di Autenticazione.

L'Autenticazione ad un solo fattore (quella con Username e Password vista prima) non è molto sicura perché la Password potrebbe essere indovinata da qualcuno che non è il vero utente. Quella multi-fattore può essere più sicura, ad esempio quella con una chiave fisica di Sicurezza, o Tessera Magnetica, Smart Card ("Qualcosa Che Possiedi") e una Password, ("Qualcosa Che Sai"). Se si aggiungono informazioni biometriche (Iride, Impronta Digitale, Impronta Vocale, riconoscimento del volto, ecc.) abbiamo anche fattori di Autenticazione che rispondono a "qualcosa che sei". Queste informazioni sono di norma protette da un sistema di Autenticazione.

La Carta d'Identità Elettronica Italiana e la Carta Nazionale dei Servizi sono strumenti di autenticazione previsti dal Codice dell'Amministrazione Digitale per l'accesso ai servizi web erogati dalle Pubbliche Amministrazioni. In via transitoria, fino al 31/12/2007, sono ammesse anche altre modalità, meno sicure, come quelle basate sulla coppia Nome Utente e Password.

L'art. 64, c.2 del Codice dell'Amministrazione Digitale è stato esteso in tal senso: esso infatti prevede che "le pubbliche amministrazioni possono consentire l'accesso ai servizi in rete da esse erogati che richiedono l'identificazione informatica anche con strumenti diversi dalla carta d'identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano l'individuazione del soggetto che richiede il servizio".

Dal 15 marzo è attivo SPID, il Sistema Pubblico dell'Identità digitale che entro il 2017 renderà accessibili tutti i servizi online della Pubblica Amministrazione con un unico sistema di credenziali. Il sistema è aperto anche a soggetti privati.

L'Autorizzazione/Controllo di Accesso

[modifica]

È il livello successivo dopo che le identità digitali sono state autenticate. Spesso la concessione dell'Autorizzazione coinvolge l'utilizzo dell'intera identità digitale in una transazione, come ad esempio il Login di un utente ad un sito. In altri casi il controllo di accesso può abilitare o restringere l'accesso ad informazioni private o consentire l'accesso a servizi o prodotti a pagamento.

La Riservatezza (O "Confidenzialità")

[modifica]

È la capacità del sistema di impedire che una terza parte intercetti e sfrutti dati che si stanno ricevendo o trasmettendo (n° Carta di Credito, Conto Corrente, ecc). Questo livello di Sicurezza è raggiungibile con la Crittografia, ma è l'identità digitale che ha in sé le credenziali necessarie per fare ciò.

L'Integrità dei Dati

[modifica]

Per essere sicuri che nessuno intercetti i dati che si stanno scambiando, può essere importante sapere che nessuno li ha alterati durante la Trasmissione. Cioè essere sicuri che il documento che si riceve è lo stesso del documento inoltrato dall'altra identità digitale e non è stato alterato o danneggiato. Questo è realizzato con la Firma Digitale e speciali tecniche di crittografia a Chiave Pubblica e Privata. La tecnologia che permette l'utilizzo di tale crittografia e del Certificato Digitale, emessi da una Autorità di Certificazione riconosciuta secondo Standard Internazionali, è conosciuta come Public Key Infrastructure (PKI).

La Prova della Fonte

[modifica]

Se le identità digitali possiedono le credenziali della Firma Digitale, è possibile effettuare specifiche transazioni in cui i dati inviati con la Firma Digitale sono codificati in un modo che dimostra che i dati sono effettivamente stati inviati. La prova della fonte è strettamente correlata all'integrità dei dati sopra illustrata e anch'essa utilizza le Tecniche di Crittografia di PKI, ma per uno scopo differente. Dimostra che una specifica identità digitale ha firmato e trasmesso specifici dati.

Il Non Ripudio

[modifica]

Sempre grazie alla PKI (Public Key Infrastructure) è possibile fornire la prova incontestabile di un'avvenuta spedizione o di un'avvenuta ricezione di dati in rete. Assume due modalità:

  • Non Ripudio della Sorgente: prova chi è il mittente dei dati in una transazione.
  • non Ripudio della Destinazione: prova che i dati sono arrivati ad uno specifico destinatario.

Generalmente il servizio di non ripudio è richiesto in quelle transazioni in cui bisogna avere garanzie di avvenuta spedizione/ricezione di Flussi Ielematici.

La Reputazione

[modifica]

La Reputazione Digitale (Web Reputation) è l'immagine che si ricava dall'analisi delle opinioni che gli utenti della rete si scambiano on line e dalle informazioni pubbliche presenti sui canali di comunicazione messi a disposizione del Web 2.0. Poiché le informazioni presenti on line e accessibili a chiunque costituiscono spesso la prima forma di contatto e la prima fonte informativa, esse hanno una rilevanza significativa nel determinare l'opinione che gli utenti si formano del soggetto/azienda/ente ecc.


La Carta d'Identità Elettronica Italiana (CIE)

[modifica]
Carta d'identità elettronica italiana (fac simile).

La Carta d'Identità Elettronica Italiana (CIE) è un Documento di Riconoscimento Previsto in Italia dalla legge che, gradualmente, sta sostituendo la Carta d'Identità in Formato Cartaceo]] nella Repubblica Italiana.

La Carta di identità elettronica attesta l'identità del cittadino. Inoltre, è valida come documento per l'espatrio (negli Stati che l'accettano al posto del Passaporto per i cittadini italiani e se non diversamente segnalato sulla carta stessa) e per identificarsi al fine di usufruire di servizi per i quali è richiesto un documento di riconoscimento (per esempio ottenere alloggio in Alberghi) o richiesto da chi fornisca il servizio o venda una merce per identificare l'acquirente. La CIE può essere sfruttata anche per richiedere un'identità digitale SPID e usarla per accedere ai servizi in rete erogati dalle Pubbliche Amministrazioni.

L'introduzione della nuova CIE è finalizzata ad incrementare i livelli di sicurezza mediante l'adeguamento delle caratteristiche del supporto agli standard internazionali di sicurezza e a quelli anticlonazione e anticontraffazione in materia di documenti elettronici.

I Cenni Storici

[modifica]

Il Progetto Carta d'Identità Elettronica era previsto in Italia già dalle Leggi Bassanini nel 1997, rappresentando un'avanguardia rispetto agli altri Stati europei. La prima fase del progetto venne avviata nel 2001 con l'emissione in 83 Comuni di un primo modello sperimentale della CIE, al fine di individuare problemi di natura tecnica, legati al software e all'hardware, relativi all'emissione e all'utilizzo delle carte. Nel 2004 venne introdotto un secondo modello sperimentale della CIE (2.0), atto a fungere da versione pilota, in vista dell'allargamento su scala nazionale dei Comuni emettitori. Tuttavia, solo a decorrere dal 1º gennaio 2006 la carta d'identità su supporto cartaceo iniziò a essere sostituita, in alcuni Comuni, dalla carta d'identità elettronica (articolo 7-vicies ter del decreto-legge 31 gennaio 2005, n. 7, convertito della Legge 31 marzo 2005 n. 43).

In tutto il territorio nazionale e nei consolati (per gli italiani residenti all'estero), numerosi Comuni, di propria iniziativa, si aggiunsero a quelli iniziali che avevano ricevuto le apparecchiature necessarie al suo rilascio. Alla fine del 2009 erano state emesse circa 1,8 milioni di CIE da 153 comuni. Tuttavia, questa versione "Pilota" della CIE presentava ancora diversi problemi: «Non solo i materiali non erano adatti, ma la realizzazione della carta ruotava attorno alla tecnologia proprietaria di un'azienda privata, la Laser Memory Card, nonostante fosse un progetto dello Stato, con tutte le pesanti limitazioni di sicurezza e gestione», ha spiegato Paolo Aielli, amministratore delegato dell'IPZS dal 2014. La tessera era un prodotto scadente e presentava spesso problemi strutturali, arrivando in alcuni casi a sfaldarsi. Risolto il problema tecnico, venne avviata la sperimentazione in altri Comuni, ma le stampanti si rivelarono inadeguate (i dati personali, compresa la fotografia, venivano infatti stampati sulla tessera direttamente dal Comune emettitore, mediante Trasferimento Termico), e anche l'organizzazione si rivelò inefficiente.

Nel 2015 è stato invece deciso di sfruttare un unico polo produttivo, quello della Zecca di Roma e, con il decreto interministeriale del 23 dicembre 2015 (G.U. - Serie generale n.302 del 30/12/2015), sono state specificate le caratteristiche della nuova CIE che per questo è stata chiamata anche CIE 3.0.

La CIE è stata definita come documento d'identità sostitutivo alla Carta d'Identità Cartacea con l'art. 10, comma 3 del D.L. 78/2015 recante "Disposizioni urgenti in materia di enti territoriali", convertito dalla legge 6 agosto 2015, n. 125.

Dal 4 luglio 2016 è cominciato il processo di sostituzione della carta d'identità cartacea con la CIE, inizialmente operativo in 199 Comuni. In conformità al piano di dispiegamento approvato dalla Commissione interministeriale della CIE (all.1), i restanti Comuni stanno venendo abilitati gradualmente all'emissione della nuova CIE. In particolare:

  • Un primo gruppo (abilitato a partire dal 26 aprile 2017), composto da 350 Comuni, ha assicurato, con i precedenti 199, la copertura del 50% della popolazione.
  • Un secondo gruppo di Comuni, assicurerà la copertura del 100% della popolazione residente in Italia entro la metà del 2018.

Le Caratteristiche del Documento

[modifica]

La Carta di identità elettronica è un documento di identificazione: consente di comprovare in modo certo l'identità del titolare, tanto sul territorio nazionale quanto all'estero, ad esclusione della verifica delle impronte, per la lettura delle quali è necessario il rilascio dell'autorizzazione da parte del Ministero dell'Interno.

Il supporto fisico della CIE è integrato con un microprocessore contenente dati, primari e secondari (tra cui le Impronte Digitali), per il Riconoscimento Biometrico del titolare. È prevista anche la facoltà del cittadino maggiorenne di indicare, ai sensi dell'articolo 3 del Testo Unico delle Leggi di Pubblica Sicurezza (T.U.L.P.S.), emanato con regio decreto n. 773/1931, il consenso o il diniego alla donazione di organi e/o tessuti in caso di morte così come disciplinato dalle linee guida adottate congiuntamente al Ministero della Salute: la gestione di tale informazione è assicurata dal Centro Nazionale Trapianti attraverso il Sistema informativo trapianti (SIT). Nel caso in cui il cittadino intenda modificare la propria volontà precedentemente registrata nel SIT, si deve recare presso la propria ASL di appartenenza oppure le aziende ospedaliere o gli ambulatori dei medici di medicina generale o i Centri Regionali per i Trapianti (CRT), o - limitatamente al momento di rinnovo della CIE - anche presso il Comune.

La nuova CIE è caratterizzata da:

  • Un supporto in policarbonato personalizzato mediante la tecnica del laser engraving con la foto e i dati del cittadino e corredato da elementi di sicurezza (ologrammi, sfondi di sicurezza, micro scritture, guilloches ecc.).
  • Un microprocessore a radio frequenza che costituisce:
    • Una componente elettronica di protezione da contraffazione dei dati anagrafici, della foto e delle impronte del titolare.
    • Uno strumento predisposto per consentire l'autenticazione in rete da parte del cittadino, finalizzata alla fruizione dei servizi erogati dalle PP.AA..
    • Un fattore abilitante ai fini dell'acquisizione di identità digitali sul Sistema Pubblico di Identità Digitale (SPID).
    • Un fattore abilitante per la fruizione di ulteriori servizi a valore aggiunto, in Italia e in Europa.

La carta è contrassegnata da un numero seriale stampato sul fronte in alto a destra ed avente il seguente formato: C<lettera><numero><numero><numero><numero><numero><lettera><lettera> (ad esempio CA00000AA). Tale numero seriale prende il nome di numero unico nazionale.

Il Contenuto

[modifica]

La disposizione dei campi sul documento viene definita in base alle informazioni da stampare sul fronte e sul retro della carta e alle raccomandazioni degli standard internazionali (Organizzazione Internazionale dell'Aviazione Civile - ICAO 9303) che indicano la posizione dei principali elementi. Il posizionamento delle informazioni, secondo quanto indicato dagli standard, rende possibile un controllo del documento più rapido, anche all'estero. La carta d'identità elettronica contiene i seguenti campi:

(Fronte)

Fronte
  1. Numero Unico Nazionale.
  2. Comune di Rilascio del Documento.
  3. Cognome.
  4. Nome.
  5. Luogo e Data di Nascita.
  6. Sesso.
  7. Statura.
  8. Cittadinanza.
  9. Data di Emissione.
  10. Data di Scadenza.
  11. Immagine della Firma.
  12. Card Access Number – CAN (Sei Caratteri Numerici in OCR-B).
  13. Validità per l'Espatrio, con Eventuale Annotazione in Caso di Non Validità.

(Retro)

Retro
  1. Cognome e Nome dei Genitori (Nel Caso di un Minore).
  2. Codice Fiscale.
  3. Estremi dell'Atto di Nascita.
  4. Indirizzo di Residenza.
  5. Comune di Iscrizione Anagrafe degli Italiani Residenti all'Estero (AIRE) (Per i Cittadini Residenti all'Estero).
  6. Codice Fiscale Sotto Forma di Codice A Barre (In Code 39).
  7. Machine Readable Zone – MRZ (Tre Righe di Trenta Caratteri Alfanumerici in OCR-B).

Gli Elementi di Sicurezza

[modifica]

La CIE Italiana rappresenta un imponente miglioramento nel campo dell'anticontraffazione e anticlonazione rispetto alla sua omologa cartacea, che è tra i documenti d'identità più contraffatti d'Europa.

La Carta d'Identità Elettronica è realizzata in policarbonato, lo sfondo è uguale per tutte le carte e costituisce un elemento anticontraffazione. I dati variabili vengono stampati in bianco e nero con la tecnica dell'Incisione Laser. Elementi di sicurezza sono posti su entrambi i lati.

La progettazione della Carta è svolta in base ad esigenze di funzionalità e di sicurezza: il documento deve fornire le informazioni necessarie all'identificazione del titolare e protezione contro i tentativi di copia e alterazione.

Gli elementi di sicurezza e quelli funzionali si legano a un disegno grafico caratteristico del documento che lo rende immediatamente riconoscibile. Sulla CIE sono presenti: l'Emblema della Repubblica Italiana e la geometria della Piazza del Campidoglio a Roma, opera celeberrima di Michelangelo Buonarroti.

La CIE è inoltre dotata di:

  • Ologramma di Sicurezza.
  • Microprocessore, contenente delle chiavi crittografiche che permettono al titolare della carta di identificarsi in maniera sicura presso sistemi automatici.
Il Microprocessore
[modifica]

Il Microprocessore della CIE è del tipo "Contactless (Senza Contatti)": non è quindi necessario inserire la Carta in un lettore ma è sufficiente avvicinarla senza contatto fisico. La Carta può essere letta dai dispositivi utilizzati dalla strumentazione di controllo presente, ad esempio, in frontiera, da lettori da tavolo commerciali e da smartphone dotati di interfaccia NFC (Near Field Communication (Comunicazione di Prossimità)).

Logo di passaporto biometrico

Il microprocessore della CIE offre la verifica dell'identità tramite l'applicazione cosiddetta "Organizzazione Internazionale dell'Aviazione Civile (ICAO) - Documento di Viaggio a Lettura Ottica (MRTD)", la stessa presente sul passaporto elettronico emesso da tutti i Paesi europei. L'applicazione contiene i dati anagrafici del titolare (nome, cognome, data di nascita, …), la sua foto e le impronte digitali. In accordo con gli standard internazionali, la lettura dei dati anagrafici e della fotografia è consentita solo a chi può leggere fisicamente quanto stampato sul documento. Questo avviene mediante una chiave d'accesso stampata sulla Carta (nel CAN – Card Access Number o nell'MRZ – Machine Readable Zone). L'accesso alle impronte digitali è permesso solo a chi può leggere i dati stampati ed è in possesso di specifiche autorizzazioni (le Forze di Polizia). Non è quindi possibile che un dispositivo legga i dati personali all'insaputa del titolare. Tutta la conversazione tra la Carta e il lettore è cifrata con delle chiavi che vengono cambiate ad ogni sessione con algoritmi standard. Non è quindi possibile intercettare la comunicazione per leggere dati dalla Carta.

La possibilità di autenticazione offerta dal microprocessore della CIE può essere sfruttata per richiedere un'identità digitale SPID e per utilizzare tale identità digitale per accedere ad uno o più servizi in rete erogati dalle PP. AA. L'autenticazione è avviata dal titolare che viene invitato ad inserire il PIN di autenticazione in una apposita finestra del browser. La prima metà di tale PIN si riceve al momento della presentazione della richiesta per la CIE, la seconda metà del PIN viene ricevuta assieme alla Carta stessa.

La Disciplina

[modifica]

Il Rilascio

[modifica]

La Carta di Identità Elettronica può essere richiesta presso il proprio Comune di residenza o presso il Comune di dimora. Il cittadino dovrà recarsi in Comune munito di fototessera, in formato cartaceo o elettronico (su un supporto USB) e preferibilmente anche di Codice Fiscale o Tessera Sanitaria al fine di velocizzare le attività di registrazione (non è necessario presentare altri documenti). Prima di avviare la pratica di rilascio della Carta di identità elettronica bisognerà versare, presso le casse del Comune, la somma di € 16,79 (euro 13,76 oltre IVA all'aliquota vigente) oltre i diritti fissi e di segreteria, ove previsti, quale corrispettivo per il rilascio della CIE. Bisognerà inoltre conservare il numero della ricevuta di pagamento.

Per velocizzare le operazioni di rilascio, è stato creato un portale, attraverso il quale il cittadino ha la possibilità di prenotare l'appuntamento con gli uffici comunali ed indicare l'indirizzo di consegna della CIE, all'indirizzo https://agendacie.interno.gov.it.

Il cittadino, nel momento della domanda:

  • Esibisce (in caso di primo rilascio) all'operatore Comunale un altro documento di identità in corso di validità. Se non ne è in possesso dovrà presentarsi al Comune accompagnato da due testimoni;
  • In caso di rinnovo o deterioramento del vecchio documento consegna quest'ultimo all'operatore comunale.
  • Consegna all'operatore comunale il codice fiscale e il numero della ricevuta di pagamento della Carta (se disponibile).
  • Verifica con l'operatore comunale i dati anagrafici rilevati dall'anagrafe comunale.
  • Fornisce, se lo desidera, indirizzi di contatto per essere avvisato circa la spedizione del suo documento.
  • Indica la modalità di ritiro del documento desiderata (consegna presso un indirizzo indicato o ritiro in Comune).
  • Fornisce all'operatore comunale la fotografi. (Dato Biometrico Primario).
  • Procede con l'operatore comunale all'acquisizione delle impronte digitali. (Dato Biometrico Secondario).
  • Fornisce, se lo desidera, il consenso ovvero il diniego alla donazione degli organi.
  • Firma il modulo di riepilogo procedendo altresì alla verifica finale sui dati.

Al termine dell'operazione di acquisizione dei dati, il Comune rilascia al richiedente la ricevuta della richiesta della CIE, comprensiva del numero della pratica e della prima parte dei codici PIN/PUK associati alla CIE.
Dopodiché l'operatore comunale invierà i dati del richiedente, tramite un canale sicuro, per la certificazione, al Centro nazionale dei servizi demografici (CNSD) ubicato presso il Ministero dell'interno, che a sua volta li trasmetterà all'IPZS per la produzione, personalizzazione, stampa e consegna del documento elettronico. Il cittadino riceverà la CIE e la seconda parte dei codici PIN/PUK associati a essa all'indirizzo indicato, entro 6 giorni lavorativi dalla richiesta. La consegna è a cura di Poste Italiane S.p.A.
Una persona delegata potrà provvedere al ritiro del documento, purché le sue generalità siano state fornite all'operatore comunale al momento della richiesta.

I cittadini italiani residenti all'estero potranno, invece, richiedere la CIE all'autorità consolare competente nei casi di primo rilascio, deterioramento, smarrimento o furto del documento di identificazione. La modalità di richiesta, pagamento, consegna della CIE ed ogni altro aspetto relativo alla sua emissione da parte degli stessi Uffici consolari saranno, disciplinate congiuntamente con il Ministero degli affari esteri e della cooperazione internazionale.

Il Periodo di Validità

[modifica]

Il documento può essere richiesto in qualsiasi momento e la sua durata varia secondo le fasce d'età di appartenenza (in conformità al D.L. n. 70 del 13/05/2011 convertito con modificazioni dalla L. 12 luglio 2011, n. 106). Nel dettaglio:

  • 3 anni per i minori di età inferiore a 3 anni.
  • 5 anni per i minori di età compresa tra i 3 e i 18 anni.
  • 10 anni per i maggiorenni.

Le Carte d'identità, conformemente alla legge 4 aprile 2012, n. 35, scadono nel giorno del compleanno del titolare successivo allo scadere del decimo (o quinto, o terzo) anno dal giorno dell'emissione del documento e avranno dunque una durata di una frazione d'anno superiore alla scadenza che si sarebbe altrimenti prevista.

Il Rinnovo

[modifica]

La richiesta di rinnovo dovrà essere presentata sempre presso il proprio Comune di residenza o dimora.

Lo Smarrimento

[modifica]

In caso di smarrimento della CIE, il cittadino è tenuto a sporgere regolare denuncia presso le forze dell'ordine; successivamente, contattando il servizio di supporto del Ministero dell'Interno, potrà richiedere l'interdizione del suo documento.

La Validità per l'Espatrio

[modifica]

La carta d'identità rilasciata ai cittadini italiani (purché non ci siano motivi ostativi al rilascio di un documento valido per l'espatrio) è anche titolo di viaggio per i paesi appartenenti all'U.E. e per quelli con i quali lo Stato italiano ha firmato specifici accordi.

La Carta Nazionale dei Servizi (CNS)

[modifica]

La Carta Nazionale dei Servizi (CNS) è un documento personale italiano che si affianca alla Carta d'Identità Elettronica Italiana.

Carta nazionale dei servizi (CNS) contenente la Tessera Sanitaria (TS)

Ha l'obiettivo di consentire la fruizione dei servizi previsti per la CIE agli utenti che non dispongono ancora del nuovo documento elettronico e integra le funzioni della Tessera Sanitaria del Servizio Sanitario Nazionale italiano.

La completa corrispondenza informatica tra CNS e CIE assicura l'interoperabilità tra le due carte e la possibilità per i cittadini di accedere ai servizi online della pubblica amministrazione con entrambe le tessere.

Si può definire la CNS come uno standard di carte che possono essere emesse da enti diversi (Ad esempio, la carta regionale dei servizi emessa qualche tempo fa dalle regioni Lombardia, Umbria, Sicilia, Friuli-Venezia Giulia, Puglia e Toscana e dalle province autonome di Bolzano e Trento sono contemporaneamente Tessera Sanitaria Nazionale ed Europea e carta nazionale dei servizi), ma che comunque permettono l'accesso a tutti i servizi nazionali.

Con il DPR 2 marzo 2004, n. 117 viene emanato il "Regolamento concernente la diffusione della carta nazionale dei servizi, a norma dell'art. 27, comma 8, lettera b), della legge 16 gennaio 2003, n. 3".

I Dettagli Tecnici

[modifica]

La carta nazionale dei servizi è una Smart Card formato ISO/IEC 7810:2003 ID-1 (85.60 mm × 53.98 mm × 0.76 mm) che segue lo standard ISO/IEC 7816 e presenta un Sistema di Crittografia Asimmetrica necessario per garantire l'autenticità della carta stessa. Al suo interno sono memorizzati i seguenti dati:

  • Codice PIN, necessario per accedere alla chiave privata della smart card.
  • Codice PUK, codice necessario per sbloccare la smart card in caso di 3 tentativi di accesso con PIN sbagliato.
  • Chiave Privata RSA a 1024 bit, necessaria per firmare digitalmente con Firma Elettronica Avanzata o Firma Digitale a seconda dei casi documenti o garantire l'accesso ai servizi online.
  • Chiave Pubblica RSA a 1024 bit, necessaria per controllare l'autenticità di documenti Firmati Digitalmente con la stessa smart card (esportabile).
  • Un Certificato Digitale in standard X.509.
  • ID della carta, per identificare univocamente la carta nel territorio nazionale.
  • Dati personali come il nome, cognome e il codice fiscale.

L'Uso

[modifica]

Per usare la CNS occorre:

  • Attivarla presso gli sportelli abilitati di ogni regione per ricevere il PIN della stessa.
  • Scaricare i driver compatibili (standard PKCS#11) che si trovano sui singoli siti regionali.
  • Disporre di un lettore di smart card (compatibile con le specifiche PC/SC). Alcune amministrazioni come la provincia autonoma di Bolzano o la provincia autonoma di Trento ne consegnano uno gratuitamente al momento dell'attivazione della tessera.

Il Sistema Pubblico di Identità Digitale (SPID)

[modifica]

Il Sistema Pubblico di Identità Digitale (SPID) è il sistema unico di login per l'accesso ai servizi online della pubblica amministrazione italiana e dei privati aderenti.

Cittadini e imprese possono accedere ai servizi con un'identità digitale unica – l'identità SPID – che ne permette l'accesso da qualsiasi dispositivo di fruizione (desktop, tablet, smartphone).

L'identità SPID si ottiene facendone richiesta ad uno degli identity provider (Gestore di identità digitale) accreditati. Ciascun utente può scegliere liberamente il gestore di identità preferito fra quelli accreditati (e quindi autorizzati) dall'Agenzia per l'Italia digitale (AgID).

L'autenticazione con SPID si declina in tre livelli di sicurezza delle credenziali, a seconda della tipologia di servizio.

Nel sistema SPID si distinguono i ruoli di:

  • Identity provider (gestore di identità digitale): fornisce le credenziali di accesso al sistema (identità digitali) e gestisce i processi di autenticazione degli utenti.
  • Service provider (fornitore di servizi): mette a disposizione servizi digitali accessibili tramite il login con credenziali SPID.
  • Attribute provider (gestore di attributi qualificati): fornisce attributi che qualificano gli utenti (stati, ruoli, titoli, cariche), finalizzati alla fruizione dei servizi.

AgID, d'intesa con il Garante per la Privacy, ha definito le regole tecniche per l'adozione del sistema SPID.

AgID gestisce le procedure di accreditamento dei gestori di identità digitale e svolge inoltre attività di vigilanza sull'operato degli identity provider.

Il Percorso di Attuazione

[modifica]

L'inizio dei lavori del sistema SPID è avvenuto nel marzo 2013 con la propost da parte del Deputato Stefano Quintarelli, presidente del comitato di indirizzo dell'AGID.

Il primo provvedimento di attuazione è stato il decreto della Presidenza del Consiglio dei Ministri 24 ottobre 2014, pubblicato sulla Gazzetta Ufficiale n. 285 del 9 dicembre 2014.

Il 28 luglio 2015, con la Determinazione n. 44/2015, sono stati emanati da AgID i quattro regolamenti (Accreditamento gestori, utilizzo identità pregresse, modalità attuative, regole tecniche) previsti dall'articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014 con cui il sistema SPID è divenuto operativo.

Il regolamento che disciplina le modalità di accreditamento dei gestori di identità digitale è entrato in vigore il 15 settembre 2015, data dalla quale i soggetti interessati hanno potuto presentare domanda all'Agenzia per l'Italia Digitale.

Il 19 dicembre 2015, nel rispetto delle procedure previste dalle norme, AgID ha accreditato i primi tre gestori di Identità SPID:

  • InfoCert S.p.a..
  • Poste Italiane S.p.a..
  • Tim (Attraverso la Società Trust Technologies del Gruppo Telecom Italia).

Il 15 settembre 2016 sono stati accreditati:

  • Aruba Pec S.p.A..
  • Sielte S.p.a..

Il 12 maggio 2017 sono stati accreditati:

  • Namirial S.p.A..
  • Register.it S.p.a..

Dal 15 marzo 2016 i primi tre gestori di identità digitale hanno iniziato a rilasciare le prime identità SPID a cittadini e imprese richiedenti.

Entro il mese di giugno 2016 è prevista l'adesione a SPID di 14 amministrazioni pilota: Agenzia delle Entrate, Equitalia, Istituto Nazionale della Previdenza Sociale (INPS), Istituto Nazionale per l'Assicurazione Contro gli Infortuni sul Lavoro (INAIL), Comune di Firenze, Comune di Venezia, Comune di Lecce, Comune di Genova, Regione Toscana, Regione Liguria, Regione Emilia-Romagna, Regione Friuli-Venezia Giulia, Regione Lazio, Regione Piemonte e Regione Umbria.

SPID è anche candidato al riconoscimento a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014, consentendo ai cittadini che ne saranno dotati di utilizzare il sistema anche per l'accesso ai servizi resi disponibili in rete dalle pubbliche amministrazioni di tutta l'Unione europea e, facoltativamente, dai soggetti privati.

Attivazione dei servizi delle pubbliche amministrazioni

  • 15 Marzo 2016: Regione Toscana, Inps.
  • 6 Aprile 2016: Regione Friuli Venezia Giulia.
  • 15 Aprile 2016: Agenzia delle Entrate Con Servizio 730 Precompilato.
  • 28 Aprile 2016: Equitalia.

I Principi di Innovazione

[modifica]

Il Solo Informazioni Necessarie e Sufficienti

[modifica]

Con SPID è introdotta un'innovazione nell'accesso ai servizi in rete: l'uso delle informazioni necessarie e sufficienti per il servizio. Un esempio è un servizio di chat dedicato ai minori, l'unica informazione necessaria al gestore del servizio è l'età del soggetto che accede.

A livello regolamentare i Service Provider potranno richiedere solo le informazioni minime utili all'erogazione del servizio.

"I fornitori di servizi, per verificare le policy di sicurezza relativi all'accesso ai servizi da essi erogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggetti richiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il set minimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto e mantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall'articolo 11 del decreto legislativo n. 196 del 2003."

Il Sistema Aperto Pubblico Privato

[modifica]

Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'Agenzia per l'Italia Digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni.

I Livelli di Sicurezza delle Credenziali SPID

[modifica]

L'Identità SPID è costituita da credenziali con caratteristiche differenti in base al livello di sicurezza richiesto per l'accesso. Esistono tre livelli di sicurezza, ognuno dei quali corrisponde a un diverso livello di identità SPID:

  • Il primo livello permette di accedere ai servizi online attraverso un nome utente e una password scelti dall'utente.
  • Il secondo livello – necessario per servizi che richiedono un grado di sicurezza maggiore – permette l'accesso attraverso un nome utente e una password scelti dall'utente, più la generazione di un codice temporaneo di accesso (one time password).
  • Il terzo livello, oltre al nome utente e la password, richiede un supporto fisico (es. smart card) per l'identificazione.

Ad oggi solo Aruba fornisce il terzo livello di sicurezza.

La Tecnologia

[modifica]

SPID si basa su una federazione Security Assertion Markup Language (SAML) 2.0.

Per l'utente sia le credenziali che l'uso dei servizi non devono imporre vincoli come l'uso di uno specifico hardware.