Occorre tener poi presente che anche le imprese private - oltre che accedere come utenti - possono stipulare convenzioni con l’AgID per l’adesione al Sistema in qualità di fornitori di servizi qualificati (Service Provider) erogati in rete nell’ambito di SPID, secondo l’apposito schema pubblicato lo scorso 7 ottobre dall’Agenzia.
Il concetto alla base del Sistema pubblico per la gestione delle identità digitali nasce in ambito comunitario ed è stato disegnato in conformità al Regolamento eIDAS (acronimo di “electronic IDentification Authentication and Signature” - Regolamento UE n. 910/2014 sull’identità digitale), emanato il 23 luglio 2014 e con piena efficacia dal 1° luglio di quest’anno.
Il Regolamento ha l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica degli Stati membri e rappresenta infatti una delle iniziative trasversali della Strategia per la Crescita Digitale 2014-2020: le tecniche ed i protocolli su cui si basa il nostro SPID sono già stati sperimentati a livello europeo e adottati in alcuni progetti sperimentali: il combinato disposto del Regolamento comunitario, del Codice dell’Amministrazione Digitale (CAD) e dei provvedimenti regolatori consente di realizzare l’interoperabilità del Sistema nel panorama tecnologico europeo.
Le disposizioni del CAD contenute nel decreto legislativo n. 82/2005, profondamente rivisitato di recente dal decreto legislativo n. 179 del 26 agosto 2016 (proprio in conformità al citato Regolamento comunitario eIDAS), si occupano, tra l’altro, dei servizi in rete: in particolare, gli articoli 64 e 64bis sono dedicati allo SPID, istituito a cura dell’AgID per favorire la diffusione di servizi on line ed agevolare l'accesso agli stessi anche in mobilità da parte di cittadini e imprese.
ARCHITETTURA GENERALE DI SPID. Tali norme disegnano il Sistema SPID come un insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'AgID, secondo modalità definite con apposito DPCM (il DPCM 24 ottobre 2014, recante “Definizione delle caratteristiche del sistema SPID, nonché dei tempi e delle modalità di adozione del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID) da parte delle pubbliche amministrazioni e delle imprese”), identificano gli utenti per consentire loro l'accesso ai servizi in rete, definendo un ambiente sicuro, efficace ed economico ed in coerenza con una strategia che privilegia il digitale per default. Il modello segue un approccio federato per la fornitura dei servizi di identità digitale in modo da consentire, da un lato, ai cittadini e alle imprese di scegliere autonomamente il gestore delle identità digitale certificato e, dall’altro, di creare un mercato libero e competitivo che stimoli una concorrenza virtuosa ed un continuo miglioramento delle soluzioni tecnologiche e dei sistemi. Il modello SPID prevede la separazione delle funzioni di identificazione (di competenza dei gestori dell’identità digitale) dalle funzioni di attestazione e autenticazione degli attributi qualificati (informazioni circa specifiche qualifiche, abilitazioni professionali o poteri di rappresentanza del titolare dell’identità attestate da gestori di attributi qualificati che, in base alle norme vigenti, istituzionalmente hanno il ruolo di certificare tali tipologie di informazioni, quali, ad esempio, ordini professionali, camere di commercio, ecc.). Il Sistema SPID è basato su tre livelli di sicurezza di autenticazione informatica, con il livello 1 associato a quello più basso ed il livello 3 a quello più elevato, assegnati direttamente dal fornitore a ciascuno dei servizi resi disponibili: livelli di sicurezza più alti saranno associati a sistemi/applicazioni che comportano conseguenze ed impatti più significativi (come il trattamento di dati sensibili o dati relativi a reddito o patrimonio), mentre richieste a carattere informativo, e di basso contenuto, possono essere associate a livelli più bassi.
DIVENTARE FORNITORE DI SERVIZI SPID. Le pubbliche amministrazioni adottano SPID nei tempi e secondo le modalità definiti con il citato DPCM, nonché nei previsti regolamenti. Tali disposizioni, peraltro, stabiliscono le caratteristiche dello SPID, consentendo agli utenti di avvalersi di gestori dell’identità digitale (ID) e di gestori di attributi qualificati, per consentire ai fornitori di servizi qualificati (SP) erogati in rete l’immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano. L’articolo 4 del DPCM prevede inoltre diverse attività in capo all’AgID: gestire l’accreditamento di IP e SP e dei gestori di attributi qualificati, stipulare con essi apposite convenzioni; curare l’aggiornamento del Registro SPID e vigilare sull’operato dei soggetti che partecipano allo SPID; stipulare apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità. Il percorso di adeguamento dei sistemi informativi alle regole tecniche e alle regole di design necessario per le amministrazioni pubbliche per rendere i propri servizi on line accessibili tramite SPID prevede due procedure, una tecnica ed una amministrativa.
PROCEDURA TECNICA. La procedura tecnica è basata sul protocollo SAML2 (Security Assertion Markup Language), standard informatico per lo scambio di dati di autenticazione e autorizzazione, dette asserzioni, tra domini di sicurezza distinti (tipicamente un identity provider e un service provider, come nel caso di SPID). Ciascuna amministrazione deve innanzitutto consultare le regole tecniche (emanate da AgID ai sensi dell’articolo 4, comma 2, del citato DPCM, che fungono da guida nell’implementazione di SPID) e le regole di design, indispensabile supporto nell’utilizzo delle componenti grafiche atte a garantire la riconoscibilità di SPID tra gli utenti. Dal punto di vista strettamente tecnico, sono diverse le attività che ogni SP deve svolgere per implementare i propri servizi nel Sistema SPID, interagendo con i diversi attori nell’ambito dei protocolli di interscambio strutturati e codificati (specifiche delle interfacce, metadata, attributi, gestione dei nodi di dispiegamento dei servizi del SP, ecc.): per completezza e marcata specializzazione degli stessi, si rimanda ogni dettagliato approfondimento operativo direttamente alle fonti richiamate nelle citate regole tecniche e nei diversi avvisi successivamente emanati dall’AgID. Con Determinazione AgID n. 44/2015 sono stati emanati i regolamenti previsti dall’articolo 4, commi 2 e 3, del citato DPCM, tra i quali rientrano: le regole tecniche e delle modalità attuative per la realizzazione dello SPID; le modalità di accreditamento dei soggetti SPID; le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale. Presso l’Agenzia viene tenuto il Registro SPID, accessibile al pubblico, contenente l'elenco dei soggetti abilitati a operare in qualità di gestori dell'identità' digitale, di gestori degli attributi qualificati e di fornitori di servizi.
CONVENZIONE PER L’ADESIONE ALLO SPID. L’adesione allo SPID da parte delle pubbliche amministrazioni in qualità di fornitori di servizi è regolato come indicato all’articolo 14 del DPCM, ove viene infatti stabilito che “I fornitori di servizi possono aderire allo SPID stipulando apposita convenzione con l’Agenzia“ il cui schema è definito nell’ambito dei regolamenti attuativi e che le pubbliche amministrazioni aderiscono allo SPID, secondo le modalità stabilite dall’Agenzia entro i ventiquattro mesi successivi all’accreditamento del primo gestore dell’identità digitale. Peraltro lo stesso DPCM definisce come fornitore di servizi: “il fornitore dei servizi della società dell’informazione definiti dall’art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un’amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete”. Sottoscrivendo la citata Convenzione con AgID, l’amministrazione pubblica che intende aderire al Sistema fornendo on line i propri servizi si impegna a rispettare la normativa vigente sullo SPID, nonché le regole e i relativi aggiornamenti emanati da AgID e, al contempo, assume anche una serie di obblighi verso l’Agenzia, tra i quali quelli: di comunicare l’elenco dei servizi qualificati erogati in rete attivi anche nel formato metadata specificato nei Regolamenti attuativi del sistema SPID, aggiornandolo periodicamente e pubblicandolo sul sito istituzionale dell’Amministrazione ad apposita URL; di comunicare, per ciascuno dei servizi qualificati erogati in rete compresi nel citato elenco, la lista degli attributi SPID necessari alla fruizione (pertinenti e non eccedenti in relazione alla tipologia e alle funzionalità offerte dal servizio); di inviare una sintetica nota in merito ai livelli di sicurezza adottati e agli attributi (identificativi, non identificativi e qualificati) richiesti per ciascuno dei servizi erogati.
ALTRI OBBLIGHI Oltre ai predetti obblighi comunicazionali e alla collaborazione con AgID nell’attività di monitoraggio e controllo (attuata inviando ad AgID, in forma aggregata, i dati da questa richiesti, peraltro utilizzabili esclusivamente a fini statistici), ciascuna Amministrazione SP dovrà porre in essere ogni attività strumentale all’adesione allo SPID e connessa al corretto accesso al Registro, nel rispetto di tutte le disposizioni regolamentari. Il SP convenzionato si impegna ad assistere l’utente nella risoluzione di eventuali problematiche che si dovessero verificare nel corso dell’autenticazione (help desk di primo livello), facendosi carico, se necessario, di sentire il gestore delle identità digitali coinvolto nella transazione (help desk di secondo livello) e a comunicare tempestivamente ogni eventuale malfunzionamento o incidente sulla sicurezza occorso al sistema di autenticazione - entro e non oltre 24 ore dall’avvenuta conoscenza dall’accaduto – al Garante per la protezione dei dati personali e all’AgID, in particolar modo laddove si verifichino eventuali violazioni ed intrusioni nei dati personali dei soggetti per i quali viene richiesta la verifica dell’identità digitale. Costituisce infatti parte fondamentale della Convenzione con il SP il vincolo alla scrupolosa osservanza delle disposizioni contenute nel Decreto Legislativo 30 giugno 2003, n. 196, in particolare per quanto concerne la sicurezza dei dati, gli adempimenti e la responsabilità nei confronti degli interessati, dei terzi e dell’Autorità del Garante per la protezione dei dati personali. Come già si era accennato, l’amministrazione si impegna a non acquisire attraverso lo SPID attributi e informazioni non necessari alla fruizione del servizio richiesto dall’utente. Ciascuna Convenzione ha durata quinquennale, a decorrere dalla sua sottoscrizione e non può essere oggetto di rinnovo tacito. Per vigilare sulla corretta applicazione della convenzione, sia l’AgID che l’Amministrazione nominano propri Referenti, chiamati ad eseguire e ricevere ogni comunicazione conseguente alla stipula della stessa.
FORNITORI DI SERVIZIO PRIVATI e IP. Con la determinazione n. 239/2016, l’AgID ha emanato di recente lo schema di convenzione per l’adesione a SPID anche da parte dei soggetti privati in qualità di fornitori di servizi accessibili nell’ambito del Sistema. In via più generale, mentre per la Pubblica Amministrazione SPID è (e resterà) gratuito, per i Service Provider privati il Sistema sarà a pagamento in favore degli IP, secondo un modello di pricing non ancora definito ma del quale è stato comunque già fissato l’imperativo di uniformità: non vi sarà quindi competizione sul prezzo dei servizi core, mentre la competizione tra gli IP potrà realizzarsi sui servizi aggiuntivi eventualmente offerti. Fin dalla prima fase di avvio, SPID costituisce per ogni IP un investimento (in infrastruttura tecnologica, accreditamento presso l’Agenzia, ecc.) e significativi costi di funzionamento (per l’autenticazione degli utenti e per la gestione delle identità). I ricavi a copertura di questi costi potranno quindi sicuramente pervenire dai SP privati, ma anche dagli utenti, vista la previsione secondo la quale dopo due anni il servizio potrà essere a pagamento, con riferimento non solo ai servizi aggiuntivi.
Daniele Perugini