L’autenticazione è uno dei grandi temi dello sviluppo di una Europa digitale, non a caso il recente regolamento europeo emanato, eIDAS, è imperniato sui temi di Electronic identification and trust services. Nel 2015 si parlerà sempre più di fiducia in EUropa, in quanto la fiducia è alla base delle relazioni fra gli individui e fra le organizzazioni, ed è elemento cardine per la crescita. Il tema della identificazione/autenticazione per “tutte le stagioni e multi services” sta a cuore a molti, come dimostrato dai vari progetti che si sono susseguiti nel corso degli anni, dal governo di Singapore (One nation, one authentication),  a Symantec, Intel e Vasco (One device, one authentication), al progetto tutto italiano di autenticazione OTP distribuito I-Am (One person, one authentication), e ci fermiamo qui per non allungare troppo l’elenco; nel mondo del cloud, dei servizi telematici, del rapporto indiretto e intermediato dalla rete, ognuno di noi ha bisogno di farsi identificare per autenticarsi ed accedere ad un servizio.
Fino ad oggi l’identificazione è sempre avvenuta secondo lo schema “molti servizi altrettante identificazioni”, nel senso che qualsiasi fornitore di servizi in rete, che fosse una pubblica amministrazione, un fornitore di servizi finanziari, trasporti, energia, social, shopping online ecc. ecc. chiedeva, e tuttora chiede, di autenticarsi al proprio sistema secondo un proprio metodo “proprietario” di identificazione, determinando così una moltiplicazione dei sistemi di identificazione (pani) e conseguentemente di autenticazione (pesci), pressochè infinita, dalle fogge e dalle forme le più disparate, a partire dal semplice e molto poco (ormai) sicuro User ID e PWD a sistemi di autenticazione a due o tre fattori (OTP, drop call, grafo PIN, riconoscimenti biometrici, ecc.) a seconda del livello di sicurezza a cui deve rispondere il sistema di accesso al servizio.
La stessa Comunità ha adottato ECAS il servizio europeo per l’autenticazione della Commissione. Esso consente agli utenti di accedere a una vasta gamma di sistemi di informazione della Commissione, utilizzando un unico nome utente e password. Una volta che si accede, ECAS si ricorda del nostro login per tutto il tempo che resta attiva la nostra sessione di lavoro sul nostro browser, consentendo al “navigante” di poter accedere ai tanti e diversi servizi senza la necessità di effettuare nuovi ed ulteriori login.
Il 9 dicembre 2014 è stato pubblicato, in ritardo di un mese e mezzo rispetto alla firma (avvenuta il 24 ottobre 2014), il decreto attuativo del Sistema Pubblico per la gestione dell’Identità Digitale – SPID. Durante i due mesi che seguono dalla data di pubblicazione (pausa natalizia permettendo) dovranno essere emenati tre regolamenti da parte dell’Agenzia per l’Italia digitale sentito il parere del Garante della protezione dei dati personali:

2. Entro trenta giorni dalla pubblicazione del presente decreto, l’Agenzia, sentito il Garante per la protezione dei dati personali, definisce con proprio regolamento le regole tecniche e le modalità attuative per la realizzazione dello SPID.

3. Entro sessanta giorni dalla pubblicazione del presente decreto, l’Agenzia, sentito il Garante per la protezione dei dati personali, defi nisce con proprio regolamento le modalità di accreditamento dei soggetti SPID.

4. Entro sessanta giorni dalla pubblicazione del presente decreto, l’Agenzia, sentito il Garante per la protezione dei dati personali, definisce con proprio regolamento le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale.

DPCM 24 ottobre 2014 – Art. 4. Ruolo dell’Agenzia

I soggetti pubblici o privati che partecipano allo SPID sono:

  1. i gestori dell’identità digitale;
  2. i gestori degli attributi qualificati;
  3. i fornitori di servizi;
  4. l’Agenzia per l’Italia digitale;
  5. gli utenti.

Il sistema ricalca/assomiglia molto a quello per il rilascio della firma elettronica qualificata: il tutto ruota intorno ai fornitori di trust services (“servizi fiduciari” nella traduzione in italiano del testo del Regolamento EiDAS) che mettono a disposizione le loro infrastrutture tecnologiche e il loro ruolo di autorità di certificazione per garantire agli utenti, che ne faranno richiesta, la propria identità certificata da un terzo affidabile e accreditato (sia come CA già accreditata presso AgID che come fornitore di identità SPID) e ai fornitori di servizi che devono autenticare fare accedere un utente, che “io” sia veramente “io”. Gli identity provider (i gestori dell’identità digitale, ndr.) che partono nella fase pilota iniziale sono le CA Infocert, Poste Italiane e Telecom Italia.

Gli identity provider identificano, certificano e autenticano gli utenti (ai servizi dei fornitori di servizi), secondo i diversi livelli di sicurezza reputati necessari dai fornitori di servizi.

Livelli di sicurezza delle identità digitali: nel primo livello, sarà sufficiente una password, che l’utente otterrà dal gestore. Nel secondo e nel terzo livello, saranno necessarie strong authentication, autenticazioni a doppio fattore; oltre alla password statica bisognerà inserire una One Time Password generata dinamicamente da un dispositivo (uno smartphone dotato di app nel secondo livello, un dispositivo certificato nel terzo).

I gestori dell’identità digitale garantiscono che l’autenticazione informatica avvenga attraverso software e soluzioni tecniche che non richiedono ai fornitori di servizi di dotarsi di dispositivi, fissi o mobili, proprietari. Sono consentite soluzioni tecniche che prevedono il caricamento del software necessario per effettuare l’autenticazione informatica (leggasi plugin, ndr.).

DPCM 24 ottobre 2014 – Art. 6. par. 3 Livelli di sicurezza delle identità digitali

I fornitori di servizi possono essere pubblici (per la fase pilota partono l’Inps, l’Inail, l’Agenzia delle Entrate, le Regioni Piemonte, Friuli, Emilia Romagna, Toscana, Marche e i Comuni di Firenze, Lecce e Milano) o privati (per adesso missing in action …).

Esistono poi i soggetti che hanno il potere di attestare attributi qualificati e renderli disponibili su SPID; sono accreditati di diritto i seguenti gestori di attributi qualificati:

  • il Ministero dello sviluppo economico in relazione ai dati contenuti nell’indice nazionale degli indirizzi  PEC delle imprese e dei professionisti;
  • i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all’attestazione dell’iscrizione agli albi professionali;
  • le camere di commercio, industria, artigianato eagricoltura per l’attestazione delle cariche e degli incarichi societari iscritti nel registro delle imprese;
  • l’Agenzia in relazione ai dati contenuti nell’indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi.

L’Agenzia per l’Italia Digitale:

  • accredita e vigila i gestori di identità;
  • accredita e vigila i gestori di attributi qualificati;
  • stipula convenzioni con i Gestori di identità, Gestori di attributi qualificati e Fornitori di servizi;
  • vigila sul rispetto delle convenzioni;
  • gestisce e pubblica il registro SPID contenente l’elenco dei soggetti abilitati a operare in qualità di gestori dell’identità digitale, di gestori degli attributi qualificati e di fornitori di servizi;
  • mantiene aggiornati i regolamenti attuativi;
  • coordina il pilota con l’obiettivo di emanare delle adeguate regole tecniche garantendone trasparenza e divulgazione.

Tutti i soggetti coinvolti in SPID, fatta ecccezzione per gli utenti, costituiscono un sistema aperto e cooperante che consente loro di comunicare utilizzando meccanismi di interazione, standard tecnologici e protocolli indicati nel decreto e precisati nelle regole tecniche definite ed emanate dall’Agenzia, nei 60 gg. successivi alla pubblicazione del DPCM.

Il sistema SPID è speculare al sistema dei pagamenti/transazioni elettroniche online tramite carte di credito. Tutti gli esercenti (leggasi fornitori di servizi e prodotti) si appoggiano a dei circuiti di pagamento (principalmente di carte di credito) che verificano in tempo reale la validità delle carte e la disponibilità di fondi e rilasciano l’autorizzazione al pagamento (in altre parole rassicurano il venditore che il cliente che sta comprando un suo prodotto/servizio ha i soldi per pagare). Così come già esiste da tempo il terzo garante per la transazione economica (il circuito delle carte di credito), esisterà a breve un terzo garante per l’accesso ai servizi dei fornitori di servizi/esercenti.

Considerazioni finali

  • SPID è un enorme guadagno di sicurezza per tutti, consumatori e fornitori. I consumatori avranno la garanzia che le loro credenziali e i loro dati saranno gestiti dagli identity provider tramite sistemi ad alta affidabilità e sicurezza e sottoposti a vigilanza da parte di un ente pubblico (che ovviamente chiederà garanzie di accreditamento e di funzionamento). La gestione in outosorcing del processo di identificazione ed autenticazione garantirà a molti e-fornitori meno grattacapi dal punto di vista della sicurezza di accesso e tutela della privacy.
  • Il break even del sistema è rappresentato da una massa critica di utenti e di servizi che usufruiscono dei servizi SPID, che permetta di considerare il sistema pienamente operativo, di largo utilizzo e che a tendere potrà soppiantare in buona parte i sistemi proprietari di identificazione/autenticazione.
  • Non si rinviene traccia nelle comunicazioni fatte fino ad oggi di ROI (Return of Investment); immaginiamo che così come per le percentuali riscosse agli esercenti, da parte dei circuiti di carte di credito per le autorizzazioni ai pagamenti, lo stesso modello (o anche un una tantum, da rinnovare ogni x anni, così come avviene per le firme digitali) si potrà/dovrà applicare per SPID; c’è da aspettrsi a breve (non prima della conclusione della fase pilota) l’apparizione di messaggi del tipo: “ti vuoi autenticare con un’unica chiave di accesso, più sicura, unica e più pratica ad una moltitudine/vasta gamma di servizi? è facile con “SPID-ACME”, bastano pochi click e pochi euro”. Sarà da verificare se il costo di SPID lato utente lo sosterranno gli utenti oppure i fornitori di servzi.
  • Il governo parla di milioni di utenti SPID nel corso del 2015, l’utenza credo che sia inversamente proporzionale al numero di servizi che saranno accessibili tramite sistema SPID, a tal proposito il governo dovrebbe trovare il modo di agevolare l’adozione del sistema da parte anche di operatori privati (banche, assicurazioni, servizi di e-commerce, ecc.).
  • Così come per la carta e il digitale, continuerà ad esistere un interregno fra sistemi proprietari e sistema SPID, l’obiettivo, come detto, dovrà essere quello di spostare il più della identificazione/autenticazione online su SPID.

Ben arrivato SPID!