SPID

Il sistema pubblico di identità digitale (in acronimo SPID) è un sistema previsto per legge consistente nell'infrastruttura nazionale di identificazione dei cittadini italiani prevista per l'accesso a servizi online della pubblica amministrazione e dei privati.

SPID è un insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'AGID (Agenzia per l'Italia digitale), gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni

Con l'istituzione del sistema SPID, le pubbliche amministrazioni devono consentire l'accesso online ai propri servizi solo mediante le carte di autenticazione già previste dalla normativa (es. carta d'identità elettronica o carta nazionale dei servizi) e tramite il sistema SPID. Le imprese che adottino, per autenticare i propri utenti, il sistema SPID, sono esonerate da un obbligo parziale di sorveglianza delle attività sui propri siti.

Il primo provvedimento di attuazione del sistema SPID è stato il decreto della Presidenza del Consiglio dei Ministri 24 ottobre 2014, pubblicato sulla Gazzetta Ufficiale n. 285 del 9 dicembre 2014.

Il 28 luglio 2015, con la Determinazione n. 44/2015, sono stati emanati da AgID i quattro regolamenti (Accreditamento gestori, utilizzo identità pregresse, modalità attuative, regole tecniche) previsti dall’articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014 con cui il sistema SPID è divenuto operativo.

Il regolamento che disciplina le modalità di accreditamento dei gestori di identità digitale è entrato in vigore il 15 settembre 2015, data dalla quale i soggetti interessati hanno potuto presentare domanda all’Agenzia per l’Italia Digitale.

Il 19 dicembre 2015, nel rispetto delle procedure previste dalle norme, AgID ha accreditato i primi tre gestori di Identità SPID:

• InfoCert S.p.a,
• Poste Italiane S.p.a
• Tim (attraverso la società Trust Technologies del gruppo Telecom Italia)

Dal 15 marzo 2016 i primi tre gestori di identità digitale hanno iniziato a rilasciare le prime identità SPID a cittadini e imprese richiedenti.

Entro il mese di giugno 2016 è prevista l'adesione a SPID di 14 amministrazioni pilota: Agenzia delle Entrate, Equitalia, Inps, Inail, Comune di Firenze, Comune di Venezia, Comune di Lecce, Regione Toscana, Regione Liguria, Regione Emilia Romagna, Regione Friuli Venezia e Giulia, Regione Lazio, Regione Piemonte e Regione Umbria.

SPID è anche candidato al riconoscimento a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014, consentendo ai cittadini che ne saranno dotati di utilizzare il sistema anche per l'accesso ai servizi resi disponibili in rete dalle pubbliche amministrazioni di tutta l'Unione europea e, facoltativamente, dai soggetti privati.

Con SPID è introdotta una innovazione nell'accesso ai servizi in rete: l'uso delle informazioni necessarie e sufficienti per il servizio. Un esempio è un servizio di chat dedicato ai minori, l'unica informazione necessaria al gestore del servizio è l'età del soggetto che accede.

A livello regolamentare i service provider potranno richiedere solo le informazioni minime utili all'erogazione del servizio.

"I fornitori di servizi, per verificare le policy di sicurezza relativi all'accesso ai servizi da essi erogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggetti richiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il set minimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto e mantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall'articolo 11 del decreto legislativo n. 196 del 2003. "^[1]

Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'Agenzia per l'Italia Digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni. ^[2]

L'identità SPID è costituita da credenziali con caratteristiche differenti in base al livello di sicurezza richiesto per l'accesso. Esisteranno tre livelli di sicurezza, ognuno dei quali corrisponderà a tre diversi livelli di identità SPID.

I livelli di servizio corrispondo ai LOA (Levels of Assurance )2,3,4

SPID si basa su una federazione SAML 2.0

Per l'utente sia le credenziali che l'uso dei servizi non deve imporre vincoli come l'uso di uno specifico hardware