Che cosa è SPID, Sistema Pubblico di Identità Digitale?
SPID è il Sistema Pubblico per l’Identità Digitale promosso dal Governo, che permette a cittadini e imprese di accedere con un unico login a tutti i servizi online di pubbliche amministrazioni ed al FASCICOLO SANITARIO ELETTRONICO REGIONALE (FSEr), oltre ad altre imprese aderenti. SPID nasce per favorire la diffusione dei servizi online e agevolarne l’utilizzo da parte di cittadini e imprese.
SPID si basa su un modello federato e collaborativo di aziende private. I “gestori delle identità digitali” sono, infatti, aziende private accreditate dall’AgID per la fornitura dei servizi di identità digitale. Cittadini e imprese possono scegliere liberamente il proprio gestore delle identità digitale preferito.
Come richiedere e attivare account SPID di identità digitale
L’identità digitale SPID è rilasciata dai Gestori di Identità Digitale (Identity Provider) che forniscono le identità digitali e gestiscono l’autenticazione degli utenti.
Richiedere, ottenere ed attivare un’identità digitale con SPID è molto semplice.
Per ottenere e attivare un’identità SPID l’utente deve farne richiesta al gestore, il quale, dopo aver verificato i dati del richiedente, emette l’identità digitale rilasciando le credenziali all’utente. Per richiedere l’identità digitale con SPID è necessario presentare un modulo di richiesta di adesione che contiene tutte le informazioni necessarie per l’identificazione del soggetto richiedente (nome, cognome, sesso, data e luogo di nascita, codice fiscale, estremi del documento di identità) e le informazioni per essere contattati (un indirizzo di posta elettronica – univoco per ogni identità SPID – e un recapito di telefonia mobile).
L’autenticazione dell’utente può avvenire in presenza o a distanza.
1) L’autenticazione in presenza prevede l’esibizione di documentazione cartacea e moduli sottoscritti e può avvenire in due modi:
- presso una sede fisica del gestore dell’identità (es. presso un ufficio postale);
- a domicilio su appuntamento (ad esempio Poste Italiane offre la possibilità che un postino possa accertare l’identità direttamente a casa del richiedente).
2) L’autenticazione a distanza può avvenire da remoto tramite webcam”: un operatore verifica in una sessione audio/video con il richiedente l’identità tramite la presentazione dei documenti di identità e dichiarazioni del richiedente; questo servizio viene ad esempio fornito da ARUBA, una azienda leader del settore.
Ogni Identity Provider può decidere se rilasciare l’identità gratuitamente o a pagamento per l’utente.
Quali i servizi abilitati attraverso SPID?
Sono partiti i primi 4.200 servizi. I servizi della Pubblica Amministrazione a cui si può già accedere sono molteplici: dal pagamento della Tasi al bollo auto, dalle prestazioni sanitarie al fascicolo dell’Inps, dal riscatto della laurea, richiesta degli assegni familiari, dalla consultazione Cud, alla richiesta bollettini, dal saldo di tributi regionali, al pagamento delle mensa scolastica e ticket sanitari via web. A questi servizi si aggiungono tutti i servizi per le persone giuridiche e i liberi professionisti.
Ecco alcuni dei servizi disponibili con SPID:
- Fascicolo Sanitario Elettronico: attivazione e gestione dei consensi; tramite spid si può attivare la app "Sanità KM zero" che consente di usare il proprio smartphone o la propria tessera sanitaria per ritirare le ricette prescritte dal Medico direttamente in farmacia, SENZA USO DI PROMEMORIA CARTACEI
- Economia e finanze (Agenzia delle Entrate)
- Anagrafe
- Fatturazione elettronica
- Richieste e prenotazioni
- Servizi INAIL
- Servizi INPS
- Servizi di Certificazione e Autocertificazione
- Servizi di pagamento
- controllo pagamenti
- tasse e tributi
- molti altri servizi si stanno progressivamente aggiungendo
Quali sono i veri vantaggi di SPID?
I Service Provider che aderiscono allo SPID, sia Pubbliche Amministrazioni sia imprese private, possono disporre di un parco utenti senza censirli, non avranno gli oneri derivanti dalla conservazione dei dati personali, non dovranno preoccuparsi di evitare attacchi volti al furto delle credenziali. Inoltre, i Service Provider possono avere profili con un’identità certa, eliminando i cosiddetti “falsi profili”, ed univoca, eliminando i duplicati.
Per gli utenti, SPID consente di semplificare la vita di cittadini e imprese nell’interazione con la Pubblica Amministrazione tramite servizi online grazie ad un unico login. Il sistema garantisce la massima sicurezza e privacy. SPID assicura la massima riservatezza dei dati ed è pensato proprio per aumentare la trasparenza sulla gestione dei propri dati ed erogare servizi secondo il principio dei dati minimi. Il Service Provider non può conservare i dati dell’utente che riceve dall’Identity Provider ed è assolutamente vietata la tracciatura delle attività di un individuo.
Quanto costa l’identità digitale con SPID?
Per gli utenti, SPID è gratuito per almeno due anni dal lancio (per i livelli 1 e 2 di sicurezza). Gli Identity Provider possono mettere a pagamento i servizi aggiuntivi (ad esempio l’autenticazione da remoto).Il tema dei costi e in generale del business model è il più delicato.
Per le Pubbliche Amministrazioni SPID è gratuito e continuerà ad esserlo.
Per i Service Provider privati, SPID sarà a pagamento e dovranno pagare gli Identity Provider per l’utilizzo del servizio (potrà essere un canone annuale, una fee per ogni identificazione o una fee per ogni utente attivo nell’anno). Il modello di pricing non è ancora stato definito nel dettaglio e sarà uniforme tra i Service Provider; non vi sarà quindi competizione sul prezzo dei servizi core, ma la competizione sarà fatta su eventuali servizi aggiuntivi che potranno essere offerti.
Per gli Identity Provider, SPID è un investimento nella fase di avvio del servizio (infrastruttura tecnologica, accreditamento all’Agenzia, etc.), un costo per l’autenticazione degli utenti e un costo per la gestione delle identità. I ricavi per coprire i costi potranno provenire dagli utenti (dopo due anni il servizio potrà essere a pagamento ed eventuali servizi aggiuntivi saranno a pagamento) e dai Service Provider privati.
Quali i livelli di sicurezza per la propria identità digitale?
Il modello SPID per il Sistema Pubblico di Identità Digitale prevede 3 livelli di sicurezza.
- Livello 1 (userID e password) garantisce con un buon grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio moderato e compatibile con l’impiego di un sistema autenticazione a singolo fattore, ad es. la password; questo livello può essere considerato applicabile nei casi in cui il danno causato, da un utilizzo indebito dell’identità digitale, ha un basso impatto per le attività del cittadino/impresa/amministrazione. Per il livello 1 la credenziale sarà dunque una password di almeno 8 caratteri, da rinnovarsi ogni 180 giorni, formulata secondo i consueti criteri di sicurezza.
- Livello 2 (userID, password + ulteriore fattore di autenticazione) garantisce con un alto grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio ragguardevole e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori non necessariamente basato su certificati digitali; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’identità digitale può provocare un danno consistente. Per il livello 2, oltre alla password sarà necessario inserire il codice proveniente da un dispositivo a chiave variabile (c.d. One Time Password) che potrebbe essere anche un’applicazione sul cellulare.
- Livello 3 (userID, password + ulteriore fattore di autenticazione basato su certificati digitali) garantisce con un altissimo grado di affidabilità l’identità accertata nel corso dell’attività di autenticazione. A tale livello è associato un rischio altissimo e compatibile con l’impiego di un sistema di autenticazione informatica a due fattori basato su certificati digitali e criteri di custodia delle chiavi private su altri dispositivi; questo è il livello di garanzia più elevato e da associare a quei servizi che possono subire un serio e grave danno per cause imputabili ad abusi di identità; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’ identità digitale può provocare un danno serio e grave.
Chi sono gli identity provider nello SPID?
Gli attori che possono assumere il ruolo di Identity Provider sono molteplici (banche, operatori di telefonia mobile, certification authority, fornitori di soluzioni IT) e giocano un ruolo fondamentale nel decretare il successo del sistema perché portano in “dote” allo SPID il proprio bacino di utenti potenziali. Ad oggi sono sette gli Identity Provider che hanno richiesto e ottenuto la certificazione da parte dell’AgID: Infocert, PosteItaliane (PosteID), SielteID, Telecom Italia Trust Technologies. Spid Italia Register.it, Intesa (Gruppo Ibm) e Aruba (questo è il link al loro servizio).
In questa pagina (link) trovate l'elenco di tutti i provider attivi.
Quali Service Provider (Pubbliche Amministrazioni e attori privati) sono già attivi?
Le Pubbliche Amministrazioni sono un attore fondamentale per la diffusione del Sistema Pubblico di Identità Digitale e sono obbligate ad aderire a SPID entro la fine del 2017. Sono oltre 3.800 quelle attive a gennaio 2018, tuttavia sono poche quelle che hanno scelto SPID come metodo esclusivo per riconoscere nuovi utenti. Solo le PA che non avevano ancora investito in sistemi di identificazione esistenti si stanno infatti affidando a SPID come metodo esclusivo per riconoscere i cittadini, mentre le altre stanno affiancando SPID ai metodi di riconoscimento “tradizionali” già attivi.