Il 15 marzo 2016 è la data in cui ha preso ufficialmente il via SPID, il nuovo sistema di autenticazione che permetterà a cittadini ed imprese italiani di effettuare il login sui siti delle pubblica amministrazione e su quelli gestiti dalle imprese che abbracceranno il nuovo meccanismo.
L’obiettivo è quello di eliminare la necessità di utilizzare credenziali di autenticazione diverse per ogni sito web della pubblica amministrazione: SPID sarà lo strumento unico per effettuare il login.
Ma cos’è SPID e come funziona?
Innanzi tutto, diciamo subito che SPID (acronimo di Sistema Pubblico di Identità Digitale; letto, ha una simpatica assonanza con il termine inglese speed, “velocità”) non è certo “l’invenzione del secolo”.
Esistono già e sono ampiamente adoperati a livello internazionale schemi per l’autenticazione condivisa come OAuth, OpenID, OpenID Connect e Facebook Connect.
Si tratta di strumenti che consentono di effettuare il login sui siti web che supportano tali meccanismi senza mai digitare nome utente e password personali. Il sito o l’applicazione web che si utilizzerà potrà accedere ad alcune informazioni dell’utente (indicate in chiaro) ma non potrà mai leggere i dati di autenticazione altrui. L’autenticazione dell’utente avviene mediante apposite API che consentono di esporre all’applicazione che ne fa richiesta solo i dati autorizzati da parte dell’utente stesso.
SPID funziona in maniera simile. Alcuni provider nazionali (per il momento Poste Italiane, TIM e Infocert), altrimenti detti identity provider o IdP, si occupano di gestire le credenziali d’accesso degli utenti e di fornirle su loro esplicita richiesta. Dopo aver ottenuto le proprie credenziali per il login sui siti compatibili SPID, l’utente non dovrà fare altro che cliccare sull’apposito pulsante grafico “Entra con SPID“.
Presentato ufficialmente qualche giorno fa (SPID, il PIN unico per la pubblica amministrazione, SPID permette per adesso di accedere ai siti di 10 pubbliche amministrazioni e, complessivamente, a circa 300 servizi.
SPID consente l’accesso ai siti web utilizzando tre differenti livelli di sicurezza:
– Primo livello. L’accesso è garantito semplicemente usando ID e password.
– Secondo livello. Per accedere al servizio vengono richiesti ID, password ed una one-time-password (valevole quindi per una sola volta) che viene inviata all’utente, ad esempio su cellulare o smartphone.
– Terzo livello. Il servizio SPID richiede, ad esempio, l’accesso mediante smartcard e password.
Il livello di protezione richiesto è definito dal gestore del sito web, sulla base della natura e della riservatezza dei dati che debbono essere trattati.
Come ottenere SPID
Per ottenere il proprio SPID, è possibile fare riferimento ai siti web dei tre identity provider sinora individuati:
– Poste Italiane (PosteID)
– TIM Trust Technologies (TIM-id)
– InfoCert (Infocert ID)
I tre provider presentano SPID come parte di altri servizi (PosteID, TIM-id e Infocert ID): le varie denominazioni vogliono affermare come il sistema sia pensato non soltanto per l’accesso ai servizi della pubblica amministrazione ma possa essere utilizzato anche da parte di altri soggetti.
AIIP ed Assoprovider hanno accusato il Governo di aver scientemente escluso delle attività di fornitura dei servizi PEC e SPID qualunque impresa di piccole e medie dimensioni. Solamente le aziende con un capitale sociale da 5 a 10 milioni di euro ed in grado di presentare garanzie assicurative fino a 15 milioni di euro possono infatti divenire gestori ufficiali.
Tant’è, comunque, che per adesso sono solamente tre i gestori accreditati da AgID (Agenzia per l’Italia Digitale) per la fornitura delle credenziali SPID.
Per richiedere la propria identità digitale SPID è necessario fare riferimento alle pagine sopra citate tenendo presente che in tutti i casi saranno richieste delle “pezze d’appoggio” ossia la fornitura di strumenti che attestino la propria identità.
TIM, ad esempio, che per ora non fornisce istantaneamente il servizio TIM-id, richiede l’accesso con la carta nazionale dei servizi (CNS TS) oppure fornisce l’identità digitale SPID solo ai possessori di una firma digitale.
Poste Italiane appare per il momento la realtà meglio attrezzata perché la richiesta viene gestita subito e l’ottenimento dell’identità digitale SPID risulta immediato per i clienti della società (ad esempio se il numero di cellulare sia associato ad un contratto in essere, ai possessori di un lettore Bancoposta) oppure ai possessori di firma digitale od a tutti coloro che dispongono di una carta nazionale dei servizi (CNS TS) regolarmente attivata e di un lettore di smartcard.
La prova sul campo: richiesta dell’identità digitale SPID mediante CNS TS
Abbiamo provato a richiedere la nostra identità digitale SPID prima a Poste Italiane e poi a TIM.
Risiedendo in una delle regioni italiane che per prime hanno adottato la carta nazionale dei servizi (CNS TS), abbiamo visitato il sito di PosteID quindi abbiamo fatto clic su Carta Nazionale dei Servizi o Carta d’Identità Elettronica attive.
Prima di procedere abbiamo collegato il lettore di smarcard ed inserito la nostra carta nazionale dei servizi (CNS TS) precedentemente attivata (vedere Attivazione tessera sanitaria per accedere ai servizi della PA) quindi abbiamo fatto clic su Avvia identificazione per poi scegliere il certificato digitale abbinato alla CNS.
La CNS TS utilizzata per la nostra prova è regolarmente utilizzata per effettuare pagamenti alla PA e per accedere alle informazioni pubblicate sui siti della stessa PA.
Al momento non ci è stato possibile ottenere un’identità digitale SPID online perché Poste Italiane risponde con il messaggio d’errore “Gli estremi del tuo documento di identificazione non sono completi, ti chiediamo di presentarti in Ufficio Postale per integrarli e validarli“.
Abbiamo chiesto a Poste Italiane, attraverso l’ufficio stampa, maggiori informazioni.
Prova sul campo: richiesta dell’identità digitale SPID a TIM ID mediante CNS TS
A distanza di poche ore dal lancio del servizio di richiesta dell’identità digitale SPID a TIM, abbiamo ricevuto un’email con la quale ci viene confermata la disponibilità del servizio.
Diversamente rispetto a Poste Italiane, l’autenticazione mediante CNS TS in nostro possesso (abbiamo usato la medesima tessera sanitaria) su TIM ID è andata correttamente a buon fine.
Il sistema di TIM ci ha richiesto un gran numero di dati personali (tra cui i dettagli di un documento di riconoscimento) permettendoci però di proseguire previa autenticazione con CNS TS.
Il passaggio finale proposto da TIM ID, prima di ricevere la propria identità digitale SPID, consiste nel download della copia del contratto in formato PDF.
Non è scritto a chiare lettere ma il contratto in PDF scaricato dal sito di TIM ID dev’essere firmato digitalmente da parte dell’utente.
Normalmente dovrebbe essere possibile apporre la firma elettronica con la CNS TS, utilizzando un apposito software che – lasciando inserita la carta dotata di microchip nel settore – permetterà di firmare il documento (in questo caso il contratto TIM ID).
Peccato però che non tutte le Regioni, almeno allo stato attuale, erogano CNS TS abilitate per la firma elettronica. La CNS della Regione Toscana che abbiamo utilizzato per la nostra “prova sul campo” non permette di firmare documenti ma solamente di autenticarsi sui siti web della pubblica amministrazione.
Regione Toscana si sta attrezzando per fornire il servizio ai suoi cittadini ma non sono ancora note le tempistiche.
Regione Lombardia, ad esempio, già fornisce una CNS utilizzabile non soltanto per autenticarsi sui siti della pubblica amministrazione ma anche per firmare i documenti (vedere questo documento di supporto e le informazioni sul software per apporre la firma elettronica).
Provando a firmare il contratto TIM ID con una CNS non abilitata per la firma (usando uno dei software disponibili allo scopo), il sistema rigetterà il file PDF mostrando l’errore Firma non corretta. Il certificato digitale utilizzato, infatti, non risulta emesso da alcuna autorità valida e riconosciuta.
Il problema con le CNS non abilitate all’apposizione della firma digitale non è ovviamente di TIM ma è interessante capire in che modo queste difficoltà saranno gestite.
TIM ci ha confermato che per usare TIM ID e richiedere la propria identità digitale SPID è necessario usare una firma digitale oppure una CNS, regolarmente attivata, che consenta anche l’apposizione della firma elettronica.
SPID e un concorrente della CNS TS?
Come abbiamo più volte rimarcato, la CNS TS, opportunamente attivata, consente già di accedere ai principali siti e servizi della pubblica amministrazione. C’era allora davvero bisogno di SPID, anche considerato che la CNS TS non è stata lanciata sull’intero territorio nazionale?
La CNS TS, secondo il Governo, resterà in vita e permetterà comunque di accedere ai servizi della PA attraverso l’impiego di un lettore di smartcart (previa attivazione della carta stessa: Attivazione tessera sanitaria per accedere ai servizi della PA).
SPID, però, si propone come un sistema per la gestione del login più semplice ed immediato: per la stragrande maggioranza delle operazioni non servirà più un lettore di smartcart (l’accesso con livello 3, tra l’altro, non è ancora supportato da nessun gestore).
Inoltre sarà possibile autenticarsi non solo sui siti della PA ma anche su siti terzi che sceglieranno di aderire al sistema SPID.
Vedremo se quanto SPID sarà utilizzato. Anche perché tutti i gestori promettono 2 anni di abbonamento gratuito al servizio (almeno fino al 31/12/2016) ma, successivamente, non è escluso che la gestione delle credenziali SPID possa diventare a pagamento.
TIM ipotizza un canone annuale di 12 euro dopo il “biennio promozionale” ma tutti i provider si dichiarano orientati a mantenere il servizio gratuito almeno per i cittadini.
Per maggiori informazioni, suggeriamo anche la lettura dell’articolo SPID, ottenere un’identità digitale con TIM ID, Poste e CNS TS.