Come funzionerà il sistema di identità digitale

Tutto quello che c’è da sapere su uno dei pilastri dell’Agenda digitale, raccontato da uno dei principali artefici. I cittadini si procureranno l’identità digitale presso uno degli appositi Gestori. Tre i livelli di sicurezza. Entro giugno il decreto.

Con la legge n. 98 del 9 Agosto 2013, il Governo Italiano ha introdotto all’art. 17-ter il Servizio Pubblico di Identità Digitale (SPID).

Il Decreto del Presidente del Consiglio dei Ministri che ne definisce le modalità di adesione ed erogazione è ormai in dirittura di arrivo e non appena ottenuti i concerti del Ministero dell’Economia e Finanze e del Garante della Privacy, sarà inviato a Bruxelles in ottemperanza del Regolamento 98/48. Dopo 90 giorni (il c.d. “stand still period”), se non vi sono eccezioni, il Decreto sarà pubblicato in Gazzetta Ufficiale.

Il tema dell’Identità Digitale è stato più volte identificato, a ragion veduta,  come uno dei pilastri dell’Agenda Digitale. L’uso di Identità Digitali sicure permetterà di aumentare la fiducia dei cittadini nei servizi Internet, ivi inclusi i sistemi di pagamento online, facilitando l’accesso ai servizi e abilitando una serie di nuove funzionalità utili sia per i portali della Pubblica Amministrazione, sia per i servizi offerti dai privati, come l’e-commerce. L’uso di un sistema pubblico di Identità Digitale consentirà inoltre di contrastare in maniera molto efficace i fenomeni criminali e in particolare il Furto d’Identità e l’”impersonificazione”, tipologie di frode informatica in rapida crescita. L’Identità Digitale come concepita in SPID consentirà un aumento della tutela della Privacy, visto che verranno notevolmente ridotti gli archivi contenenti dati personali.

L’Identità Digitale è l’insieme delle informazioni che ci permette di accedere a servizi digitali di qualsiasi natura. Ci permette di essere riconosciuti, di proteggere il nostro accesso e i nostri dati. Lo standard ISO 24760 parte 1 la definisce come un insieme di attributi relativi ad una entità (persona fisica, persona giuridica, sistema, oggetto, ecc.). Questi attributi possono essere informazioni personali (Nome, Cognome, data di nascita), informazioni relative al nostro profilo (indirizzo di email, consenso privacy, abilitazioni a servizi, ecc.). Tra gli attributi, ve ne sono alcuni speciali denominati credenziali: sono utilizzati per poter accedere in modo sicuro ai sevizi. La forma più semplice e conosciuta di credenziale è la “Password”, ma negli ultimi anni si sono diffusi sistemi molto più affidabili e sicuri, dalle “One Time Password” alle Smart Card, dalle App di sicurezza ai sistemi biometrici.

Normalmente ogni servizio o sistema informativo ha il suo sistema di Identità. E’ per questo motivo che ogni qual volta accediamo ad un nuovo servizio, ci viene richiesto di registrarci e di fornire una credenziale (Password) per proteggere il nostro profilo. Con questo sistema negli ultimi anni abbiamo assistito ad una esplosione di profili. Se in linea teorica ogni servizio dovrebbe essere protetto con una password diversa, la quasi totalità degli utenti sceglie sempre la stessa password, che spesso coincide con la password utilizzata per l’accesso all’Email. Questo fa si che l’email sia diventata di fatto un sistema di identità digitale, una sorta di Portachiavi digitale, facilissimo da violare, come è dimostrato dalla crescita esponenziale dei furti di identità.

A dimostrazione della gravità della situazione, il rapporto Verizon su Cyber Security del 2012 mostra che trai le sei prime tipologie di attacco, cinque riguardano il furto o la violazione di identità digitale.

E’ su queste premesse che è stato creato SPID. Nato da una proposta di legge predisposta dagli on. Stefano Quintarelli  (Scelta Civica) on. Paolo Coppola (PD) e Antonio Palmieri (FI), SPID è diventato un progetto della Presidenza del Consiglio, che ho avuto l’onore di condurre e coordinare in questi mesi, con il supporto di un ottimo gruppo di esperti e appassionati del tema.

Il lavoro di questi mesi ha portato alla creazione di un modello innovativo, per certi versi unico.

Partendo dall’analisi dei progetti portati avanti da altri paesi come gli Stati Uniti (con il framework NSTIC), l’Inghilterra, l’Estonia, la Svezia e l’Azerbaijan, abbiamo creato un sistema innovativo che rispettasse le regole non scritte del Digitale e le aspettative degli utenti, che prediligono servizi semplici e diretti.

Il risultato è un Decreto che, a differenza del passato, non entra nei dettagli tecnici, ma definisce uno schema generale che servirà di supporto alla creazione dell’ecosistema delle identità Digitali.

FONTE: Agenda Digitale (www.agendadigitale.eu)

AUTORE: Andrea Rigoni, Unità di Missione per l’Agenda Digitale