SPID: cos’è il RAO (Responsabile della verifica dell’identità) e come lo si diventa?

Ecco una breve panoramica su cosa rappresenta il RAO (Responsabile della verifica dell’identità) in relazione allo SPID  e su quali sono le procedure per ricoprire questo ruolo.

L’Identità SPID (acronimo di Sistema Pubblico d’Identità Digitale) non è altro che l’identità digitale del cittadino, con cui poter accedere ai servizi della Pubblica Amministrazione, come l’INPS o l’Agenzia delle Entrate.

L’Identità SPID è diventata recentemente obbligatoria col Decreto Semplificazioni di luglio 2020. Si tratta, quindi, di uno strumento indispensabile per i servizi online degli enti pubblici, compresa la richiesta di agevolazioni e indennità.

Sempre secondo la legge, le singole amministrazioni pubbliche non possono più prevedere modalità di accesso ai loro servizi online, diversi dallo SPID, dalla CIE o dalla CNS, a partire da settembre 2021.

Nell’articolo odierno ci soffermiamo brevemente sulla figura del RAO, vale a dire il Responsabile della Verifica dell’Identità SPID.

SPID: cos’è il RAO?

Il Responsabile della verifica dell’identità – Registration Authority Office RAO – è la pubblica amministrazione che può verificare di persona presso i suoi uffici l’identità personale del cittadino, per consentirgli di attivare SPID.

Il sistema prevede che i cittadini si rechino presso lo sportello pubblico delle pubbliche amministrazioni aderenti per farsi riconoscere, ricevano via e-mail un file (token) che possono usare da casa per richiedere e ottenere l’identità SPID presso uno dei gestori aderenti al sistema.

Ovviamente era necessario fare in modo che vi fosse un’unica piattaforma software in uso presso le pubbliche amministrazioni aderenti e non una piattaforma per ogni gestore di identità SPID. A tale scopo, l’AgID ha chiesto a tutti i gestori la loro disponibilità alla realizzazione del necessario codice da pubblicare in formato open source.

Come svolgere quest’attività?

Le pubbliche amministrazioni interessate a svolgere questa importante attività possono utilizzare il codice reso disponibile, compilare la richiesta del certificato,  X.509 previsto dalle Linee Guida e inviare via PEC a protocollo@pec.agid.gov.it. con oggetto “SPID-Adesione RAO pubblico”.

Indispensabile prendere attentamente visione degli allegati, pubblicati separatamente sul sito AgID, denominati rispettivamente Token RAO pubblico e Token RAO tabella messaggi.

L’affidabilità del token che il cittadino fornisce al gestore di identità prescelto è garantito dalla sua sottoscrizione da parte del RAO, ed è verificabile in quanto emesso da una subCA generata dall’AgID.

I certificati della PKI utilizzata per il sistema sono disponibili nel paragrafo 10.4 del Token RAO pubblico.

Linee guida per il modello di RAO pubblico

Su richiesta di alcune pubbliche amministrazioni locali, l’AgID ha emanato le Linee Guida per il modello di RAO pubblico consentendo alle pubbliche amministrazioni interessate di svolgere questa importante attività sul territorio, tipicamente presso gli sportelli pubblici.

Sono previsti due modelli di riferimento che i RAO pubblici possono mettere a disposizione dell’utente. Il RAO pubblico è libero di scegliere se rendere disponibile uno o entrambi i modelli:

• L’operatore informa l’utente della possibilità di scegliere il proprio IdP Identity Provider) a sportello, in questo caso il token sigillato è inviato all’IdP prescelto;
• il token sigillato è inviato all’utente via email all’indirizzo di posta elettronica indicato.

La modalità di rilascio dell’identità digitale dipende dal modello usato.

L’utente si collega al sito dell’IdP e seleziona la modalità di rilascio con “identificazione tramite P.A.”.

Nel caso in cui sia applicabile il modello di riferimento, l’utente immette il proprio codice fiscale per permettere all’IdP di recuperare il proprio token sigillato o esegue l’upload del proprio token sigillato.

L’IdP verifica sigillo e periodo di validità del token sigillato e richiede l’inserimento della passphrase per decifrare il token cifrato. Superati i 5 tentativi errati di inserimento della passphrase il token non è più accettato dall’IdP.

Infine l’IdP estrae i dati dell’utente ed effettua la verifica dell’effettivo possesso del cellulare indicato da parte dell’utente.