Identità Digitale in Italia ed Europa

IDENTITA’ DIGITALE IN ITALIA ED EUROPA:
REGOLAMENTO EUROPEO SU EIDAS, SPID E
DDU.
SINTESI GIURIDICA E TECNOLOGICA.
Giovanni MANCA
Advisory Board ANORC
30 settembre 2014 (Master Sicurezza - Roma)
Argomenti
• Regolamento Europeo in materia di identificazione
elettronica e servizi fiduciari per le transazioni
elettroniche nel mercato interno e che abroga la
Direttiva 1999/93/CE. (Regolamento 910/2014).
• Sistema Pubblico di Identità Digitale.
• Documento Digitale Unificato (DDU).
2
L’identificazione informatica
 Definizione dall’articolo 1, comma 1, lettera u-ter) del CAD:
 “la validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un
soggetto, che ne consentono l'individuazione nei sistemi informativi, effettuata
attraverso opportune tecnologie anche al fine di garantire la sicurezza
dell'accesso”
 Siamo abituati a parlare di autenticazione forte … ma la
Legge definisce altro (diventa una questione di glossario).
 L’identificazione informatica si è evoluta negli anni in modo
poco coordinato e disomogeneo.
 Il controllo di accesso corrente utilizza username e
password, l’accesso con CIE (puramente teorico) e CNS
(anche Tessera sanitaria con microchip).
3
Regolamento UE. Contesto di riferimento - 1
•
Direttiva 1999/93/CE su un un quadro comunitario
per le firme elettroniche
•
Digital Agenda for Europe (19/05/2010)
•
Single Market Act (13/04/2011)
•
Roadmap per la stabilità e la crescita (12/10/2011)
4
Regolamento UE. Contesto di riferimento - 2
• Regolamento del Parlamento Europeo e del Consiglio per
l’identificazione elettronica e i servizi fiduciari (trust
services) per le transazioni elettroniche nel mercato interno e
abrogante la Direttiva 1999/93/CE.
• E’ un regolamento e non una direttiva. Quindi è applicato
direttamente (senza necessità di recepimento) in tutta l’UE
alla data di entrata in vigore.
• Lo schema è molto complesso e invasivo nelle agende digitali
degli Stati Membri.
• Deve essere necessariamente affiancato da standard tecnici
che come al solito sono elaborati ed emessi da CEN e ETSI. Gli
standard saranno EN (norme europee) e non più specifiche
pubbliche di riferimento.
5
Regolamento UE. Contesto di riferimento - 3
• Testo votato il 3 aprile 2014. Testo in vigore dal 1 luglio 2016
ma già attivo dal 17 settembre 2014 per una serie di articoli.
• Piena interoperabilità.
• Neutralità tecnologica.
• Coordinamento della vigilanza degli Stati Membri (dopo
Diginotar).
• Privacy by design.
• Riconoscimento degli stati non UE attraverso attività
specifiche della Commissione.
6
Regolamento UE. Contesto di riferimento - 4
•
Pieno coordinamento e interoperabilità
per:
–
–
–
–
–
–
–
–
eID;
firme elettroniche;
sigilli elettronici;
servizi di recapito;
conservazione a lungo termine dei documenti informatici (firmati);
autenticazione forte dei siti web;
RED (Registered Electronic Delivery);
altri servizi fiduciari e conseguenti vigilanze.
7
Regolamento UE. Contesto di riferimento - 5
• Dati di identificazione personale: un insieme di dati che
consentono di stabilire l’identità di una personale fisica o
giuridica, o una persona fisica che rappresenta una persona
giuridica; (art. 3, (2a) ).
• Vengono introdotti schemi di identificazione elettronica.
• Possibilità di notifica alla Commissione dell’UE.
• Gli schemi notificati devono soddisfare una serie di
condizioni e se accettati vengono inseriti in meccanismi di
mutuo riconoscimento nell’UE.
• Devono essere assicurati dei livelli di garanzia validi a livello
comunitario. Si può accedere a servizi di pari livello o più
bassi.
8
Identità nell’UE - 1
•
Il modello generale di identità che si dovrebbe affermare è
quello dell’identità gestita dai singoli Stati Membri che poi
viene accettata e gestita in modalità transnazionale con
tecnologie standard.
• Tutti gli standard di interoperabilità saranno nella veste di
norme europee (contesto EN).
• I meccanismi già testati nel progetti Europei STORK e
STORK 2 (Secure idenTity acrOss boRders linKed) hanno
utilizzato meccanismi di identità federata con SOA e SAML.
• Anche i documenti di identità elettronica nazionali avranno il
loro ruolo.
9
Identità nell’UE - 2
•
L’asse tecnologico franco tedesco ha anche definito un eIDAS
token.
• Oltre a meccanismi di identificazione informatica il token,
ovviamente, può essere utilizzato anche per la firma
elettronica qualificata.
• I meccanismi base e i formati delle firme elettroniche per le
persone fisiche non subiscono particolari modifiche se non
evolutive.
• L’Italia sta sviluppando il Documento Digitale Unificato e il
Sistema Pubblico di Identità Digitale (SPID).
10
Obiettivi e tempistica di implementazione del Regolamento «eIDAS»
• Obiettivi
– completare il quadro normativo definito dalla Direttiva Europea 1999/93/EC
sulle firme elettroniche coprendo anche le aree di eIdentification e
eAuthentication per garantire interoperabilità
• Giugno 2012: proposta iniziale della Commissione Europea
• Aprile 2014 : avvenuta approvazione da parte del Parlamento Europeo
• Luglio 2014: previsto voto in seconda lettura del Parlamento Europeo
• Ottobre 2014: pubblicazione sull’Official Journal ed entrata in vigore
• Metà 2015: riconoscimento volontario di schemi di eIDentification
• Metà 2016: applicazione delle regole per i servizi fiduciari (‘trust services’)
• Metà 2018: riconoscimento obbligatorio di schemi di eIDentification
Definizioni di eIdentification e eAuthentication
• ‘identificazione elettronica’ ('electronic identification‘) è il processo in cui si
usano i dati di autenticazione personale (‘personal authentication data’) in
forma elettronica che rappresentano univocamente una persona fisica o una
persona legale o una persona fisica che rappresenti una persona legale per
accedere a servizi online
• ‘autenticazione’ (‘authentication’) è il processo elettronico che permette la
conferma della identificazione elettronica di una persona fisica o legale o
l’origine e l’integrità di dati in forma elettronica
Definizione di eSignature
• ‘Firma Elettronica’ (FE), dati in forma elettronica, allegati oppure connessi
tramite associazione logica ad altri dati elettronici ed utilizzati dal firmatario
per firmare;
• ‘Firma Elettronica Avanzata’ (FEA), una firma elettronica che soddisfi i
seguenti requisiti:
– è connessa unicamente al firmatario;
– è idonea ad identificare il firmatario;
– è creata mediante dati per la creazione di una firma elettronica che il
firmatario può, con un elevato livello di sicurezza, utilizzare sotto il
proprio esclusivo controllo; e
– è collegata ai dati sottoscritti in modo da consentire l'identificazione di
ogni successiva modifica di detti dati;
Definizione di eSignature [continua]
• ‘Firma Elettronica Qualificata’ (FEQ)
– una firma elettronica avanzata
– creata da un dispositivo per la creazione di una firma elettronica
qualificata
– basata su un certificato qualificato per firme elettroniche
• le definizioni sono molto simili a quelle della direttiva 1999/93/EC sulle firme
elettroniche
– è stata introdotta la definizione di FEQ che era sostanzialmente presente
nella Direttiva ma senza una specifica denominazione
Sigillo elettronico (nuova fattispecie !)
• ‘Sigillo Elettronico’ (SE)
– apposto da una persona giuridica, garantisce l’origine e l’integrità dei
dati associati
– nuova fattispecie introdotta nel Regolamento
• era davvero necessaria??
– secondo le definizioni, la FEA apposta ad una persona giuridica potrebbe
assolvere alla stessa funzione del sigillo elettronico!!
• analogamente alle varie definizioni di firme elettroniche sono definiti
– ‘Sigillo Elettronico Avanzato’ (SEA)
– ‘Sigillo Elettronico Qualificato’ (SEQ)
Servizi fiduciari (trust services)
• ‘servizio di trust’, è uno dei servizi elettronici forniti normalmente dietro
remunerazione e consistenti nei seguenti elementi :
– creazione, verifica e convalida di firme elettroniche, sigilli elettronici o
validazioni temporali elettroniche, servizi elettronici di recapito
certificato e certificati relativi a tali servizi, oppure
– creazione, verifica e convalida di certificati di autenticazione di siti web,
oppure
– conservazione di firme, sigilli o certificati elettronici relativi a tali servizi
• ‘servizio di trust qualificato’ è un servizio di trust che soddisfa i requisiti
pertinenti definiti nel regolamento eIDAS
Servizi di trust (‘trusted services’) [continua]
•
•
Differenze rispetto alla Direttiva Europea 1999/93/EC
– Direttiva
• definizione di ‘fornitori di servizi di certificazione’
• supervisione (servizi qualificati e non) e accreditamento volontario
– Regolamento
• introduzione del concetto più generale di ‘servizi di trust’
• servizi non qualificati/qualificati
• ‘servizi di trust non qualificati’ sono quelli che non hanno l’obbligo di rispettare
le prescrizioni specifiche del regolamento
– per esempio servizi forniti internamente agli stati membri per il solo uso
locale
Confronto tra
Regolamento eIDAS e
Normativa Italiana
sui servizi di trust
Regolamento
eIDAS
Normativa
Italiana
Sovrapposizione/conflitto
Tipologie servizi di trust
• Regolamento eIDAS
• • (Art. 3)
• creazione, verifica e convalida di
– firme elettroniche
– sigilli elettronici
– validazioni (marche) temporali
• creazione, verifica e convalida di
certificati autenticazione siti web
• conservazione di firme, sigilli o
certificati elettronici relativi a tali
servizi
• recapito certificato e certificati
relativi a tali servizi
Normativa italiana
–
–
–
–
–
•certificatori (CAD),
creazione di:
certificati qualificati
certificati per autenticazione
client web
marche temporali
firme remote
•conservatori (CAD) di
documenti
•gestori di posta certificata
(PEC)
Tipologie fornitori
Regolamento eIDAS
•tutte le tipologie di servizi
possono essere offerte da
fornitori (Art. 3)
– non qualificati
– qualificati (che seguono le
prescrizioni del Regolamento)
Normativa italiana
–
–
–
–
–
–
•certificatori (CAD)
non qualificati (attività libera,
no autorizzazione preventiva)
qualificati (requisiti stringenti)
accreditati (sono qualificati
con riconoscimento possesso
requisiti più elevati)
•conservatori (CAD)
qualificati
accreditati
•gestori di posta certificata
(PEC)
solo accreditati
Requisiti societari per i fornitori di servizi di trust: societari
Regolamento eIDAS
•fornitori qualificati (Art. 24)
– mantengono risorse
finanziarie adeguate o si
dotano di assicurazione per la
responsabilità civile sui danni,
in conformità alla normativa
nazionale
Normativa italiana
•fornitori accreditati (CAD +
PEC) (in caso di soggetti
privati)
– società di capitali
– capitale sociale non inferiore
• certificatori: 6,3 MEuro
(requisito attività bancaria)
• gestori posta certificata: 1
MEuro
• conservatori: 200.000 Euro
•PP.AA. possono essere solo
fornitori accreditati e solo per
rapporti tra terzi e PP.AA.
Requisiti per i fornitori di servizi di trust: societari [continua]
Regolamento eIDAS
•fornitori qualificati (Art. 24)
– (obbligo) informare organismo
di vigilanza su variazioni e
cessazione attività
– (obbligo) definizione ed
aggiornamento di un piano di
cessazione delle attività
aggiornato per garantire la
continuità del servizio
Normativa italiana
•fornitori qualificati e
accreditati (CAD, Art. 37)
– (obbligo) informare AgID e i
titolari dei certificati emessi
almeno sessanta giorni prima
della data di cessazione
• saranno revocati tutti i
certificati non scaduti al
momento della cessazione
– (possibilità) all’atto della
cessazione, cessione attività ad
altro fornitore, evitando di
revocare i certificati emessi
Requisiti del personale per i fornitori di servizi fiduciari
Regolamento eIDAS
Normativa italiana
•fornitori qualificati e accreditati
(CAD, Art. 26)
– requisiti di onorabilità (quelli per le
banche) o per i propri
amministratori (se i certificatori o
conservatori sono persone
giuridiche)
•fornitori accreditati (CAD, Art.
29)
– requisiti di onorabilità anche per il
personale amministrativo e i
membri degli organi di controllo
Requisiti dei fornitori dei servizi di trust: personale [continua]
Regolamento eIDAS
Normativa italiana
•fornitori qualificati (Art. 24)
– impiego di personale (ed
eventualmente subcontraenti)
competente e formato in
materia di norme di sicurezza e
protezione dei dati personali e
applicano procedure secondo
norme europee o internazionali
•fornitori qualificati e
accreditati (CAD, Art. 27)
– utilizzare personale dotato di
conoscenze specifiche,
esperienza e competenze
necessarie (tecnologie firme
elettroniche e procedure di
sicurezza)
Requisiti dei fornitori dei servizi di trust: gestionali e di sicurezza
Regolamento eIDAS
•fornitori qualificati e non
(Art. 18)
– adottano misure tecniche e
organizzative opportune per
gestire i rischi sulla sicurezza
dei servizi offerti
– in particolare, sono adottate
misure per prevenire e
minimizzare l’impatto degli
incidenti di sicurezza e
informare le parti interessate
degli effetti negativi di
eventuali incidenti
Normativa italiana
•fornitori qualificati e accreditati
(CAD, Art. 27)
– dimostrare l'affidabilità organizzativa,
tecnica e finanziaria
– applicare procedure e metodi
amministrativi e di gestione adeguati e
conformi a tecniche consolidate
Requisiti dei fornitori dei servizi di trust: gestionali e di sicurezza [continua]
• Regolamento eIDAS
• fornitori qualificati e non (Art. 18)
– obbligo di notifica tempestiva
all’ente di vigilanza di violazioni di
sicurezza o perdite di integrità con
impatto significativo sui servizi forniti
o sui dati personali custoditi (max
entro 24 ore)
– se è probabile che la violazione o la
perdita abbiano effetti negativi su
una persona fisica o giuridica,
occorre notificarle anche a
quest’ultima
• Normativa italiana
• fornitori qualificati e accreditati
(CAD, Art. 32)
• – garantire il corretto
funzionamento e la continuità del
sistema e comunicare
immediatamente a AgID e agli
utenti eventuali malfunzionamenti
che determinano disservizio,
sospensione o interruzione del
servizio stesso
Requisiti dei fornitori dei servizi di trust: gestionali e di sicurezza [continua]
Regolamento eIDAS
•fornitori qualificati e non
(Art. 18)
– se violazione o la riguarda
due o più Stati membri,
l’organismo di vigilanza
notificato ne informa gli
omologhi organismi negli altri
Stati membri interessati e
l’Agenzia dell'Unione europea
per la sicurezza delle reti e
dell’informazione (ENISA)
Normativa italiana
Requisiti dei fornitori dei servizi di trust: gestionali e di sicurezza [continua]
• Regolamento eIDAS
• fornitori qualificati e non (Art. 18)
– l’organismo di vigilanza notificato
informa il pubblico o impone al
fornitore di servizi di farlo, se accerta
che la divulgazione della violazione o
della perdita sia nell’interesse
pubblico
– l’organismo di vigilanza trasmette ad
ENISA, una volta all’anno, una sintesi
delle notifiche di violazione ricevute
dai fornitori di servizi
Normativa italiana
Requisiti dei fornitori dei servizi di trust: gestionale e sicurezza [continua]
Regolamento eIDAS
•fornitori qualificati (Art. 24)
– utilizzo di sistemi affidabili e
prodotti protetti da alterazioni
che garantiscono sicurezza
tecnica e affidabilità del
processo
– utilizzo di sistemi affidabili per
memorizzare i dati ricevuti in
modo verificabile (autenticità
dei dati e controllo di accesso)
– adozione di misure adeguate
contro le falsificazioni e i furti di
dati
Normativa italiana
•fornitori qualificati e
accreditati (CAD, Art. 27)
– utilizzare sistemi affidabili e
prodotti di firma protetti da
alterazioni in conformità a
criteri di sicurezza europei e
internazionali e certificati
secondo lo schema nazionale;
– adottare adeguate misure
contro la contraffazione dei
certificati
Requisiti dei fornitori dei servizi di trust: gestionale e sicurezza [continua]
• Regolamento eIDAS
• fornitori qualificati (Art. 24)
– informazione chiara e completa ai
potenziali utilizzatori sulle condizioni
esatte e sulle eventuali limitazioni di
utilizzo dei servizi
– registrazione (anche in forma
elettronica) e accesso a tutti i dati
rilasciati e ricevute, le registrazioni e
le informazioni relative per un
congruo periodo di tempo, anche
dopo la cessazione delle attività
• Normativa italiana
• fornitori qualificati e accreditati
(CAD, Art. 32)
– informazione compiuta e chiara ai
richiedenti su procedura, requisiti
tecnici, caratteristiche e limitazioni
d'uso delle firme emesse sulla base
del certificato richiesto
– registrazione (anche elettronica) di
tutte le informazioni relative al
certificato qualificato dalla sua
emissione per almeno 20 anni
Requisiti dei fornitori dei servizi di trust: gestionale e sicurezza [continua]
Regolamento eIDAS
•fornitori qualificati (Art. 24)
– trattamento lecito dei dati
personali a norma della
direttiva 95/46/CE
– i fornitori di servizi di trust che
rilasciano certificati qualificati,
istituiscono una banca dati dei
certificati e la tengono
aggiornata
Normativa italiana
•fornitori qualificati e
accreditati (CAD, Art. 32)
– trattamento dei dati personali
secondo il codice di protezione
dei dati (d. lgs. 196, 30/6/ 2003)
con informativa e consenso
– registro dei certificati
• solo le persone autorizzate
possano effettuare
inserimenti e modifiche
• consultazione del pubblico
soltanto nei casi consentiti
dal titolare del certificato
Requisiti dei fornitori dei servizi di trust che rilasciano certificati qualificati: registrazione
Regolamento eIDAS
•fornitori qualificati (Art. 24)
– che rilasciano certificati
qualificati devono verificare in
modo opportuno l’identità
della persona fisica o giuridica
• presenza concreta
• a distanza con mezzi di id.
elettronica rilasciati previa
presenza concreta
• con certificato di FEQ/SEQ
• mezzi eq. a presenza fisica
validi a livello nazionale
Normativa italiana
•fornitori qualificati e
accreditati (CAD, Art. 32)
– che rilasciano certificati
qualificati devono provvedere
con certezza ad identificare la
persona che fa la richiesta
• sono responsabili
dell'identificazione del
soggetto che richiede il
certificato qualificato di
firma anche se tale attività
è delegata a terzi
Requisiti dei fornitori dei servizi di trust che rilasciano certificati qualificati: revoca
Regolamento eIDAS
•fornitori qualificati (Art. 24)
– quando decidono di revocare
un certificato, registrano tale
revoca nella loro banca dati dei
certificati e pubblicano la
situazione di revoca del
certificato tempestivamente,
ma in ogni caso entro 24 ore a
decorrere dal ricevimento
della richiesta;
– tale revoca diventa
immediatamente effettiva
all’atto della pubblicazione
• Normativa italiana
• fornitori qualificati e accreditati
(DPCM, Art. 22)
– inseriscono codice identif. del
certificato qualificato in una delle
liste di certificati revocati e sospesi
(CRL)
– se revoca per compromissione della
chiave privata pubblicazione
tempestiva di lista di revoca
aggiornata e comunicazione
tempestiva al titolare e a terzi con
data ed ora di revoca
Requisiti dei fornitori dei servizi di trust che rilasciano certificati qualificati: sospensione
Regolamento eIDAS
•fornitori qualificati (Art. 27)
– certificato qualificato per firma
perde validità durante
sospensione temporanea
– sospensione registrata nella
banca dati indicata dal servizio
sulle informazioni di stato del
certificato
– fatte salve le precedento
condizioni, gli Stati membri
possono fissare norme nazionali
sulla sospensione temporanea
dei certificati
Normativa italiana
•fornitori qualificati e
accreditati (DPCM, Art. 26)
– inseriscono codice identif. del
certificato qualificato in una
delle liste di certificati revocati
e sospesi (CRL)
– pubblicazione tempestiva di
lista di revoca aggiornata e
comunicazione tempestiva al
titolare e a terzi con data ed
ora di inizio sospensione
– se la sospensione cessa,
certificato valido ‐ mai sospeso
Inizio attività dei fornitori e richiesta status più elevato
Regolamento eIDAS
•i fornitori non qualificati che vogliano
essere qualificati (Art. 21)
– devono notificare allo
organismo di vigilanza la loro
intenzione con una relazione di
valutazione della conformità
emessa dal relativo organismo
• poi valutazione periodica al
più ogni 24 mesi (Art. 16)
•se rispettato il Regolamento
– concesso status di qualificato
– aggiornata lista di fiducia
Normativa italiana
–
–
–
–
•i fornitori qualificati (CAD,
Art. 27)
devono notificare ad AgID
l’inizio dell’attività
verifica a posteriori dei
requisiti da parte di AgID
•i fornitori qualificati che
vogliano essere accreditati
(CAD, Art. 29)
devono presentare domanda
di accreditamento ad AgID
se accolta, il fornitore viene
inserito nell’elenco pubblico
dei certificatori accreditati
Marchio di fiducia per i servizi di trust di più alto livello
Regolamento eIDAS
•Marchio di fiducia UE (Art.
23)
– i fornitori di servizi di trust
qualificati, una volta inseriti
nelle liste di trust possono
usare il marchio di trust UE per i
servizi di trust qualificati
(‘Trustmark’)
– il marchio che sarà definito
dalla Commissione Europea
potrà essere esibito sul sito
web del fornitore, con un link
alla lista di trust
Normativa italiana
Sintesi nuove opportunità in Italia offerte dal regolamento eIDAS
• nuova fattispecie: sigillo elettronico (creazione, verifica e convalida)
• nuovi servizi di trust (qualificati e non) :
– creazione, verifica e convalida di firme elettroniche, sigilli elettronici
• verifica di firma e creazione/verifica sigillo remote (server‐side)
– validazioni temporali elettroniche
• verifica remota! (server‐side)
– servizi elettronici di recapito certificato diversi dalla posta certificata
– creazione, verifica e convalida di certificati di autenticazione di siti web
– conservazione di firme, sigilli o certificati elettronici relativi ai servizi di
trust (in aggiunta alla conservazione dei documenti)
• trustmark!
Sintesi nuovi vincoli in Italia imposti dal regolamento eIDAS
• obbligo di valutazione preventiva e certificazione di conformità del fornitore
da parte di enti preposti prima che il fornitore di servizi di trust possa
acquisire lo status di ‘qualificato’
– valutazione/certificazione periodica, al più ogni 24 mesi; onere a carico del
fornitore di servizi
• obbligo di un piano di continuità per il fornitore in caso di cessazione
• le violazioni di sicurezza saranno comunicate all’ENISA dall’ente di vigilanza
(sarà l’AgID per l’Italia)
Confronto tra
Regolamento eIDAS e
Normativa Italiana
sui servizi di trust
sigillo
Regolamento
elettronico
eIDAS
creazione e
validazione firme,
sigilli (e marche)
server‐side
conservazione
firme, sigilli e
certificati
obbligo
certificaz.
fornitore
creazione
certificati e
marche temporali
obbligo
piano
continuità
creazione firme
server‐side
notifica
Violazioni
ad ENISA
recapito certificato
PEC
conservazione
documenti
Sovrapposizione/conflitto
Normativa
Italiana
SPID
40
SPID - 1
•Art. 17-ter del Decreto del Fare.
•Sistema Pubblico per la gestione dell’Identità
Digitale di cittadini e imprese.
•Si modifica il comma 2 dell’articolo 64 del CAD
(Modalità di accesso ai servizi in rete erogati dalle
pubbliche amministrazioni).
•Continuano a vivere la CIE e la CNS (che dovrebbero
essere sostituite, per accorpamento, dal Documento
Unificato Digitale).
41
SPID - 2
“Il sistema SPID è costituito come insieme aperto di soggetti
pubblici e privati che, previo accreditamento da parte
dell’Agenzia per l’Italia digitale, secondo modalità definite con
il decreto di cui al comma 2-sexies, gestiscono i servizi di
registrazione e di messa a disposizione delle credenziali e
degli strumenti di accesso in rete nei riguardi di cittadini e
imprese per conto delle pubbliche amministrazioni, in qualità
di erogatori di servizi in rete, ovvero, direttamente, su
richiesta degli interessati.”
Progetto molto ambizioso che fa evolvere il sistema di
identità federata (GFID) del Sistema Pubblico di Connettività
(SPC).
42
SPID - 3
“Ai fini dell’erogazione dei propri servizi in rete, è altresì
riconosciuta alle imprese, secondo le modalità definite con il
decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema
SPID per la gestione dell’identità digitale dei propri utenti.
L’adesione al sistema SPID per la verifica dell’accesso ai propri
servizi erogati in rete per i quali è richiesto il riconoscimento
dell’utente esonera l’impresa da un obbligo generale di sorveglianza
delle attività sui propri siti, ai sensi dell’articolo 17, del decreto
legislativo 9 aprile 2003, n. 70”.
Il decreto legislativo riguarda il commercio elettronico ed è il
recepimento della direttiva UE 2000/31/CE.
43
Architettura dello SPID
• Il richiedente il servizio viene validato da un identity provider che a
sua volta è stato qualificato da AgID (Agenzia per l’Italia Digitale).
• All’identity provider può associarsi un attribute provider.
• Questo soggetto gestisce i ruoli, le iscrizioni ad albi, ordini, ecc.
• Anche esso è qualificato da AgID.
• Il modello generale dello SPID è tecnologicamente neutro ma deve
tenere necessariamente conto dell’identità federata del Sistema
Pubblico di Connettività e delle decine di milioni di smart card
disponibili sul territorio italiano.
• Si prevede una partenza entro un anno (recente dichiarazione del
Presidente del Consiglio).
44
SPID - 1
Art. 64. Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni
1.La carta d'identità elettronica e la carta nazionale dei servizi costituiscono strumenti per
l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria
l'identificazione informatica.
2.Le pubbliche amministrazioni possono consentire l'accesso ai servizi in rete da esse erogati
che richiedono l'identificazione informatica anche con strumenti diversi dalla carta d'identità
elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano
l'individuazione del soggetto che richiede il servizio. Con l'istituzione del sistema SPID di cui
al comma 2-bis, Le pubbliche amministrazioni possono consentire l'accesso in rete ai propri
servizi solo mediante gli strumenti di cui al comma 1, ovvero mediante servizi offerti dal
medesimo sistema spid. L'accesso con carta d'identità elettronica e carta nazionale dei servizi
è comunque consentito indipendentemente dalle modalità di accesso predisposte dalle
singole amministrazioni.
2-bis. Per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di
cittadini e imprese, anche in mobilità, è istituito, a cura dell'Agenzia per l'Italia digitale, il
sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID).
45
SPID - 2
Art. 64. Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni
2-ter Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che,
previo accreditamento da parte dell'Agenzia per l'Italia digitale, secondo modalità definite
con il decreto di cui al comma 2-sexies, gestiscono i servizi di registrazione e di messa a
disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e
imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete,
ovvero, direttamente, su richiesta degli interessati.
2-quater. Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo le
modalità definiti con il decreto di cui al comma 2-sexies.
2-quinquies. Ai fini dell'erogazione dei propri servizi in rete, è altresì riconosciuta alle
imprese, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di
avvalersi del sistema SPID per la gestione dell'identità digitale dei propri utenti. L'adesione al
sistema SPID per la verifica dell'accesso ai propri servizi erogati in rete per i quali è richiesto il
riconoscimento dell'utente esonera l'impresa da un obbligo generale di sorveglianza delle
attività sui propri siti, ai sensi dell'articolo 17 del decreto legislativo 9 aprile 2003, n. 70.
46
SPID - 3
Art. 64. Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni
2-sexies. Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro
delegato per l'innovazione tecnologica e del Ministro per la pubblica amministrazione e la
semplificazione, di concerto con il Ministro dell'economia e delle finanze, sentito il Garante per la
protezione dei dati personali, sono definite le caratteristiche del sistema SPID, anche con
riferimento:
a)al modello architetturale e organizzativo del sistema;
b)alle modalità e ai requisiti necessari per l'accreditamento dei gestori dell'identità
digitale;
c) agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di
garantire l'interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori
dell'identità digitale nei riguardi di cittadini e imprese, compresi gli strumenti di cui al comma 1;
d)alle modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete;
e)ai tempi e alle modalità di adozione da parte delle pubbliche amministrazioni in qualità di
erogatori di servizi in rete;
f) alle modalità di adesione da parte delle imprese interessate in qualità di erogatori di servizi in
rete.
47
RUOLI ALL’INTERNO DI SPID
Gestori dell’identità digitale
Ottengono l’accreditamento
Verificano l’identità degli utenti utilizzando anche i servizi previsti da apposita
convenzione
Assegnano e gestiscono l’identità digitale
Rendono disponibili e gestiscono gli attributi dell’utente
Rendono disponibile gratuitamente alle pubbliche amministrazioni il servizio di
autenticazione
Possiedono requisiti organizzativi e societari sostanzialmente uguali a quelli
necessari per l’ accreditamento dei certificatori di firma digitale.
48
RUOLI ALL’INTERNO DI SPID - 2
Fornitori di servizi
Ottengono l’accreditamento
Inoltrano le richieste di identificazione informatica dell’utente ai gestori dell’identità digitale
Non discriminano gli utenti in base al gestore dell’identità digitale che l’ha fornita
Sono liberi di scegliere il livello di sicurezza delle identità digitali necessari per accedere allo specifico servizio
Sottoscrivono la convenzione predisposta
Soddisfano gli obblighi di cui all'articolo 17, comma 2, del decreto legislativo 9 aprile 2003, n. 70 con la
comunicazione del codice identificativo dell’identità digitale utilizzata dall’utente
Possono fruire di servizi di autenticazione offerti dai gestori di identità UE
49
RUOLI ALL’INTERNO DI SPID - 3
Gestori di attributi qualificati
Ottengono l’accreditamento
Attestano il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi, previo
consenso degli utenti interessati
50
RUOLI ALL’INTERNO DI SPID - 4
Agenzia per l’Italia Digitale
▪
Accredita e vigila i gestori di identità
▪
Accredita e vigila i gestori di attributi qualificati
▪
Stipula
Convenzioni
Gestori di identità
Gestori di attributi qualificati
Fornitori di servizi
▪
Vigila sul rispetto delle convenzioni
▪
Gestisce e pubblica il registro SPID contenente l’elenco dei soggetti abilitati a operare in qualità di
gestori dell’identità digitale, di gestori degli attributi qualificati e di fornitori di servizi
▪
Mantiene aggiornati i regolamenti attuativi
Fonte AgID
51
VERIFICA IDENTITA’ SPID
PER LA VERIFICA DI IDENTITA’ DI UN RICHIEDENTE CREDENZIALI SPID:
a) identificazione tramite esibizione a vista di un valido documento d’identità da
parte del soggetto richiedente, il quale sottoscrive il modulo di adesione allo SPID;
b) identificazione informatica tramite documenti di identità di tipo digitale , validi ai sensi
di legge, che prevedono il riconoscimento a vista del richiedente all’atto dell’attivazione
(TS-CNS, CNS, CRS, Ate, ecc.);
c) Identificazione informatica tramite altra identità digitale di tipo SPID con livello di
sicurezza pari o superiore a quella oggetto della richiesta;
d) acquisizione del modulo di adesione allo SPID sottoscritto con firma elettronica
qualificata o con firma digitale;
e) identificazione informatica per mezzo di sistemi informatici preesistenti
all’introduzione dello SPID
che risultino aver adottato, a seguito di apposita istruttoria dell’Agenzia, regole di
identificazione informatica caratterizzate da livelli di sicurezza uguali o superiori a
quelli definiti nel presente decreto.
52
GESTIONE DOCUMENTAZIONE
I gestori dell’identità digitale conservano per 20 anni:
•
copia per immagine del documento di identità esibito
•
il modulo sottoscritto dal richiedente l’identità digitale
•
copia del log nel caso di uso di altre modalità previste/autorizzate
53
ATTRIBUTI NELLO SPID
attributi identificativi: nome, cognome, luogo e data di nascita, sesso,
ovvero ragione o denominazione sociale, sede legale, nonché il codice
fiscale
e
gli
estremi
del
documento d’identità utilizzato ai fini
dell’identificazione;
attributi non identificativi: il numero di telefonia mobile, l’indirizzo di posta
elettronica, il
domicilio fisico e digitale, nonché eventuali altri attributi individuati dall’Agenzia;
attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di
rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore
di attributi qualificati. Possono essere già contenuti nell’identità digitale.
54
SPID
IDENTITÀ DIGITALE
Codice identificativo
Attributi
identificativi
Identità
digitale
Attributi non
identificativi
Eventuali attributi
qualificati
Fonte AgID
55
Livelli di sicurezza in SPID
Livelli di sicurezza delle identità digitali
Primo livello: corrispondente al Level of Assurance LoA2 dello standard ISO/IEC 29115,
il
gestore
dell’identità
digitale
rende
disponibili
sistemi
di
autenticazione
informatica a un fattore (per esempio la password), secondo quanto previsto dal
presente decreto e dai regolamenti di cui all’articolo 4.
Secondo livello: corrispondente al Level of Assurance LoA3 dello standard
ISO/IEC 29115, il gestore dell’identità digitale rende disponibili sistemi di
autenticazione informatica a due fattori, non basati necessariamente su certificati digitali
le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui
all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo quanto
previsto dal presente decreto e dai regolamenti di cui all’articolo 4.
Terzo livello: corrispondente al Level of Assurance LoA4 dello standard ISO/IEC 29115,
il
gestore
dell’identità
digitale
rende
disponibili
sistemi
di
autenticazione
informatica a due fattori basati su certificati digitali, le cui chiavi private siano custodite su
dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del
Parlamento europeo.
56
SPID - LIVELLI DI SICUREZZA
INDIVIDUAZIONE DEL LIVELLO DI SICUREZZA DEGLI
STRUMENTI
• L’Agenzia valuta e autorizza l’uso degli strumenti e delle tecnologie di
autenticazione informatica consentiti per ciascun livello, nonché i
criteri per la valutazione dei sistemi di autenticazione informatica e la
loro assegnazione al relativo livello di sicurezza.
• I gestori dell’identità
dell’Agenzia.
digitale
rendono
pubbliche
le
decisioni
57
Infrastruttura SPID
1
1. Richiesta di servizio
2
Utente
2. Inoltro verso Identity provider
5
3
Servizio
3. Richiesta credenziali
4. Verifica credenziali
5. Rendirizzamento verso il service
provider con asserzione di
autenticazione
4
Identity Provider
Fonte AgID
58
Infrastruttura SPID
1
1. Richiesta di servizio
2
Utente
2. Inoltro verso Identity provider
5
Servizio
3. Richiesta credenziali
7
3
6
4. Verifica credenziali
5. Rendirizzamento verso il service
provider con asserzione di
autenticazione
4
Attribute Authority
6. Richiesta attributi
7. Risposta contenente
certificazione attributi
Identity Provider
Fonte AgID
59
Specifiche SPID
Le specifiche proposte (FONTE AgID) sono quelle già previste per l’identity Provider dal modello GIFID di
SPC.
•Il funzionamento dell’Identity provider è quello previsto da SAML v2 per il profilo “Web Browser SSO”
([SAML-TechOv] sez. 4.1)
•Devono essere previste le due versioni “SP-Initiated”: “Redirect/POST binding” e “POST/POST binding”. in
cui il meccanismo di autenticazione è innescato dalla richiesta inoltrata dall’utente (tramite il suo User
Agent) ad un Service Provider, il quale a sua volta si rivolge opportunamente all’autorità di certificazione
d’identità in modalità “pull”.
•La richiesta di autenticazione SAML (basata sul costrutto <AuthnRequest>) può essere inoltrata da un
Relying Party all’Identity Provider usando il binding HTTP Redirect o il binding HTTP POST.
•La relativa risposta SAML (basata sul costrutto <Response>) può invece essere inviata
dall’Identity Provider al Relying Party solo tramite il binding HTTP POST.
•Specifiche delle interfacce riporteranno dettagliatamente (Fonte AgID):
– Le caratteristiche delle asserzioni prodotte
– Le caratteristiche delle AuthnRequest e della AuthnResponse
– Le caratteristiche del binding
– I metadati.
60
SAML vs SPID
SP- Initiated SSO: Redirect / POST Bindings
Service Provider
www.abc.com
Identity Provider
www.xyz.com
Resource
Assertion
Consumer
Service
Access
check
7
Single
Sign-On
Service
2
Redirect with
<AuthnRequest>
Access
resource
Supply
resource
1
3
5
Challenge
for
GET using
<AuthnRequest>
POST signed
<Response>
Signed
<Response> in
HTML form
6
credentials
User
login
4
User or UA action
Browser
User or UA action
Fonte AgID
61
Documento Digitale Unificato
• Abbiamo uno schema di Decreto notificato in UE.
• I nuovi comandi del sistema operativo (APDU) per
i microchip.
• L’architettura funzionale di riferimento.
• Tempi chiarissimi e possibili conflitti con una
elevata emissione di Carte Nazionali dei Servizi
(TS-CNS).
62
DDU – STRUTTURA DEL DOCUMENTO
• Unificazione delle funzioni di Carta d’Identità
Elettronica, Carta Nazionale dei Servizi, Tessera
Sanitaria, Codice Fiscale.
• Per motivi di spazio scompare dalla TS la parte di
Tessera Europea di Assicurazione Malattia.
• Il documento contiene la parte relativa al
documento di viaggio conforme al passaporto
elettronico (funzione contactless).
• Nello schema di DPCM viene riportato il nuovo
dettaglio del layout.
63
DDU CIRCUITO DI EMISSIONE
• Non c’è emissione a vista.
• I soggetti coinvolti sono IPZS, SOGEI e ovviamente
i Comuni.
•Viene utilizzata l’Anagrafe Nazionale della
Popolazione Residente (ANPR).
•SOGEI si occupa dell’infrastruttura generale, IPZS
dell’emissione e della gestione carta valori.
• I Comuni della raccolta dati, richiesta emissione,
ecc.
64
DDU QUALCHE DETTAGLIO
• E’ possibile richiedere (con sovrattassa) l’emissione
in tre giorni.
• Il documento può essere spedito a domicilio con
sovrattassa.
• Quindi il documento si richiede al Comune e si
ritorna per il ritiro.
• Le altre questioni rimangono pressoché identiche.
65
Considerazioni finali
• La grande diffusione dei servizi in rete aumenta l’esigenza di una
diffusa e affidabile identità digitale per i cittadini da utilizzare per i
servizi della PA che per quelli privati.
• Il modello che si è diffuso sino ad oggi è quello del «un servizio –
una specifica identità».
• La tendenza Europea è quella di affidare la gestione dell’identità agli
Stati Membri e propagarla, in modo interoperabile, all’interno
dell’offerta di servizi in rete.
• In Europa entro un paio di anni ci sarà un UNICO modello
obbligatorio per TUTTI gli Stai Membri.
• In Italia sta partendo lo SPID che sembra voler convergere verso il
modello Europeo.
66
Contatti
Giovanni Manca
e-mail:
[email protected]

Download Report