EntiOnLine
Categorie
indietro
31/12/2015 L'amministrazione digitale: SPID
Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

SPID

Come illustrato nella Relazione 2014 (cfr. p. 34), con d.P.C.M. 24 ottobre 2014, e' stato avviato il processo di definizione delle caratteristiche del sistema pubblico per la gestione dell’identita' digitale di cittadini ed imprese (Spid), nonche' dei tempi e delle modalita' di adozione del sistema Spid da parte delle pp.aa. e delle imprese.

La realizzazione di un’infrastruttura sicura e affidabile di verifica dell’identita' in rete di cittadini e imprese costituisce un passaggio indispensabile per l’intero percorso di digitalizzazione del Paese.

Nel 2015 AgID ha emanato i relativi regolamenti attuativi coinvolgendo l’Autorita' affinche' fossero assicurati elevati livelli di sicurezza e solide garanzie di protezione dati.

L’Autorita' si e' pronunciata attraverso quattro distinti pareri:

  • provv. 23 aprile 2015, n. 237 (doc. web 3953079), sullo schema di regolamento recante le procedure necessarie a consentire ai gestori dell’identita' digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello Spid, il rilascio dell’identita' digitale;

  • provv. 23 aprile 2015, n. 238 (doc. web n. 3953181), sullo schema di regolamento recante le modalita' per l’accreditamento e la vigilanza sui gestori dell’identita' digitale;

  • provv. 4 giugno 2015, n. 332 (doc. web 4257475), sugli schemi di regolamento recanti rispettivamente, le modalita' attuative per la realizzazione dello Spid e le relative regole tecniche;

  • provv. 17 dicembre 2015, n. 660 (doc. web 4538528), sullo schema di regolamento recante le modalita' attuative per la realizzazione dello Spid e sullo schema di convenzione relativa ai gestori dell’identita' digitale.

In tutti i casi, pur risultando i testi conformi alla gran parte delle osservazioni formulate dall’Autorita' nell’ambito di un tavolo tecnico appositamente istituito, sono state chieste ulteriori specificazioni a maggior garanzie degli interessati, come ad esempio quella di perfezionare la descrizione dei livelli di sicurezza delle identita' digitali anche al fine di garantire una maggiore coerenza con quanto previsto all’art. 8 del regolamento (UE) n. 910/2014 del 23 luglio 2014, in materia di livelli di garanzia dei mezzi di identificazione elettronica. L’Autorita' ha poi richiesto che le domande di accreditamento dei gestori di identita' digitale fossero corredate da un’approfondita analisi dei rischi che tenesse anche in conto le criticita' derivanti dall’uso di identita' digitali pregresse in fase di richiesta di una nuova identita' Spid.

Inoltre, e' stato richiesto di garantire che gli utenti (cioe' le persone cui e' stata attribuita, a richiesta, un’identita' digitale) siano messi in grado di comprendere appieno le potenzialita', e quindi anche i rischi, di tale infrastruttura, in quanto, dal punto di vista della sicurezza, il sistema Spid si potra' dire pienamente funzionante solo una volta che gli utenti avranno acquisito una piena consapevolezza sulle corrette modalita' di utilizzo del sistema.

Altre osservazioni di rilievo hanno riguardato il “codice utente Spid”, costituito necessariamente, nella proposta AgID, da un indirizzo e-mail, in luogo di un piu' semplice codice parlante. Tale vincolo avrebbe pero' reso indispensabile la realizzazione di un servizio di discovery centralizzato, necessario ad individuare, a partire dall’indirizzo e-mail fornito dall’utente in fase di autenticazione ai servizi online, il corrispondente gestore di identita' digitale. A parere dell’Autorita', l’introduzione nel sistema di tale componente architetturale fortemente centralizzata, avrebbe costituito un evidente single point of failure, pericolosamente esposto ad attacchi quali quelli di distributed denial of service con effetti potenzialmente pregiudizievoli sull’intero sistema di accesso ai servizi online delle pp.aa. e dei service provider privati.

E' stata infine rafforzata la collaborazione fra l’Autorita' e l’AgID relativa all’attivita' di vigilanza sull’infrastruttura Spid al fine di assicurare un efficace coordinamento dell’attivita' di audit e controllo svolte da AgID e Garante nei rispettivi ambiti di competenza, sia AgID che i gestori di identita' digitale, laddove riscontrino 4 casi di data breach che abbiano riflessi sulla protezione dei dati personali, sono tenuti a informare tempestivamente il Garante che si attivera' sulla base alle proprie competenze istituzionali.

Fonte: Garante - Relazione 2015

Banca dati