Premessa ‘Legislativa’
La LEGGE del 9 agosto 2013, n. 98
modifica tramite l’art.17-ter il CAD andando a specificare : 1. Al comma 2
dell’articolo 64 del codice dell’amministrazione digitale, di cui al decreto
legislativo 7 marzo 2005, n. 82, e successive modificazioni, dopo il primo
periodo è inserito il seguente: "Con l’istituzione del sistema SPID di cui
al comma 2-bis, le pubbliche amministrazioni possono consentire l’accesso in
rete ai propri servizi solo mediante gli strumenti di cui al comma 1, ovvero
mediante servizi offerti dal medesimo sistema SPID". L'accesso con carta
d'identità elettronica e carta nazionale dei servizi è comunque consentito
indipendentemente dalle modalità di accesso predisposte dalle singole
amministrazioni. (E quindi via DDU)
2-bis. Per favorire la diffusione di servizi in rete
e agevolare l'accesso agli stessi da parte di cittadini e
imprese, anche in mobilità, è istituito, a cura dell'Agenzia
per l'Italia digitale, il sistema
pubblico per la gestione dell'identità digitale di
cittadini e imprese (SPID).
2-ter. Il
sistema SPID è costituito come insieme aperto di
soggetti pubblici e privati che, previo
accreditamento da parte dell'Agenzia per l'Italia digitale, secondo
modalità definite con il decreto di cui
al comma 2-sexies, gestiscono i servizi di
registrazione e di messa a disposizione delle credenziali e
degli strumenti di accesso in rete nei riguardi di cittadini e imprese per
conto delle pubbliche amministrazioni, in
qualità di erogatori di
servizi in rete, ovvero, direttamente, su richiesta degli
interessati.
Al 2-sexies, troviamo f) alle modalità di adesione
da parte delle imprese interessate in qualità di erogatori di servizi in
rete.
Il Documento Digitale Unico viene introdotto con il DL. n. 179/2012 con
lo scopo di raccogliere in un’unica tessera la Carta d’Identità Elettronica
(CIE), la Carta Nazionale dei Servizi (CNS), la Tessera Sanitaria (TS) e il
Codice Fiscale, lo stesso prevede l'utilizzo di smartcard con un doppio
microprocessore, a radiofrequenza e a contatti. La presenza del processore a
radiofrequenza (contacless) caratterizza il DDU come strumento innovativo ed
estremamente attuale, mentre la presenza del chip contact garantisce retro
compatibilità verso le carte che il DDU andrà a sostituire. Il DDU avrà
validità di 10 anni, e ci vorranno 10 anni prima che il
dispiegamento a tutti la cittadinanza venga ultimato; lo stesso sarà sia un
DOCUMENTO DI IDENTITA’ che un DOCUMENTO DI RICONOSCIMENTO.
Cosa cambia
Avremo un sistema unico di gestione delle identità
digitali SPID, che verrà realizzato da Agid, con la possibilità di sfruttare
soggetti che già gestiscono l’identità digitale, gli indiziati sono le Regioni
che già si sono attrezzate con sistemi di tale tipo, vedasi Emilia Romagna
(Federa) oppure il servizio di Identity Provider della Regione Lombardia
(IdPC). Questi sistemi attualmente sfruttano i certificati sui documenti di
identificazione (o firma digitale), oppure sistemi di autenticazione più laschi
come utente/password o OTP di qualche genere.
Avremo un documento unico di identificazione e di
riconoscimento DDU.
L’intreccio tra DDU e SPID
L’identità
digitale è caratterizzata dal livello di affidabilità dell’identità stessa, e
che si definisce come il grado di attendibilità delle identità digitale, e
varia in base alla modalità con cui l'utente è identificato presso il proprio
gestore delle identità. Ad esempio il livello di affidabilità in Federa è
articolato come segue :
- Bassa:
- Utenti non identificati.
Sono gli utenti che si registrano online presso il gestore delle
identità.
- Media:
- Utenti identificati in
maniera debole/indiretta tramite SIM/USIM.
Sono gli utenti che si registrano online presso il gestore delle
identità, inserendo e confermando il proprio numero di telefono
cellulare.
- Alta:
- Utenti identificati "de
visu" da un operatore del gestore delle identità.
- Utenti identificati tramite
smartcard CIE/CNS.
- Utenti identificati tramite
invio di documentazione. (??)
Oppure a
livello internazionale vengono considerati tre diverse fattori di
autenticazione:
"Una
cosa che conosci", per esempio una password o il PIN.
"Una cosa che hai", come un telefono cellulare, una
carta di credito o un oggetto fisico come un token.
"Una cosa che sei", come l'impronta digitale, il timbro vocale, la retina o
l'iride, o altre caratteristiche di riconoscimento attraverso caratteristiche
uniche del corpo umano (biometria).
Quando
viene utilizzato più di un fattore di autenticazione si parla di strong
authentication (autenticazione forte); l'uso di un solo fattore, ad esempio la
sola password, viene considerato una autenticazione debole.
Come
facilmente si deduce dai due distinti contesti, per avere una strong
autentication/forte affidabilità il DDU diviene la soluzione naturale, in
quanto è “qualcosa che ho” ed è
equivalente a CIE/CNS.
Considerazioni per le Pubbliche
Amministrazioni Locali
L’ipotesi di sviluppo di queste due tecnologie è che probabilmente
verrà creato uno SPID che consentirà di autenticarsi in modo forte tramite il
DDU (o a scemare con CNS/CIE), ed in modo light con altri sistemi
auto-dichiarativi o basati su utente/password. (Autenticazioni deboli). Il DDU
usato come smart-card+PIN avrà la stessa efficacia e usabilità della
CRS/CNS/TS, dati ufficiali RL nel 2011 (http://dati.lombardia.it)
900k accessi con CRS, dati ufficiosi Reg.Toscana : “… sul territorio che posso
osservare (3,5M cittadini) ogni settimana sono circa 2K soggetti utilizzano per
la prima volta un servizio accessibile via CNS. Il 40% dei soggetti adulti ha
utilizzato almeno una volta un servizio con CNS “ … In ogni caso, se
confrontati all’autenticazioni forti delle banche i dati sono molto esigui. A
riguardo vi sono tre linee di pensiero :
1) I servizi per cui accedere con
CRS/CNS sono esigui ed è per tale motivo che non vi è incentivazione all’uso di
tali dispositivi.
2) L’accoppiata lettore più smart
card è una tecnologia obsoleta
3) I privati ad oggi non usano i
sistemi di autenticazioni della PA per autenticarsi ai loro servizi privati.
(Ad esempio non posso autenticarmi alla mia banca con la CRS).
Evidentemente la verità è la ‘somma pesata’ delle tre
motivazioni, per la 2) la presenza della tecnologia NFC nel DDU, se accompagnata
da una UX buona potrebbe aprire la porta agli accessi mobile non possibili ora
con CNS. Per la 3) invece è contemplata nel 2-sexies, comma f) che vuole
incentivare l’adozione del sistema pubblico di identificazione anche per i
servizi privati. La 1) vede noi protagonisti con l’obiettivo di creare servizi
alla cittadinanza che valgano la fatica di superare le barriere tecnologiche
(che comunque seppur minime esistono) per ottenere il servizio stesso.
Considerazioni Europee
