Claudio Tamburrino

PA, via allo SPID

Si parte da INAIL, INPS e diverse regioni e da tre provider di identità: Poste, Infocert e TIM. AIIP, Assintel e Assoprovider tornano a chiedere la rimozione dei vincoli che impediscono la partecipazione delle realtà medio-piccole

PA, via allo SPIDRoma - Il Ministro per la semplificazione e la pubblica amministrazione Marianna Madia e l'Agenzia per l'Italia Digitale hanno presentato SPID, ovvero il sistema di credenziali di accesso per i servizi della pubblica amministrazione, che nonostante i ricorsi al TAR di Assintel e Assoprovider e le polemiche che hanno accompagnato il suo processo di approvazione, farà a breve il suo esordio ufficiale.

SPID

Il nuovo sistema pubblico per la gestione dell'identità digitale permette a cittadini e imprese di accedere con un'unica identità digitale ed un unico login (disponibile per PC, smartphone e tablet) "ai servizi online pubblici e privati in maniera semplice, sicura e veloce": attivo dallo scorso aprile, partirà concretamente dal 15 marzo con i siti di INAIL, INPS, Regioni Emilia Romagna e Toscana, per proseguire poi ad aprile con l'Agenzia delle Entrate, i comuni di Venezia, Firenze e la Regione Friuli Venezia Giulia. In totale si parla di oltre 300 servizi online, ma l'intenzione è quella di far sottoscrivere la convenzione con AgID ampliando così la quantità di servizi online disponibili per il cittadino e portando online tutti i servizi della PA entro 24 mesi ed, ottimisticamente, anche fornitori di servizi come potrebbero essere quelli delle banche.

Il ricorso al TAR degli operatori delle TLC e delle aziende IT associate in Assintel e Assoprovider (Confcommercio) contestava il fatto che l'applicazione di SPID così com'era avrebbe impedito alle piccole e medie imprese italiane del comparto ICT di entrarne a far parte, confliggendo con la normativa antitrust e con il Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno: in particolare perché, imponendo il requisito di capitale sociale di 5 milioni di euro, escludeva di fatto dalla competizione tutte le realtà medio-piccole. Ciò nonostante i giudici amministrativi hanno fatto proseguire l'iter di SPID, ritenendo che in caso di conferma della sentenza in appello solo tale parte finirebbe per essere modificata e non l'impianto costituito del sistema che esordisce in questi giorni. Al momento, e AIIP, Assintel e Assoprovider non rinunciano a rimarcarlo, solo tre Gestori sono accreditati a fornire l'Identità Digitale: Infocert, Tim e Poste, che ha già lanciato il servizio PosteID.
Solo a loro tre, per il momento, spetta il compito di verificare la coincidenza tra identità reale e digitale, tramite l'adesione attraverso un modulo e l'esibizione di un documento di identità, o l'identificazione informatica con documenti digitali che prevedono il riconoscimento a vista (come per esempio la carta d'identità elettronica, sistema sperimentale che con SPID sembra già superato), oppure la sottoscrizione del modulo di adesione con firma elettronica qualificata o firma digitale (e presentazione di un documento di identità).


Il primo ed il secondo livello di identificazione saranno gratuiti per due anni per i cittadini che stipuleranno contratti con tali identity provider entro il 2016.

Tre sono anche i livelli di sicurezza di SPID esistenti, per rispondere alle diverse esigenze legate all'acceso dei vari servizi della PA.

sicurezzaspid


Claudio Tamburrino
Notizie collegate
  • AttualitàSPID, avanti tutta nonostante tuttoLa sentenza del TAR non influisce sull'iter del sistema di identità digitale italiano: AgID, il collaborazione con il Garante Privacy, ha emanato i regolamenti che contengono i dettagli necessari all'adozione
  • AttualitàAgenda Digitale, tra fondi e ritardiI piani di digitalizzazione passano per le risorse messe a disposizione dall'Europa: le regioni stanno approntando i programmi di spesa e AgID dice di esser pronta a lanciare la rivoluzione. Ma i ritardi, al momento, sono evidenti
  • AttualitàLa carta d'identità elettronica è ancora sperimentaleIl governo italiano pubblica il decreto che dovrebbe gestire la nuova carta di identità digitale, una tecnologia di cui si parla da decenni e che forse si concretizzerà presto. In via sperimentale, gestita da una commissione interministeriale
19 Commenti alla Notizia PA, via allo SPID
Ordina
  • io direi di aspettare e vedere POI se SPID funziona oppure è l'ennesimo tentativo non riuscito di modernizzare questo paese.
    non+autenticato
  • Sono contrario allo SPID soprattutto per due ragioni:
    (1) Va a finire che si paghera', e molto. Alcuni dicono che per due anni sara' gratis, ma solo abbonandosi a qualcosa dai provider di identita', il che probabilmente a sua volta non sara' gratis.
    Anni fa il Comune di Parma propose l'accesso ai suoi servizi (in pratica solo all'Anagrafe, ai propri dati, secondo il principio "dimmi come ti chiemi e ti diro' chi sei" ...) cercando intanto di rifilare la PEC, pericolosissima perche' equivale a una raccomandata AR e poiche' i termini per vari ricorsi iniziano dal ricevimento della raccomandata bisogna controllare ogni giorno la posta in arrivo per non lasciar scorrere i termini, e per un certo tempo offri' gratis la carta di identita' elettronica, che costava un cinque volte quella cartacea.
    (2) Il sistema mi sembra assai pericoloso. Mai mettere tutte le uova nello stesso paniere. Se si ha un'unica password e copia di questa sara' nelle memorie dei 300 o piu' servizi per poter identificare l'utente, sarebbe facile per un funzionario disonesto accedervi e poi fare di tutto in rete sostituendosi all'utente. Ci saranno in gioco servizi pubblici e privati, tra cui banche e finanziarie. Tenuto conto che molti enti pubblici e privati sono legati alla criminalita' o ne fanno parte (Mafia capitale, tangentopoli fiscale, multe per divieto di sosta inviate da Comuni del Sud o dallo Stato criminale Croazia, Banca etruria, le varie banche in mano alla criminalita' organizzata, etc) c'e' poco da stare allegri. Io ho pochissime password (INPS, AE, ...) e le tengo separate tra loro.
    Paolo
    non+autenticato
  • Penso che prima di scrivere sarebbe opportuno sapere di cosa si sta parlando.

    La password sarà in un unico punto, l'identity provider, e non sarà nota ai singoli servizi a cui si accederà attraverso un meccanismo di "trust" tra identity provider e servizio.

    L'identity provider gestirà le password garantendo elevati standard di sicurezza (superiori di quelli garantiti mediamente oggi dai gestori dei singoli servizi) e i servizi critici, come quelli dispositivi o di gestione dei dati sensibili, saranno accessibili solo con OTP (come la maggior parte dei sistemi di nome banking) o con certificato digitale.

    L'utente medio attualmente senza SPID utilizza la medesima password su tutti i servizi, rendendola estremamente vulnerabile.

    SPID nasce orientato al mobile; a breve probabilmente il certificato digitale sarà aggiunto alla SIM degli smartphone superando così le barriere all'ingresso che sono state la causa della scarsa diffusione delle CIE/CNS.

    Saluti.
  • > La password sarà in un unico punto, l'identity
    > provider, e non sarà nota ai singoli servizi a
    > cui si accederà attraverso un meccanismo di
    > "trust" tra identity provider e
    > servizio.
    > L'identity provider gestirà le password
    > garantendo elevati standard di sicurezza

    E perché ci si dovrebbe fidare dell'identity provider?
    Anche l'NSA garantiva (per sé stessa) elevati standard di sicurezza ed è stata violata, così come molte altre agenzie governative, banche, società finanziare, assicurative, etc. Tutte grandi corporazioni che teoricamente non sarebbero dovute essere seconde a nessuno quanto a sicurezza e tecnologie coinvolte (qualcuno ha detto OpenSSH?).

    > dei dati sensibili, saranno accessibili solo con
    > OTP (come la maggior parte dei sistemi di nome
    > banking) o con certificato
    > digitale.

    L'OTP o doppio fattore di autenticazione può aiutare ma non è la soluzione a tutti i problemi di sicurezza, anzi.


    > L'utente medio attualmente senza SPID utilizza la
    > medesima password su tutti i servizi, rendendola
    > estremamente
    > vulnerabile.

    L'uTONTO medio vorrai dire e per quello c'è poco da fare se non lasciare il corso alla selezione naturale.
    Oppure l'SPID nasce proprio per gli utonti? Allora di nuovo: No grazie.

    > SPID nasce orientato al mobile; a breve
    > probabilmente il certificato digitale sarà
    > aggiunto alla SIM degli smartphone superando così
    > le barriere all'ingresso che sono state la causa
    > della scarsa diffusione delle
    > CIE/CNS.

    Blah blah smartphone, cloud, marketing, abbonamenti...

    Sono perfettamente d'accordo con chi è intervenuto prima: mai mettere tutte le uova nello stesso paniere, mai concentrare tutto nel ben noto "single point of failure".
    Pensare poi che la cosa verrà messa in piedi e gestita da qualche azienda in sub.sub.subappalto mi fa stare ancor meno tranquillo.
    non+autenticato
  • - Scritto da: Nome e cognome
    > > La password sarà in un unico punto,
    > l'identity
    > > provider, e non sarà nota ai singoli servizi
    > a
    > > cui si accederà attraverso un meccanismo di
    > > "trust" tra identity provider e
    > > servizio.
    > > L'identity provider gestirà le password
    > > garantendo elevati standard di sicurezza
    >
    > E perché ci si dovrebbe fidare dell'identity
    > provider?
    > Anche l'NSA garantiva (per sé stessa) elevati
    > standard di sicurezza ed è stata violata, così
    > come molte altre agenzie governative, banche,
    > società finanziare, assicurative, etc. Tutte
    > grandi corporazioni che teoricamente non
    > sarebbero dovute essere seconde a nessuno quanto
    > a sicurezza e tecnologie coinvolte (qualcuno ha
    > detto
    > OpenSSH?).

    E quindi di chi ci si dovrebbe fidare? Dei singoli gestori di servizi..? Oppure di nessuno e continuare a scambiarsi documenti cartacei...?

    >
    > > dei dati sensibili, saranno accessibili solo
    > con
    > > OTP (come la maggior parte dei sistemi di
    > nome
    > > banking) o con certificato
    > > digitale.
    >
    > L'OTP o doppio fattore di autenticazione può
    > aiutare ma non è la soluzione a tutti i problemi
    > di sicurezza, anzi.

    Anche in questo caso...quali sono le alternative...? E se non è sicuro come mai è utilizzato da quasi tutti gli istituti bancari per i servizi di home banking..?

    >
    >
    >
    > > L'utente medio attualmente senza SPID
    > utilizza
    > la
    > > medesima password su tutti i servizi,
    > rendendola
    > > estremamente
    > > vulnerabile.
    >
    > L'uTONTO medio vorrai dire e per quello c'è poco
    > da fare se non lasciare il corso alla selezione
    > naturale.
    >
    > Oppure l'SPID nasce proprio per gli utonti?
    > Allora di nuovo: No
    > grazie.
    >

    E' triste da dire...ma purtroppo il livello di informatizzazione in Italia ad oggi è molto basso e gli utonti sono purtroppo una parte rilevante della popolazione.

    > > SPID nasce orientato al mobile; a breve
    > > probabilmente il certificato digitale sarà
    > > aggiunto alla SIM degli smartphone superando
    > così
    > > le barriere all'ingresso che sono state la
    > causa
    > > della scarsa diffusione delle
    > > CIE/CNS.
    >
    > Blah blah smartphone, cloud, marketing,
    > abbonamenti...

    Il certificato digitale su SIM è realtà; è già stato sperimentato e a breve diventerà operativo.

    >
    > Sono perfettamente d'accordo con chi è
    > intervenuto prima: mai mettere tutte le uova
    > nello stesso paniere, mai concentrare tutto nel
    > ben noto "single point of
    > failure".
    > Pensare poi che la cosa verrà messa in piedi e
    > gestita da qualche azienda in sub.sub.subappalto
    > mi fa stare ancor meno
    > tranquillo.

    E' vero...esistono altre tipologie di federazione che avrebbero consentito di raggiungere un risultato simile, ma probabilmente si è scelto questo approccio per avere un maggior controllo e una maggiore sicurezza, visto che dovrà essere garantita in pochi punti (gli identity provider) piuttosto che sui singoli servizi e che non a caso per diventare identity provider SPID sono richieste garanzie di solidità, tra cui quella, contestata ma a mio avviso corretta, di avere almeno 5 milioni di euro di capitale sociale......
  • Qui stiamo rasentando l'assurdo ... l'anagrafe digitale la faranno i privati e sara' parallela a quella pubblica analogica ...

    Ma digitalizzare l'anagrafe pubblica no eh ...
    Dare username e password assieme alla carta di identita' nemmeno eh ...
    non+autenticato
  • - Scritto da: lorenzo
    > Qui stiamo rasentando l'assurdo ... l'anagrafe
    > digitale la faranno i privati e sara' parallela a
    > quella pubblica analogica ...
    >
    >
    > Ma digitalizzare l'anagrafe pubblica no eh ...
    > Dare username e password assieme alla carta di
    > identita' nemmeno eh
    > ...
    user: magna
    pass: magna magna
    così è più chiaro?A bocca aperta
    non+autenticato
  • Perché devo prendere un nuovo ID, forse a pagamento, quando ho la Carta Nazionale Servizi con il chip con dentro la firma digitale.
    non+autenticato
  • Sapete dire perchè non c'è Aruba o uno dei suoi partner come provider?
    Vedo solo Infocert, Poste e Tim.
  • Aruba sarà presto sul mercato Spid, con un'offerta più professionale, semplice e semplicemente migliore di tim, poste.
    E' da sempre l'unico ente digitale di cui mi fido, soprattutto in un'era in cui la serietà di questi enti è tutto.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 12 discussioni)