Lo SPID è senza dubbio il servizio più popolare in assoluto tra quelli offerti ai cittadini italiani. L’Agenzia per l’Italia Digitale ha annunciato che diventerà più sicuro con l’adozione dello standard OpenID Connect. La novità riguarda i gestori dell’identità digitale, non gli utenti.
OpenID Connect per lo SPID
In base alle linee guida, redatte ai sensi del Codice dell’Amministrazione Digitale (CAD) e adottate da AgID con la Determinazione n. 616/2021, i gestori dell’identità digitale dovranno obbligatoriamente utilizzare OpenID Connect a partire dal 1 maggio 2022. La novità riguarda anche i fornitori pubblici e privati che vogliono erogare i propri servizi online. Nessun cambiamento invece per gli utenti, in quanto le modalità di utilizzo dello SPID rimangono le stesse.
OpenID Connect è la terza generazione dello standard open che permette di effettuare l’autenticazione su diversi siti attraverso un “identity provider” di terze parti, utilizzando le stesse credenziali. La tecnologia è oggi integrata in quasi tutte le app mobile, tra cui quelle di Google, Microsoft e PayPal.
Rispetto allo standard SAML (Security Assertion Markup Language) attualmente usato per lo SPID, AgID evidenzia tre principali vantaggi:
- maggiore sicurezza
- maggiore facilità di integrazione in sistemi eterogenei (single-page app, web, backend, mobile, IoT)
- migliore integrazione di componenti di terze parti in modalità sicura, interoperabile e scalabile
OpenID Connect prevede inoltre vari controlli di sicurezza obbligatori, tra cui quelli che consentono di evitare ai malintenzionati di intercettare le comunicazioni, soprattutto nel caso di applicazioni per dispositivi mobile. Lo standard permette anche di usare sessioni lunghe revocabili per evitare l’inserimento frequente della password e la possibilità per gli utenti di bloccare un’autenticazione precedentemente effettuata.