SPID, come funziona davvero e a che cosa serve

Quando si parla di identità digitale è facile imbattersi in articoli e affermazioni assolutamente fuorvianti o non corrispondenti al vero. Un’identità digitale può essere pensata come quell’insieme di informazioni personali che permettono di identificare univocamente un soggetto e che sono gestite e rilasciate da un sistema informatico.
L’identità digitale consente di verificare con quale soggetto il sistema informatico sta dialogando e controllare le credenziali che questi possiede. Il processo di autenticazione permette di provare che l’identità digitale presentata corrisponda effettivamente al soggetto che la sta utilizzando.

Le modalità di autenticazione a più fattori sono generalmente le più sicure: non basta infatti un nome utente e una password ma è necessario confermare la propria identità digitale servendosi di “qualcosa che si è” o “qualcosa che si possiede”: ad esempio un’informazione biometrica come iride, impronta digitale, impronta vocale, riconoscimento del volto,…) o la conferma attraverso smartphone, chiavette (si pensi allo standard FIDO2: Sicurezza account, come migliorarla con le chiavette FIDO2), smart card e così via.

SPID, acronimo di Sistema Pubblico di Identità Digitale, è la “soluzione di Stato” che permette a cittadini ma anche a soggetti giuridici e professionisti di accedere a tutti i servizi online della Pubblica Amministrazione con un’unica identità digitale (username e password) utilizzabile da computer, tablet e smartphone.
Come abbiamo più volte ricordato, la natura aperta di SPID ne permette eventualmente l’implementazione anche da soggetti privati che possono consentire l’accesso ai loro servizi usando lo stesso meccanismo.

SPID nasce nel 2013 sotto la spinta di Stefano Quintarelli, dall’anno seguente presidente del comitato di indirizzo dell’Agenzia per l’Italia digitale (AgID). Proprio AgID, d’intesa con il Garante per la protezione dei dati personali, ha definito le regole tecniche per l’adozione del sistema SPID.

Sebbene i vari rappresentanti politici abbiamo storicamente messo a più riprese il cappello su SPID, a volte commettendo “svarioni” madornali sulla natura del servizio e sul tema delle sue specificità tecniche, il sistema è nato sotto l’impulso di tecnici ed esperti di eGovernment.

Fino a ieri era estremamente complesso accedere ai vari servizi della pubblica amministrazione con una babele di differenti procedure di registrazione e autenticazione. In alcuni casi (si pensi ai servizi dell’Agenzia delle Entrate) per ricevere il PIN di accesso era addirittura necessario attendere giorni e giorni per riceverne una parte al proprio indirizzo postale.
Tutte le pubbliche amministrazioni sono oggi obbligate a implementare l’accesso e l’autenticazione con SPID sui rispettivi servizi online: un vantaggio non da poco perché una volta attivata la propria identità digitale con SPID si potrà accedere ai vari servizi con le medesime credenziali. A questo indirizzo si può trovare la lista dei servizi con i quali è possibile autenticarsi mediante l’utilizzo di SPID.

Come funziona SPID per la gestione dell’identità digitale e l’autenticazione degli utenti

Ci occupiamo di SPID fin da quando una soluzione simile è stata proposta (questo l’articolo che pubblicammo a inizio 2016: Cos’è SPID e come funziona, autenticazione con un clic sui siti web).
Dalla primissima implementazione di acqua sotto i ponti ne è passata davvero tanta anche se tutti i principi di base restano sempre validi.

SPID è infatti composto da tre entità:

1) Gestore delle identità (Identity Provider o IdP). Esso gestisce gli utenti e la procedura di autenticazione. Per acquisire una propria identità digitale SPID, l’utente, l’impresa o il professionista devono rivolgersi al gestore delle identità. A questo indirizzo è disponibile l’elenco completo dei gestori accreditati da AgID.

2) Fornitore di servizi (Service Provider o SP). Mette a disposizione il servizio online richiesto dall’utente. Dopo aver effettuato l’autenticazione dell’utente rivolgendosi all’Identity Provider scelto da quest’ultimo, gestisce l’autorizzazione sulla base degli attributi restituiti dal Gestore dell’identità ed eroga il servizio.

3) Gestore di attributi qualificati (Attribute Authority o AA). Fornisce attributi qualificati sulla base dell’utente autenticato. Sono potenzialmente tutti i soggetti che in base alla normativa vigente hanno il potere di attestare qualifiche, stati personali, poteri di persone fisiche. Esempi sono gli Ordini e i collegi professionali, gli Albi, le Camere di Commercio, i Consigli nazionali e le pubbliche amministrazioni.

Rispetto al primo punto, l’attivazione dell’identità digitale SPID è forse lo scoglio più importante da superare per la maggior parte degli utenti. Le lamentele che si sentono più spesso, infatti, scaturiscono dall’utilizzo – in certi casi – di procedure di riconoscimento troppo complesse, farraginose oppure non immediate da concludere.

Il tutto deriva dal fatto che prima di rilasciare un’identità digitale SPID il gestore delle identità deve necessariamente effettuare il riconoscimento dell’utente assicurandosi che egli sia davvero chi dice di essere.
Il nostro suggerimento consiste nel consultare questa pagina sul sito di AgID e in particolare la tabella al paragrafo Come scegliere tra i gestori d’identità?

Ciascun gestore delle identità può riconoscere l’utente con un’operazione che viene svolta presentandosi di persona presso un ufficio o uno sportello indicati (il servizio di riconoscimento de visu a domicilio viene offerto da alcuni gestori ma spesso è a pagamento), attraverso l’utilizzo di una webcam, mediante l’utilizzo di una carta di identità elettronica (CIE), di una carta nazionale dei servizi (CNS; basta “attivare la tessera sanitaria” presso gli sportelli delle ASL), di una firma elettronica, con l’invio di un messaggio audio-video e un contestuale bonifico bancario di minima entità.

Come abbiamo avuto modo di verificare, le ultime tre modalità di riconoscimento (CIE, CNS, firma digitale, audio-video con bonifico) sono quelle che permettono di ottenere rapidamente un’identità digitale SPID senza muoversi da casa o dall’ufficio. Le procedure dei vari gestori sono state notevolmente semplificate nel corso del tempo e oggi l’ottenimento di SPID è cosa molto più veloce e intuitiva che in passato.

Sicurezza di SPID, privacy e flusso dei dati

Ancora oggi, nonostante sia passato un bel po’ dal lancio del sistema SPID, in molti si ostinano a scrivere che il meccanismo può essere utilizzato dallo Stato per raccogliere informazioni sulle attività online degli utenti. SPID non è nato per questo e anzi le disposizioni del Garante vietano qualunque incrocio di dati e qualsiasi utilizzo differente da quelli strettamente legati all’erogazione del servizio richiesto dagli utenti.

Da parte nostra invitiamo gli utenti a leggere con attenzione le informative sulla privacy condivise dai vari gestori delle identità SPID.
Secondo le vigenti disposizioni, i gestori non possono utilizzare i dati personali dell’utente né cederli a terze parti senza autorizzazione da parte dell’utente stesso. Al momento della richiesta di un’identità digitale, i gestori sono tenuti a tenere esplicitamente distinti i dati necessari all’ottenimento di SPID dalle ulteriori informazioni – non obbligatorie – potranno essere eventualmente richieste.

Quindi “lo Stato” non conosce a priori le informazioni sugli utenti che usano il sistema SPID mentre sono i gestori delle identità digitali a raccogliere e a memorizzarle in modo sicuro. Quando si accede a un servizio, per il momento quelli della Pubblica Amministrazione, il gestore dell’identità digitale indicherà esplicitamente all’utente quali informazioni saranno – previa esplicita autorizzazione – trasmesse al sito richiesto.

Dicevamo che è importante verificare in quale ambito vengono raccolti i dati dal gestore in fase di richiesta di un’identità SPID perché alcuni di essi potrebbero non essere obbligatori e utilizzati per finalità differenti dalla semplice erogazione del servizio. L’attenta lettura dell’informativa sulla privacy consente di sciogliere ogni dubbio.

Come si vede nell’esempio, in questo caso un sito del Ministero dell’Istruzione dell’Università e della Ricerca ha richiesto molteplici dati a un utente che, in possesso di un’identità digitale SPID, ha deciso di autenticarsi usando questo strumento. La mole delle informazioni richieste può essere inferiore a seconda della tipologia di servizio richiesto: se si dovesse usare un sito della Pubblica Amministrazione per effettuare un’iscrizione o richiedere la partecipazione a un concorso, ovviamente le informazioni condivise saranno tante. Cliccando sui pulsanti in basso, l’utente SPID ha la facoltà di negare oppure concedere la condivisione delle informazioni note al gestore dell’identità digitale con il sito indicato nell’area di intestazione. A questo punto, ovviamente, il fornitore di servizi (servizio richiesto) verrà a conoscenza dei dati condivisi e le informazioni saranno trasferite sui suoi server.

Semmai è proprio il gestore dell’identità digitale a poter raccogliere informazioni sugli utenti memorizzando sui suoi server l’elenco dei siti web ai quali viene richiesto l’accesso tramite SPID. Ogni utilizzo commerciale di tali informazioni, però, è assolutamente proibito.

Molti cadono in errore sostenendo che da che mondo è mondo l’utilizzo di uno stesso nome utente e una stessa password per l’accesso a servizi differenti sia una pratica sconsiderata. Come abbiamo visto, tra gli altri, nell’articolo Creare password sicura: oggi ricorre il World Password Day, ciò corrisponde effettivamente al vero.
Nel caso di SPID, però, il servizio che effettua l’autenticazione dell’utente è sempre uno solo: come usando i pulsanti Accedi con Google o Accedi con Facebook (meccanismi di access delegation), il servizio al quale si desidera accedere non viene mai a conoscenza delle credenziali dell’utente (username e password), così con SPID i servizi richiesti ottengono solamente l’attestazione dell’identità digitale (insieme con i dati personali indicati in fase di autenticazione).

Con SPID non si è reinventata la ruota: dal punto di vista tecnico, infatti, il sistema si basa sul framework SAML (Security Assertion Markup Language), sviluppato e manutenuto dal Security Services Technical Committee di OASIS, che permette la realizzazione di un sistema sicuro di Single Sign-On (SSO) federato.
Ricorrendo a SAML diventa possibile accedere a una vastissima schiera di servizi online facenti capo a domini differenti usando lo stesso meccanismo di accesso: le chiavi di accesso – ed è questo un punto di fondamentale importanza – vengono mantenute segrete e mai condivise con soggetti terzi. Gli unici soggetti aventi titolo per verificare nome utente e password oltre che l’impiego di meccanismi di accesso multifattore sono proprio i gestori delle identità SPID.
L’utilizzo di SAML, inoltre, è previsto a livello europeo (sistema eIDAS, electronic IDentification Authentication and Signature) ed è il regolamento eIDAS che obbliga le Pubbliche Amministrazioni degli Stati membri ad attivarsi per prevedere l’autenticazione degli utenti tramite sistemi come SPID. Il mancato rispetto di tale obbligo implica l’esposizione a una procedura di infrazione.

Inoltre, non corrisponde al vero il fatto che soltanto con una coppia username-password sia possibile ottenere automaticamente il “via libera” su decine di siti web della Pubblica Amministrazione.
Il sistema SPID, per come è stato concepito, prevede infatti tre livelli di sicurezza delle credenziali (non tutti i gestori delle identità li offrono; verificare ancora una volta nella tabella pubblicata in precedenza e comunque sul sito di AgID).

Il primo livello permette di accedere ai servizi online solo inserendo nome utente e password associati all’identità SPID.

Il secondo livello – necessario per servizi che richiedono un grado di sicurezza maggiore – prevede l’accesso attraverso un nome utente e una password scelti dall’utente al quale viene aggiunto l’utilizzo di un secondo fattore.
Tale secondo fattore viene deciso dal gestore dell’identità digitale e prevede l’utilizzo di un’apposita applicazione sul dispositivo mobile dell’utente o l’inserimento di un codice OTP (one-time-password) ricevuto per esempio via SMS o con altri strumenti.
Si tratta dell’autenticazione a due fattori: oltre all’inserimento delle credenziali corrette, viene disposta l’introduzione di informazioni relative a qualcosa che si possiede (ad esempio lo smartphone).

Il terzo livello, oltre al nome utente e la password, richiede un supporto fisico come una smart card per completare con successo l’autenticazione.

Nelle regole tecniche di SPID si può verificare come si tratti di un sistema aperto, talmente aperto che l’idea dei promotori è appunto quella di estenderne l’utilizzo ai soggetti privati che dovessero richiederlo.
Ciascuna entità presente nella cosiddetta “federazione SPID” è descritta da un apposito file (metadata): esso ne contiene il certificato X509 (usato per definire il formato dei certificati a chiave pubblica) e tutte le informazioni necessarie alla comunicazione con le altre entità.
Come si può verificare, usando SAML tutte le informazioni previste nell’impianto di SPID vengono trasferite usando XML senza condividere credenziali di accesso. Il flusso dei dati relativi alle richieste e alle risposte, sempre veicolate via HTTPS, è stabilito nella documentazione e prevede sia trasmissione di dati in modalità POST che reindirizzamenti (vedere la sezione “Trasmissione dei messaggi (binding)“).

Il processo di autenticazione dell’utente con SPID

Per rendere ancora più sicuro il meccanismo di autenticazione con SPID sui siti della Pubblica Amministrazione, i gestori delle identità digitali hanno dovuto implementare un sistema che poggia sull’utilizzo dell’autenticazione a due fattori quando l’accesso è di livello 2 e livello 3 come visto in precedenza.

In altre parole non basta inserire il nome utente e la password personali associati all’identità digitale SPID per autenticarsi su un sito: si dovrà superare un controllo aggiuntivo che prevede l’inserimento di un codice di conferma ricevuto via SMS o mediante un’app dedicata (OTP) per gli accessi di livello 2 oppure usare un dispositivo fisico come una smart card (con relativo lettore) per l’autenticazione sui siti che richiedono l’utilizzo del livello 3.

Nell’articolo Come utilizzare SPID per l’autenticazione sui siti ci siamo concentrati soprattutto sulle modalità di autenticazione e sui problemi con i quali tipicamente possono scontrarsi gli utenti.

Trattandosi di un sistema federato di gestione dell’identità digitale, SPID può essere utilizzato per l’autenticazione anche su siti e servizi che non siano gestiti dalla Pubblica Amministrazione.
Proprio per questo si stanno spronando le grandi aziende che gestiscono social network e piattaforme similari a usare SPID ad esempio per la verifica dell’età degli utenti.
SPID non è infatti un “unicum” italiano ma si inquadra in un sistema di servizi simili che sono stati implementati oppure sono in corso di implementazione a livello europeo (sulla base di quanto prescritto nel regolamento eIDAS). Si tratta quindi di un progetto importante che in futuro potrebbe essere abbracciato anche dalle piattaforme social e dai vari servizi online gestite dalle imprese.

Anche perché con SPID non necessariamente si trasferiscono a un altro soggetto, ad esempio il gestore di un social network, i propri dati. Nel caso specifico della verifica dell’età di un utente (maggiorenne/minorenne), SPID può inviare semplicemente un “token autorizzativo” per confermare che un individuo ha più di 13, 14, 16 o 18 anni senza condividere alcun dato aggiuntivo. Oggi SPID funziona solo per i soggetti che abbiano compiuto almeno 18 anni: l’idea è però quella di estenderne l’utilizzo anche ai minorenni.