Cosa significa che INPS ha pubblicato i sorgenti per l'accesso via SPID

SPID, acronimo di Sistema Pubblico di Identità Digitale, è il meccanismo ideato nel 2013 che permette l’autenticazione su tutti i servizi della Pubblica Amministrazione usando le medesime credenziali.
Si tratta di un sistema aperto il cui funzionamento può essere esteso anche ai privati che dovessero ritenerne utile l’utilizzo sui rispettivi servizi: ne parliamo nell’articolo SPID, come funziona davvero e a che cosa serve.
Nel successivo Come utilizzare SPID per l’autenticazione sui siti ci siamo soffermati sui consigli utili per superare i principali scogli per l’ottenimento dell’identità digitale SPID e per l’autenticazione sui vari siti della Pubblica Amministrazione.

Dopo aver comunicato l’abbandono del tradizionale PIN per l’autenticazione degli utenti (vedere INPS, SPID diventa il meccanismo di autenticazione preferito), INPS ha compiuto un ulteriore passo in avanti. L’obiettivo è quello di incentivare l’utilizzo di SPID come strumento di autenticazione.

Nella pagina GitHub dell’Istituto INPS ha pubblicato il codice sorgente per l’autenticazione con SPID da dispositivi Android e iOS.

L’Istituto vuole puntare sull’opensource “incardinandolo nel proprio piano strategico ICT, allo scopo di far progredire il know-how, creare software più sicuro, e in generale facilitare una produzione di soluzioni digitali direttamente nel Paese, con maggiori tutele per le istituzioni e i cittadini“.

La pubblicazione del sorgente per l’accesso con SPID da Android e iOS viene presentato come un primo passo per incoraggiare l’utilizzo dell’opensource creando un circolo virtuoso che permetta agli enti pubblici e agli stessi privati di poggiare su uno strumento affidabile per l’autenticazione degli utenti, rispettoso della loro privacy e dei dati personali.
SPID è infatti un sistema di autenticazione federato che permette di attestare l’identità dell’utente così come alcuni suoi dati (verifica dell’età o age verification) senza condividere con soggetti terzi alcuna informazione personale aggiuntiva.
A fare da “garante” è infatti l’Identity Provider (IdP) ovvero il soggetto che ha fornito l’identità digitale SPID al richiedente dopo una serie di attente verifiche. L’IdP semplicemente invierà un token per confermare che l’utente è chi dice di essere senza condividere alcun dato aggiuntivo rispetto a quelli richiesti dal servizio sul quale si sta tentando il login.

SPID è stato inoltre disegnato in conformità al Regolamento eIDAS (electronic IDentification, Authentication and trust Services): guarda quindi all’interoperabilità a livello europeo e sarà sempre più utilizzabile per autenticarsi sui siti e servizi fuori dai confini italiani.

Il contributo pubblicato dal team di Innovazione Tecnologica e Trasformazione Digitale INPS consentirà comunità di sviluppatori di integrare con maggiore semplicità SPID nelle diverse app per i dispositivi mobili. Grazie a queste risorse i programmatori potranno implementare molto facilmente l’accesso con SPID nei rispettivi servizi.