Identità digitale SPID: si apre a OpenID Connect. Cos'è.

L’identità digitale SPID ha reso più semplice autenticarsi sui servizi online della Pubblica Amministrazione grazie a un meccanismo sicuro, unificato e federato. Soggetti terzi sotto il diretto controllo dello Stato sono autorizzati a emettere le identità digitali SPID su richiesta dei cittadini.

Come spieghiamo nell’articolo in cui descriviamo come funziona SPID i vantaggi sono molteplici perché anziché dover memorizzare tante credenziali è possibile accedere a qualunque sito web della Pubblica Amministrazione senza dover effettuare alcuna registrazione.

Il regolamento europeo eIDAS (electronic IDentification Authentication and Signature) obbliga i singoli stati membri a prevedere sistemi di autenticazione come SPID. SPID è sarà sempre più compatibile e interoperabile con gli altri sistemi analoghi usati in Europa.

E non è vero che SPID è diventato a pagamento: esistono molteplici modi per ottenere SPID gratis senza muoversi da casa o dall’ufficio con il riconoscimento da remoto.

Cosa significa che SPID si apre a OpenID Connect

AgID (Agenzia per l’Italia digitale) ha confermato che OpenID Connect sta per entrare a far parte di SPID.

In passato avevamo detto che con SPID (soluzione utilizzata dalla Pubblica Amministrazione ma implementabile anche da parte dei privati) la soluzione tecnica adottata ricorda quella scelta con il protocollo OAuth, almeno nella sequenza dei passaggi che devono essere seguiti dagli utenti.
In un altro articolo abbiamo visto come autenticarsi con account Google, Microsoft, Facebook e altri usando OAuth: rispetto a SPID le differenze sono comunque importanti. In un caso si condivide un ampio ventaglio di dati personali con aziende private mentre con SPID il volume di informazioni può essere veramente ridotto ai minimi termini.

OpenID Connect è un layer di identità posizionato al di sopra del protocollo OAuth 2.0. La sua filosofia è “rendi semplici le cose semplici e rendi possibili le cose complicate“.
Mentre il già citato OAuth 2.0 è un protocollo di delega delle autorizzazioni di accesso generico, OpenID Connect offre un layer di identità sicuro, flessibile e interoperabile in modo che le identità digitali possano essere facilmente utilizzate su servizi
desktop e mobili.

L’annuncio di AgID può sembrare poca cosa; in realtà aprire SPID a OpenID Connect segna un cambiamento epocale. Dal momento che lo standard di autenticazione OpenID Connect è attualmente utilizzato dalla quasi totalità delle moderne applicazioni web del settore privato, SPID diventa maggiormente interoperabile: in questo modo può “sfondare” anche sui siti che non sono gestiti da enti pubblici continuando a offrire le garanzie di SPID.

L'”evoluzione” di SPID, SPID OpenID Connect prevede una serie di controlli di sicurezza obbligatori adatti a una vasta gamma di casi d’uso governativi, mantenendo una ragionevole facilità di implementazione e funzionalità.
AgID ricorda come OpenID Connect permetta di rafforzare il livello di protezione contro attacchi mirati tesi a intercettare il flusso delle comunicazioni tra i vari attori coinvolti.
Dal punto di vista dell’usabilità viene citato anche il supporto per le cosiddette sessioni lunghe revocabili in modo da evitare il frequente reinserimento delle credenziali come accade con l’attuale implementazione di SPID.