Nel biennio 2020-2021, l’emergenza sanitaria Covid-19 ha fatto esplodere l’esigenza di possedere una propria identità digitale. Da un lato, questa è sempre più necessaria per poter accedere con una identità certa e sicura ai servizi online delle pubbliche amministrazioni, vista l’esigenza di distanziamento sociale e viste le novità introdotte dal Decreto Semplificazioni 2020; dall’altro lato, l’identità digitale è ormai indispensabile per poter partecipare ad alcune iniziative governative che hanno puntato alla diffusione delle identità digitali stesse e dei pagamenti elettronici.
Ci riferiamo, ad esempio, all’iniziativa del cashback statale attraverso l’app IO o alla richiesta di bonus bicicletta-monopattino attraverso una piattaforma accessibile solo tramite le proprie identità digitali.
Per questi motivi, si è verificata una crescita esponenziale nell’erogazione delle identità digitali SPID a favore dei cittadini, passando dai 5 milioni e 600 mila SPID rilasciati a gennaio 2020 agli oltre 18 milioni e 600 mila SPID rilasciati a marzo del 2021.
Che cos’è l’identità digitale SPID?
Per chi non lo sapesse, un’identità digitale serve per accedere ad un servizio digitale, ad un sistema informatico o per la sottoscrizione di documenti informatici. Il Sistema Pubblico di Identità Digitale (SPID) consente, quindi, di accedere sia a servizi pubblici, sia a servizi erogati da privati aderenti al Sistema, attraverso un’unica coppia di credenziali personali, formate da username e password.
Nei prossimi mesi è previsto un ulteriore boom di attivazioni di identità digitali SPID in quanto il Decreto Semplificazioni 2020 (D.L. n. 76 del 16 luglio 2020) ha stabilito che a decorrere dal 28 febbraio 2021, le pubbliche amministrazioni utilizzino esclusivamente le identità digitali SPID o la carta di identità elettronica (CIE) ai fini dell’identificazione dei cittadini che accedono ai propri servizi online. Benché molte pubbliche amministrazioni non si siano in realtà ancora conformate al nuovo obbligo, nonostante la scadenza imposta dal Decreto, la strada è comunque ormai chiaramente tracciata e in futuro l’accesso ai servizi pubblici mediante l’identità digitale SPID è destinato a diventare la modalità di fruizione preponderante, se non l’unica.
Per richiedere la propria identità SPID, i cittadini si possono rivolgere ad uno dei nove Identity Provider o, se presenti nel territorio, a dei Registration Authority Officer (R.A.O.) pubblici. I Gestori dell’identità digitale (o Identity Provider) sono soggetti accreditati allo SPID da AgID con il compito di identificare l’utente in modo certo, di generare le identità digitali, di assegnare le credenziali di accesso, di gestire gli attributi degli utenti.
I tre livelli dello SPID
La normativa in materia di SPID prevede tre livelli di sicurezza:
- livello 1, definito Basso: l’identità SPID di primo livello permette l’autenticazione tramite un ID e una password stabilita dall’utente, di almeno 8 caratteri e da rinnovarsi almeno ogni 180 giorni, secondo i classici criteri di sicurezza. Tale livello, adottando un sistema autenticazione a singolo fattore, assicura un buon grado di affidabilità;
- livello 2, definito Significativo: l’identità SPID di secondo livello permette l’autenticazione a doppio fattore, quindi tramite password e la generazione di una One Time Password <<usa e getta>> inviata all’utente. Tale livello garantisce un alto grado di affidabilità ed è quello più diffuso. L’invio dell’OTP generalmente avviene tramite l’app dell’Identity Provider o tramite sms;
- livello 3, definito Elevato: l’identità SPID di terzo livello permette l’autenticazione tramite password e smart card. Questo livello garantisce un altissimo grado di affidabilità.
Nel novembre 2019 tutti i Gestori di Identità Digitale si sono impegnati a fornire per sempre ai cittadini gratuitamente le credenziali SPID di livello 1 e 2.
La verifica dell’identità SPID come modalità di riconoscimento
La tecnologia e la normativa ormai permettono di eseguire il riconoscimento di una persona attraverso tecniche più innovative e al passo con i tempi, ossia attraverso la verifica di un’identità digitale certa e garantita e non più attraverso l’acquisizione di un documento di riconoscimento, magari prodotto tramite scansione o copia per immagine.
Una persona, del resto, per poter possedere una identità digitale deve essere identificata in modo certo preventivamente al momento del rilascio dell’identità stessa, quindi tutte le volte che un utente accederà a dei servizi digitali sia pubblici che privati attraverso la propria identità digitale sarà possibile verificare e riconoscere la sua identità: questo rappresenta un valore di grande rilevanza per l’innovazione dei processi di business.
Questo importante principio è stato sancito definitivamente anche da un punto di vista normativo dal già citato Decreto Semplificazioni 2020 che, introducendo all’art. 64 del CAD il comma 2-duodecies, ha stabilito che la verifica dell’identità digitale SPID con livello di garanzia almeno significativo e della CIE, ai sensi dell’articolo 8, paragrafo 2, del Regolamento UE n. 910/2014 del Parlamento e del Consiglio europeo del 23 luglio 2014, produce, nelle transazioni elettroniche o per l’accesso ai servizi in rete, effetti equipollenti a quelli del documento di riconoscimento.
Integrare l’identificazione tramite SPID alle soluzioni di firma elettronica
Integrare le soluzioni di firma elettronica online con l’identificazione tramite SPID rappresenta un’evoluzione naturale e innovativa dei processi di sottoscrizione, e allo stesso tempo si tratta di un percorso già pienamente attuabile.
Partendo dall’assioma che una firma elettronica è tanto più robusta quanto più è robusta l’identificazione del firmatario, prevedere nelle soluzioni di firma online, sia quelle di firma elettronica semplice (FES) che quelle di firma elettronica avanzata (FEA), un’integrazione applicativa e automatica, non solo dà valore giuridico e probatorio alla soluzione di firma, ma permette anche di avere una procedura più efficace e snella in quanto automatica nella fase di riconoscimento dell’utente firmatario.
Una firma elettronica semplice (FES) integrata con un riconoscimento automatico tramite SPID assicura certamente maggiore robustezza in quanto le sue caratteristiche di sicurezza vengono rafforzate, essendo garantita l’identità del firmatario.
Una soluzione di firma elettronica avanzata (FEA), d’altra parte, richiede espressamente all’art. 26 del Regolamento europeo eIDAS e all’art. 56 del DPCM 22 febbraio 2013 di ottemperare al requisito di identificazione obbligatoria del firmatario, preventivamente alla prima sottoscrizione, e di conservare per venti anni l’evidenza del riconoscimento eseguito, insieme all’adesione o dichiarazione di accettazione del firmatario.
Quindi, in caso di identificazione eseguita automaticamente tramite l’identità digitale SPID si andrà semplicemente a conservare per venti anni l’evidenza della verifica eseguita dal Gestore dell’identità digitale, che è rappresentata da un’asserzione di avvenuta autenticazione ossia da un file XML denominato <Response> SAML: non si andrà quindi a conservare la scansione del documento di riconoscimento o la video registrazione del riconoscimento eseguita a distanza da un operatore.
La firma con SPID secondo le Linee guida AgID
Un’ulteriore possibilità di firma che sfrutta l’identificazione SPID è la firma con SPID disciplinata dall’art. 20 comma 1-bis del CAD, la cui attuazione è stata definita dalle Linee Guida AgID del 23 aprile 2020. Questa ulteriore soluzione di firma può essere offerta dai Gestori dell’identità digitale e impiegata eventualmente dai service provider che la utilizzano per far sottoscrivere i propri utenti firmatari.
Il documento informatico sottoscritto con questo tipo di firma riporterà quale evidenza della sottoscrizione un sigillo elettronico qualificato del service provider. Oltre a questo, il documento riporterò anche tanti sigilli elettronici qualificati, apposti dal Gestore dell’identità digitale, quanti sono i point & click di conferma di firma da parte degli utenti firmatari.
In un’unica sessione di autenticazione SPID, il processo di firma permette ad un utente firmatario di confermare la firma in più punti del documento. Inoltre, è anche possibile a più utenti firmatari confermare la propria firma sul medesimo documento, con tempistiche e con sessioni di autenticazione SPID distinte.
Ad oggi, tuttavia, questa tipologia di firma non si è ancora diffusa, anche perché le Linee Guida AgID sono di recente emanazione.
> WEBINAR GRATUITO – Firme elettroniche e Remote working – Un’opportunità da non perdere
Il futuro di SPID nel biennio 2021-2022
L’ecosistema SPID federato è in continua evoluzione e il prossimo biennio 2021-2022 sarà sicuramente un periodo di grande crescita e maturazione del sistema.
Le firme elettroniche che si integrano a SPID ad oggi possono essere utilizzate solo nello scenario B2C, in quanto le oltre 18,5 milioni di identità digitali rilasciate sono relative solo ai cittadini.
Si attende, quindi, l’avvio della diffusione delle identità digitali ad uso lavorativo per i professionisti e i rappresentanti di soggetti giuridici.
A tal riguardo, il Decreto Semplificazioni 2020 ha stabilito che sarà emanato un successivo decreto che fisserà la data a partire dalla quale sarà previsto l’accesso esclusivo tramite SPID di professionisti e imprese ai servizi online delle pubbliche amministrazioni, non appena saranno maggiormente diffuse le identità digitali ad uso professionale, disciplinate dalle recenti Linee guida AgID pubblicate a novembre del 2019 e entrate in vigore a partire dal 1° dicembre 2019.
Altra novità attesa per la diffusione di SPID nel settore privato è la definizione da parte di AgID della convenzione e delle regole per i soggetti Aggregatori di servizi privati, ossia dei fornitori di servizi mediante i quali altri service provider privati (c.d. Aggregati), consentono l’autenticazione informatica degli utenti attraverso l’uso dello SPID per l’accesso ai propri servizi online (c.d. servizi aggregati). Gli aggregatori sono dei facilitatori nel senso che agevolano e supportano l’ingresso nella federazione SPID dei fornitori di servizi che non ritengono conveniente attivare presso di loro la struttura necessaria per esporre i propri servizi in rete tramite l’autenticazione con lo SPID.
In ultimo, altri tre tasselli saranno necessari per far veramente esplodere l’utilizzo di SPID a pieno regime:
- completare il quadro attuativo per i Gestori di attributi qualificati(Attribute Authority) ossia tutti quei soggetti che in base ad una norma hanno il potere di attestare qualifiche, stati personali, poteri di persone fisiche, come a titolo di esempio gli Ordini e i Collegi professionali, gli albi, le Camere di Commercio, i Consigli nazionali e le pubbliche amministrazioni;
- definire le procedure per la delega ed in particolare la gestione dei soggetti delegati e degli “amministratori di sostegno o tutori”;
- definire le linee guida per i R.A.O. privati, al fine di permettere a soggetti privati di effettuare l’identificazione delle persone fisiche, attività propedeutica al rilascio della identità digitale SPID da parte degli Identity Provider accreditati.
Nel frattempo, è già possibile iniziare ad integrare le soluzioni remote di firma elettronica FES o FEA con l’identificazione tramite SPID, al fine di ottimizzare i processi di firma e offrire maggiori garanzie di sicurezza legate all’alto livello di robustezza che l’identità digitale SPID porta con sé.
Scopri tutto quello che c’è da sapere sulla digitalizzazione dei documenti nei processi di vendita nel whitepaper gratuito!
