Manuale Operativo del Servizio TIM ID in ambito SPID. (Sistema Pubblico di gestione delle Identità Digitali ai sensi del DPCM 24 ottobre 2014)

Transcript

1 Cdice Dcument: SPIDPRIN.TT.SOMO Emess: 27/07/2017 Manuale Operativ del Servizi TIM ID in ambit SPID (Sistema Pubblic di gestine delle Identità Digitali ai sensi del DPCM 24 ttbre 2014) MANUALE OPERATIVO Telecm Italia Trust Technlgies S.r.l. - Dcument pubblic Tutti i diritti riservati

2 Telecm Italia Trust Technlgies è prprietaria delle infrmazini cntenute nel presente dcument, che può essere liberamente divulgat all estern del Grupp Telecm Italia, cn riserva di tutti i diritti rispett all inter cntenut. Indice degli argmenti 1 INFORMAZIONI GENERALI DATI IDENTIFICATIVI DELLA VERSIONE DEL MANUALE SCOPO DEL DOCUMENTO IDENTIFICAZIONE DEL GESTORE E DEL RESPONSABILE DEL MANUALE OPERATIVO DESTINATARI E TARIFFE DEL SERVIZIO AMBITO DI APPLICAZIONE CENNI SULLE INFRASTRUTTURE DEL GESTORE DESCRIZIONE DELL ARCHITETTURA DI EROGAZIONE DEL SERVIZIO DESCRIZIONE DELLE ARCHITETTURE DEI SISTEMI DI AUTENTICAZIONE E DELLE CREDENZIALI DESCRIZIONE GENERALE DEL SISTEMA DI MONITORAGGIO Mnitraggi sull utilizz delle credenziali DESCRIZIONE DEI CODICI E DEI FORMATI DEI MESSAGGI DI ANOMALIA Descrizine dei messaggi di errre e anmalia Descrizine dei messaggi di errre sui singli passi dell autenticazine Messaggi relativi ai meccanismi di autenticazine DESCRIZIONE GENERALE DELLE MISURE ANTICONTRAFFAZIONE LIVELLI DI SERVIZIO GARANTITI MODELLO OPERATIVO DEL SERVIZIO DESCRIZIONE DEL SERVIZIO SCHEMA DI GESTIONE DELLE IDENTITÀ DIGITALI Persne fisiche Persne giuridiche PROCESSI DEL SERVIZIO ATTIVAZIONE DEL SERVIZIO DESCRIZIONE DEGLI OBBLIGHI DEL GESTORE DELL IDENTITÀ DIGITALE SPID E DEL TITOLARE DELL IDENTITÀ DIGITALE SPID Obblighi del Gestre Obblighi del Titlare dell Identità Digitale Respnsabilità del Gestre MODALITÀ DI INTERAZIONE CON L UTENTE REGISTRAZIONE DELL IDENTITÀ DIGITALE PRE-REGISTRAZIONE (RICHIESTA E ADESIONE) Persna fisica Richiesta Adesine Persna giuridica Richiesta Adesine IDENTIFICAZIONE (DIMOSTRAZIONE E VERIFICA DELL IDENTITÀ) Persna fisica Identificazine mediante esibizine a vista di un dcument di identità ( de visu ) Verifiche dcumentali (back ffice) e prvisining certificat di FEA Dimstrazine dell identità Verifica dell identità (frnt ffice) Identificazine mediante utilizz della firma elettrnica qualificata firma digitale Dimstrazine dell identità Verifica dell identità (back ffice) Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 2 di 63

3 Identificazine mediante utilizz della carta nazinale dei servizi (CNS) e della carta d identità elettrnica (CIE) Dimstrazine dell identità Verifica dell identità (back ffice) Identificazine mediante sistemi di registrazine Audi-Vide Dimstrazine dell identità Verifica dell identità (remte frnt ffice) Persna giuridica Identificazine mediante esibizine a vista di un dcument di identità ( de visu ) Verifiche dcumentali (back ffice) e prvisining certificat di FEA Dimstrazine dell identità Verifica dell identità (frnt ffice) Identificazine mediante utilizz della firma elettrnica qualificata firma digitale Dimstrazine dell identità Verifica dell identità (back ffice) Identificazine mediante utilizz della carta nazinale dei servizi (CNS) e della carta d identità elettrnica (CIE) Dimstrazine dell identità Verifica dell identità (back ffice) Identificazine mediante sistemi di registrazine Audi-Vide Dimstrazine dell identità Verifica dell identità (remte frnt ffice) CREAZIONE IDENTITÀ DIGITALE GESTIONE DELLE CREDENZIALI CREDENZIALI DI LIVELLO 1 SPID (LOA2) [LA2 Passwrd] Descrizine Cnsegna CREDENZIALI DI LIVELLO 2 SPID (LOA3) [(LA2 Passwrd) + (One-Time Passwrd via SMS)] Descrizine Cnsegna AUTENTICAZIONE GESTIONE DELLE RICHIESTE DI AUTENTICAZIONE MECCANISMI DI AUTENTICAZIONE Meccanismi di autenticazine infrmatica a Livell 1 SPID (LA2) [LA2 Passwrd] Meccanismi di autenticazine infrmatica a Livell 2 SPID (LA3) [(LA2 Passwrd) + (One-Time Passwrd via SMS)] REGISTRO DELLE ATTIVITÀ CONSERVAZIONE DEI DOCUMENTI (PER LA REGISTRAZIONE DELLE IDENTITÀ) TRACCIATURA DELLE OPERAZIONI DI VERIFICA DELL IDENTITÀ E MODALITÀ DI ACQUISIZIONE CONSERVAZIONE DEI DOCUMENTI PREVISTI DALLA NORMATIVA PER LA MODIFICA DELL IDENTITÀ DIGITALE TRACCIATURA DEGLI ACCESSI AL SERVIZIO DI AUTENTICAZIONE E MODALITÀ DI ACQUISIZIONE GESTIONE DEL CICLO DI VITA DELL IDENTITÀ DIGITALE VISUALIZZAZIONE ATTIVITÀ DELL IDENTITÀ Visualizzazine dcumenti persnali e cntrattuali MODIFICA DELL IDENTITÀ Richiesta di mdifica degli attributi dell identità Recuper e mdifica delle credenziali Rinnv / ri-emissine delle credenziali FORNITURA DELL IDENTITÀ ALLE AUTORITÀ COMPETENTI REVOCA Mtivazini di revca Mdalità generali ed effetti della revca Ricezine e verifica di una richiesta di revca Attuazine della Revca Ntifica al Titlare Ntifica anticipata Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 3 di 63

4 9.5 SOSPENSIONE Mtivazini e mdalità di sspensine Ricezine e verifica di una richiesta di sspensine Ricezine e verifica di una richiesta di sspensine telefnica Attuazine della sspensine Ntifica al Titlare Ntifica anticipata RIATTIVAZIONE Mtivazini e mdalità di riattivazine Ricezine e verifica di una richiesta di riattivazine Attuazine della riattivazine Ntifica al Titlare Ntifica anticipata SINCRONIZZAZIONE TEMPORALE DEI SISTEMI DEL GESTORE PRIVACY E PROTEZIONE DEI DATI PERSONALI MODALITÀ DI PROTEZIONE DEI DATI Definizine e identificazine di Dat persnale Tutela e diritti degli interessati APPLICAZIONE DEL CODICE PER LA PROTEZIONE DEI DATI PERSONALI Adempimenti generali Adempimenti tecnici ed rganizzativi Registrazine Elabrazine Cnservazine Cancellazine/Distruzine Prtezine Circstanze di rilasci di dati persnali RIFERIMENTI RIFERIMENTI NORMATIVI STANDARD DI RIFERIMENTO DEFINIZIONI ACRONIMI Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 4 di 63

5 1 Infrmazini generali 1.1 Dati identificativi della versine del manuale Versine Data Descrizine delle mdifiche rispett alla precedente emissine 00 15/09/2015 Prima emissine 01 29/02/ /10/ /05/ /07/2017 Aggiunt canale Help Desk Telefnic tra le mdalità di interazine cn l Utente (paragraf 4.2). Aggiunte le mdalità di Identificazine mediante Firma Elettrnica Qualificata Digitale (paragraf ) e mediante Carta CNS CIE (paragraf ), per le Persne Giuridiche. Integrat capitl 8 e paragraf 8.1 per intrduzine mdalità di Identificazine mediante Firma Elettrnica Qualificata Digitale e mdalità di Identificazine mediante Carta CNS CIE, per le Persne Giuridiche. Aggiunta la mdalità di Sspensine Telefnica nella Gestine del cicl di vita dell Identità Digitale (paragraf ). Integrati i paragrafi 1.4 e 4.2 per l avvi della distribuzine del servizi nell ambit dell fferta del Grupp TIM. Integrati il paragraf 2.5, il paragraf 5.1 e sttparagrafi , per intrduzine mdalità di Identificazine mediante Sistemi di Registrazine Audi-Vide, per le Persne Fisiche e le Persne Giuridiche. Aggiunta la mdalità di Identificazine mediante Sistemi di Registrazine Audi- Vide per le Persne Fisiche (paragraf ) e per le Persne Giuridiche (paragraf ). Integrat il capitl 8 e paragraf 8.1 per intrduzine mdalità di Identificazine mediante Sistemi di Registrazine Audi-Vide, per le Persne Fisiche e le Persne Giuridiche. Integrat il par a seguit dell emissine di nuve dispsizini nrmative. Integrat paragraf 2.5 cn descrizine cntrlli anticntraffazine eseguiti sulla dcumentazine di Identificazine. Integrat paragraf per intrduzine mtivazine di revca da parte del Gestre per scadenza dcumentazine di identificazine. Integrati paragrafi e per intrduzine nel prcess di Registrazine della funzinalità di uplad della versine digitalizzata della dcumentazine di identificazine, per la mdalità de-visu. Integrati paragrafi e per intrduzine nella mdalità di identificazine de-visu del prvisining certificat di FEA assciat a Richiedente identità digitale. Integrat paragraf 9.1 per intrduzine funzinalità di visualizzazine e dwnlad dei dcumenti persnali e cntrattuali del titlare (nuv sttparagraf 9.1.1). 1.2 Scp del dcument Quest dcument illustra le regle generali e le prcedure seguite dal Gestre di Identità Digitale Telecm Italia Trust Technlgies S.r.l. (in breve TI Trust Technlgies TI-TT Identity Prvider Gestre) nell ergazine del servizi TIM ID (in breve anche SERVIZIO) nell ambit del Sistema Pubblic per l Identità Digitale italian (SPID) in cnfrmità alla nrmativa italiana (v. cap. 12 per i tutti i rifermenti). Il presente dcument: Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 5 di 63

6 è pubblicat a garanzia dell affidabilità del SERVIZIO nei cnfrnti dei sggetti peranti nell ambit dell SPID; cntiene la descrizine delle mdalità perative del SERVIZIO; cstituisce dcument pubblic secnd la disciplina emanata da AgID; è liberamente dispnibile per la cnsultazine ed il dwnlad in appsita sezine del sit del Gestre: nnché sul sit AgID ( 1.3 Identificazine del Gestre e del Respnsabile del Manuale Operativ La scietà TI Trust Technlgies s.r.l., cn unic sci, Grupp Telecm Italia cn sede in Pmezia (RM), S.S. 148 Pntina, km. 29,100, CAP è già accreditata press AgID in qualità di Gestre di Psta Elettrnica Certificata, di Certificatre Accreditat della Firma Digitale e della CNS e di Cnservatre Accreditat. TI Trust Technlgies rispnde alla Direzine del Grupp Telecm Italia, nel cui ambit ha la respnsabilità di assicurare la cmmercializzazine e l svilupp di servizi a valre aggiunt in materia di sicurezza infrmatica, fra i quali rientran in md specific tutti i servizi che essa erga. Di seguit i dati identificati di TI Trust Technlgies: Denminazine e Ragine Sciale Rappresentate legale (Amministratre Delegat) Sede Legale Telecm Italia Trust Technlgies S.r.l. Lepld Genvesi S.S.148 Pntina, km. 29, Pmezia (RM) Telefn Fax Sede Operativa Indirizz PEC Indirizz di Psta elettrnica Indirizz Internet S.S.148 Pntina, km. 29, Pmezia (RM) ti.tt@ttpec.telecmitalia.it inf-ttstre@telecmitalia.it Il respnsabile del Manuale Operativ è Cinzia Villani. 1.4 Destinatari e tariffe del Servizi La distribuzine sul mercat del SERVIZIO è effettuata da TI Trust Technlgies dalle Scietà Telecm Italia S.p.A. (in breve TIM), cntrllante di TI Trust Technlgies, in virtù di specifici accrdi cntrattuali. I destinatari dell fferta cmmerciale sn gli utenti dell SPID, vver le persne fisiche e giuridiche interessate ad perare nell SPID Il SERVIZIO è frnit alle seguenti cndizini ecnmiche: canne per l emissine e la gestine dell Identità Digitale; l identità digitale assciata ai livelli SPID 1 e 2 si intende rilasciata a titl gratuit agli utenti attivati entr il 30 giugn 2017; l identità digitale assciata ai livelli SPID 1 e 2 si intende rilasciata a titl ners agli utenti attivati a partire dall 1 lugli 2017; l identità digitale assciata ai livell SPID 3 si intende rilasciata a titl ners anche per gli utenti attivati entr il 30 giugn 2017.; Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 6 di 63

7 I dettagli sulle tariffe ed ulteriri infrmazini sulle cndizini ecnmiche del SERVIZIO sn rese dispnibili sul sit del Gestre ppure sul sit di TIM. 1.5 Ambit di applicazine Il SERVIZIO ergat dal Gestre e l ambit di applicazine del presente manuale perativ fann riferiment esclusivamente al rilasci e alla gestine delle Identità Digitali SPID (Sistema Pubblic dell Identità Digitale), in qualità di Identity Prvider (IdP). 2 Cenni sulle infrastrutture del Gestre Per l ergazine del SERVIZIO il Gestre utilizza sistemi riservati all scp, situati in lcali adeguatamente prtetti, per i quali sn riprtati gli aspetti più rilevanti: La piattafrma è stata prgettata in md da garantire nel temp la capacità di incrementare gradualmente nel temp la perfrmance e la capacità di prduzine attravers l espansine delle infrastrutture via via necessarie La piattafrma di ergazine del SERVIZIO adtta sluzini hardware e sftware selezinate per garantire interperabilità, affidabilità e sicurezza; La cntinuità del SERVIZIO è garantita grazie a sistemi di ridndanza funzinale e di disaster recvery; TI Trust Technlgies dispne di un pl di risrse avente un specific knw-hw sulle tecnlgie dei servizi trusted e delle strutture di PKI, cntinuamente aggirnat attravers attività di scuting e di cntatt cn i principali vendr del settre. Il Cmpetence Center di TI Trust Technlgies può vantare una cllabrazine pluriennale cn AgID e cn altri enti italiani e stranieri (i.e. Asscertificatri). L infrastruttura per l ergazine del SERVIZIO del Gestre è rganizzata lgicamente su cinque cmpnenti: Il Sistema di Autenticazine prvvede all autenticazine dei sggetti che accedn al SERVIZIO, gestita tramite plicy cnfigurabili. Ogni cmpnente della struttura è ridndat e cnfigurat per garantire elevati livelli di sicurezza e riservatezza dei dati; La Cmpnente di Frnt-End realizza tutte le funzinalità necessarie alla gestine degli strumenti e del cicl di vita delle identità digitali: espsta su Internet/Intranet, è l unica cmpnente autrizzata a cllquiare cn la cmpnente di Back-End psta nella zna prtetta (DMZ); La Cmpnente di Back-End è inserita nella zna più prtetta della rete del Gestre e nn viene espsta all estern (ssia nn è per nessuna ragine raggiungibile direttamente da Internet): frnisce le funzinalità fndamentali della piattafrma e dei servizi del Gestre; La Rete di Gestine permette agli peratri del Gestre di raggiungere i sistemi psti sulle reti di Frnt- End e Back-End per le attività di gestine: tale rete è psta all intern della Sala Sistemi del Centr Servizi del Gestre e nn è raggiungibile dall estern; gli accessi ai sistemi sn effettuati in mdalità sicura tramite sessini SSH cn access cntrllat da FIREWALL e autenticazine centralizzata Active Directry/LDAP; Rete di backup: garantisce il servizi di salvataggi ed archiviazine dei dati. Fra le principali misure di sicurezza che vengn adttate per garantire che le attività del Gestre si svlgan secnd i requisiti richiesti dalla nrmativa vigente, si ricrdan: i meccanismi per il cntrll dell access lgic e fisic alle risrse e ai sistemi del Gestre, che frniscn le seguenti funzinalità: identifican ed autentican le persne autrizzate ad accedere alle risrse, impediscn ad una persna nn autrizzata di pter accedere alle risrse, registran i dati significativi di tutti gli eventi di access in md che si pssa in gni cas risalire alla persna che ha dat rigine ad un determinat event; Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 7 di 63

8 il cntrll dell access ai lcali prtetti adtta una plitica di autrizzazini e di prcedure di registrazine e auditing; l access alla Sala Sistemi del Centr Servizi del Gestre è cnsentit al sl persnale autrizzat del gestre e cntrllat da sfisticati sistemi di identificazine (es. rilevazine bimetrica): gni persna che intende accedere alle risrse della Sala Sistemi è identificata in md cert, mediante l utilizz di strumenti di identificazine mediante cmplesse prcedure di identificazine (es. smartcard, tken persnale); in particlare, gni attività di ciascuna sessine nei sistemi del gestre è registrata in appsiti audit-lg. Le caratteristiche di dettagli della gestine della sicurezza del Gestre sn cntenute nel crrispndente Pian della Sicurezza e nn sn ggett di divulgazine. 2.1 Descrizine dell architettura di ergazine del Servizi TI Trust Technlgies nella scelta della miglire sluzine utile a realizzare la prpria piattafrma di Identity Prvider si è basat sulla ricerca di tecnlgie di mercat già predispste per ffrire servizi Clud in mdalità as a Service, innvative ed ad alt valre aggiunt. Il framewrk scelt è basat sulla sluzine CludMinder della scietà CA Technlgies. La sluzine cnsente la separazine lgica dei servizi ergati (multi-tenant), è mdulare e altamente scalabile.la piattafrma è realizzata cn un architettura rbusta ed in alta affidabilità e cnsente, ve richiest, l integrazine cn le infrastrutture perative e di sicurezza peranti press i Service Prvider. Il SERVIZIO è realizzat tramite un tenant ad hc, implementat e cnfigurat in cnfrmità alle regle tecniche e agli standard richiesti dalla nrmativa. L architettura funzinale della piattafrma prevede un nucle centrale che utilizza i mduli di servizi di Advanced Authenticatin, Single Sign-n e Identity Management in mdalità as-a-service. CA CludMinder è una suite di servizi di sicurezza in clud che cnsentn alle rganizzazini di gestire le identità digitali e l autenticazine degli utenti. Quest servizi viene ergat utilizzand il mdell del Sftware-asa-Service (SaaS), e può essere rappresentat dalla seguente figura: Figura 1 Architettura lgica della piattafrma In quest schema lgic pssiam identificare i principali servizi fferti dalla sluzine. Il servizi di Identity Management cnsente l amministrazine delle funzinalità di gestine delle identità degli utenti e il lr prvisining. Il servizi di Advanced Authenticatin ffre una prtezine cmpleta cntr accessi nn autrizzati alle risrse da prteggere mediante l utilizz di una cmbinazine di meccanismi autenticazine infrmatica frte e di valutazine del rischi. L autenticazine frte verifica l identità di un utente finale utilizzand i sistemi di autenticazine infrmatica che il Gestre ha predispst e ha sttpst all autrizzazine da parte di AgID. La valutazine del rischi ffre un meccanism di prtezine in temp reale cntr le frdi sulle transazini nline Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 8 di 63

9 esaminand differenti elementi e dati racclti nline dal sistema. Un punteggi viene assegnat a ciascuna transazine di autenticazine per valutarne il rischi e, sulla base di quest punteggi è pssibile attivare specifiche plitiche di sicurezza. Ad esempi è pssibile richiedere che l utente debba integrare il livell di autenticazine frnend credenziali ulteriri. Il servizi di Single Sign-On (SSO) ffre un access sicur cn unica lgin all intern di una rete di Service Prvider in generale su base temprale. Il servizi di SSO è basat su standard internazinali e di mercat e in particlare implementa il prtcll SAML 2.0 richiest dall SPID. Mediante la User Cnsle gli amministratri abilitati del Gestre pssn perare sull specific tenant di cmpetenza e gestire il prpri ambiente nel rispett delle mansini previste dal prpri rul amministrativ. Dal punt di vista lgic è pssibile rappresentare la sluzine cn l immagine seguente: Figura 2 Architettura 3-Tier (a 3 livelli) della piattafrma In questa immagine sn evidenziati i 3 livelli principali (tier) della sluzine che separan, lgicamente e/ fisicamente, le cmpnenti del sistema. Verticalmente invece pssiam immaginare la multy-tenancy che cnsente a diverse rganizzazini di perare in mdalità del tutt indipendente all intern del sistema. La sluzine, csì cme è raffigurata, è è scalabile per garantire il lad balancing e la business cntinuity richiesta per il servizi ergat. I tre livelli sn separati fra lr da appsiti sistemi firewall al fine di garantire i migliri livelli di sicurezza: Il Web Tier è il livell dve sn installate le cmpnenti di secure-prxy che permettn di ricevere le richieste prvenienti dalla rete internet e di instradarle vers i sistemi applicativi a seguit della crretta autenticazine utente. Quest livell spita le principali cmpnenti di autenticazine per l Advanced Authenticatin e per il Federated Single-Sign-On. L Applicatin Tier è il livell dve sn installati i servizi di supprt e di gestine degli utenti. Il Data Tier è il livell dve sn installati gli archivi degli utenti (directry) e quelli di supprt alle applicazini e ai servizi ergati dalla piattafrma (database). Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 9 di 63

10 2.2 Descrizine delle architetture dei sistemi di autenticazine e delle credenziali Le architetture prepste all autenticazine degli utenti al SERVIZIO, devn garantire innanzitutt i due livelli SPID definiti dalle specifiche dell AGID, ssia il Livell 1 SPID e il Livell 2 SPID. Nell specific: Livell 1: è un sistema di autenticazine cn una UserID e una Passwrd. Livell 2: è un sistema di autenticazine cn una UserID e una Passwrd, cme già previst a Livell 1, abbinat ad un cdice OTP [One-Time Passwrd] ricevut via SMS al numer di cellulare dichiarat in fase di Registrazine 1. I sistemi di autenticazine devn inltre assicurare la gestine: 1. delle autenticazini per gni utente; 2. del cicl di vita delle identità; 3. della generazine e del manteniment delle sessini prtette dell utente cn il SERVIZIO. A quest scp, l architettura è dtata di tre diversi cmpnenti: 1. Servizi di autenticazine: hann la funzine di implementare i flussi di autenticazine e gestire le credenziali necessarie per gni utente per la verifica l identità; 2. Servizi di gestine delle identità: hann la funzine di gestire la base dati delle identità e delle differenti credenziali assciate ad gni utente, permettend il cicl di vita delle identità (Mdifica, Revca, Sspensine, Riattivazine, Rinnv e/ Sstituzine); 3. Servizi di federazine: hann la funzine di generare i tken di autenticazine sulla base delle caratteristiche definite dall SPID, per la sessine prtetta al SERVIZIO. I servizi di autenticazine predispsti dal Gestre pssn essere descritti dal seguente schema: 1 Per aventuali infrmazini di dettagli sui livelli di autenticazine, si rimanda ai paragrafi 6.1 e 6.2 del presente dcument. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 10 di 63

11 Nel dettagli: Figura 3 Schema dei servizi di autenticazine L applicazine di frnt-end frnisce all utente finale l interfaccia di autenticazine. Tale applicazine utilizza alcune infrmazini cntenute nell Authnrequest SAML 2.0 emessa dal Service prvider e prveniente dal tramite redirezine del brwser dell utente, per determinare il livell di autenticazine SPID richiest. Verrà quindi attivat il fluss di autenticazine pprtun. Sulla base del fluss selezinat l applicazine interagirà cn la cmpnente Siteminder, per creare una sessine autenticata necessaria ad accedere ai servizi di federazine e cn la cmpnente Authminder per interagire cn le credenziali dell utente. Tale applicazine dispne inltre delle interfacce necessarie per pter inviare all utente eventuali SMS . Siteminder frnisce, all utente che abbia terminat l autenticazine cn success e ve cnsentit dalla nrmativa, una sessine valida all access ai servizi cnfigurati nella federazine dell SPID. Tale sessine è rappresentata da un ckie cifrat salvat sul brwser dell utente. Authminder è l strument che cnsente di utilizzare diversi sistemi di autenticazine infrmatica utilizzand diverse tiplgie di credenziali (VAS Versatile Authenticatin Service). A quest livell sn integrati i sistemi di autenticazine per i quali il Gestre ha chiest l autrizzazine a AgID. 2.3 Descrizine generale del sistema di mnitraggi I servizi ed i sistemi gestiti da TI Trust Technlgies, sn cntrllati in md autmatic da due diversi sistemi di mnitraggi che cnsentn la visualizzazine e la ntifica degli allarmi: Il Sistema Estern cnsente il cntrll dei servizi ergati in rete dall infrastruttura effettuand accessi peridici ai servizi tramite cllegament estern in ADSL su rete internet; Il Sistema Intern utilizza un Netwrk Management System cmpletamente gestit dagli addetti della CA che cnsente di mantenere il cntrll della rete e dei sistemi frnend imprtanti infrmazini per la crretta gestine sistemistica. Le principali caratteristiche del sistema intern sn: Il cntrll del funzinament dei sistemi in rete; Il cntrll della raggiungibilità dei sistemi; Il cntrll dell stat dei sistemi quali ad esempi utilizz CPU, spazi disc ancra dispnibile, crrett funzinament delle schede di rete, cntrll dei prcessi, ecc.; Il cntrll del crrett sincrnism dei sistemi rispett alla srgente temprale (NTP) tramite l utilizz di una fnte esterna (Galile Ferraris); Racclta e generazine di statistiche sul numer e la tiplgia degli allarmi cn pssibilità di selezinare i singli apparati l intera piattafrma per peridi temprali diversi; Calcl autmatic degli SLA cn pssibilità di rganizzare statistiche per apparati, piattafrme e peridi temprali diversi. L esecuzine girnaliera di appsiti script segnala tramite Trap al sistema di mnitraggi eventuali mdifiche anmale apprtate al sistema (es. mdifica degli eseguibili, mdifica delle utenze) Mnitraggi sull utilizz delle credenziali Il Gestre garantisce un mnitraggi cntinu sull utilizz delle credenziali al fine di rilevare usi imprpri tentativi di vilazine delle credenziali di access dell identità digitale degli utenti. All scp si avvale del servizi di Advanced Authenticatin di CA CludMinder che ffre una prtezine cmpleta cntr accessi nn autrizzati alle risrse mediante l utilizz di una cmbinazine di meccanismi di strng authenticatin e risk evaluatin. In particlari casi in cui si evidenzi un tentativ, sspett men, di vilazine delle credenziali di un utente il Gestre prcede alla sspensine dell identità digitale ntificand all utente l event rilevat e la necessità di prcedere al rinnv/riemissine delle sue credenziali. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 11 di 63

12 2.4 Descrizine dei cdici e dei frmati dei messaggi di anmalia L scp del paragraf è quell di descrivere, lat utente, i pssibili messaggi di errre e le anmalie che ptrebber essere riscntrate. L schema seguente mstra il fluss di autenticazine di un utente. Ognun dei passi descritti dispne di pprtune segnalazini di errre che vengn quindi definite singlarmente nell ambit della richiesta. Figura 4 Fluss di autenticazine utente Descrizine dei messaggi di errre e anmalia Descrizine dei messaggi di errre sui singli passi dell autenticazine 1. L utente richiede l access ad un servizi ergat da un Service Prvider e sceglie l autenticazine tramite SPID, selezinand il prpri Identity Prvider di riferiment. (In questa fase, gli eventuali messaggi di errre sn gestiti direttamente dal Service Prvider). 2. Il Service Prvider genera una richiesta Authnrequest SAML 2.0 per l Identity Prvider selezinat e redirezina il brwser dell utente vers di ess. (In questa fase, gli eventuali messaggi di errre sn gestiti direttamente dal Service Prvider). 3. L Authnrequest viene ricevuta dall Identity Prvider che ne verifica la crrettezza e validità. I pssibili errri in quest cas pssn essere: a. Authnrequest nn presente metd di invi nn cnfrme a SPID; b. Authnrequest nn valida perché nn firmata, malfrmata cntenente parametri errati nn cnfrmi alle specifiche dell SPID; c. Authnrequest che nn è ricnducibile in alcun md a un Service Prvider accreditat SPID; In questi casi il Gestre, rilevata la natura dell anmalia, nn può identificare cn certezza il Service Prvider accreditat e riprta l esit negativ per l autenticazine infrmand direttamente l utente della natura dell errre riscntrat mediante una pagina web di crtesia. L autenticazine nn va a bun fine il e Gestre infrma l utente di cntattare il Service Prvider per l assistenza. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 12 di 63

13 d. Authnrequest che richiede un livell di autenticazine SPID ppure nn dispnibile per l utente press il Gestre. In questi casi il Gestre, rilevata la natura dell anmalia, emette una Respnse SAML 2.0 firmata che riprta un esit negativ per l autenticazine, nn riprta un Assertin SAML 2.0 ma infrma direttamente il Service Prvider della natura dell errre riscntrat. L autenticazine nn va a bun fine e l utente viene redirezinat autmaticametne al servizi del Service Prvider senza autenticazine. Il Service Prvider indirizzerà l utente vers l pprtuna prcedura in base al tip di anmalia che si è verificata. 4. Se l Authnrequest è valida, il Gestre mstra all utente una pagina di autenticazine. In questa pagina viene richiest l inseriment dell identificativ utente (UserID ) e delle sue credenziali del livell di garanzia richiest dal Service Prvider. In questa pagina viene anche frnita all utente l infrmativa relativa al trattament dei dati e l elenc degli attributi della sua Identità Digitale che il Service Prvider ha richiest di ricevere per la transazine. I principali errri in quest cas pssn essere: a. Identificativ utente nn crrispndente ad alcun utente press il Gestre; b. Inseriment di credenziali nn crrette per il Livell di garanzia SPID richiest; c. Inseriment di credenziali relative a una Identità Digitale nn attiva (sspesa, revcata, ); d. Impieg di temp eccessiv per l autenticazine rispett a quant previst dal Gestre. In questi casi il Gestre, rilevata la natura dell anmalia, emette una Respnse SAML 2.0 firmata che riprta un esit negativ per l autenticazine, nn riprta un Assertin SAML 2.0 ma infrma il Service Prvider della natura dell errre riscntrat. L autenticazine nn va a bun fine e l utente viene redirezinat al servizi del Service Prvider senza autenticazine. Il Service Prvider indirizzerà l utente vers l pprtuna prcedura in base al tip di anmalia che si è verificata. 5. A frnte di un autenticazine avvenuta cn success, il Gestre redirige direttamente l utente vers il servizi del Service Prvider, trasferendgli una Respnse SAML 2.0 firmata che riprta il success dell autenticazine. La Respnse SAML 2.0 cntiene un Assertin SAML 2.0 firmata dal Gestre cn gli attributi dell Identità Digitale dell utente richiesti dal Service Prviders e previsti nella cnfigurazine SPID del Service Prvider (Metadata di SP). Nel cas di prblemi nell elabrazine dell autenticazine da parte del Gestre, l utente viene redirett su una appsita pagina di crtesia ergata dal Gestre che l infrma della natura del prblema e su cme prcedere di cnseguenza. 6. Se l autenticazine prcede crrettamente, la Respnse SAML 2.0 viene quindi restituita dal Gestre al brwser dell utente che viene redirett al Service Prvider. (Gli eventuali messaggi di errre relativi alla elabrazine della Respnse SAML 2.0 e dell Assertin SAML 2.0 da parte del Service Prvider sn gestiti direttamente dal Service Prvider stess). La Respnse SAML 2.0 emessa e firmata dal Gestre cntiene sempre al su intern un camp Status che, nei sttcampi StatusCde e StatusMessage, riprta il risultat dell perazine di autenticazine, in particlare: Se StatusCde è impstat al valre urn:asis:names:tc:saml:2.0:status:success l autenticazine dell Identità Digitale è terminata cn success e il camp Assertin cntiene gli attributi da trasmessi al Service Prvider. Se StatusCde cntiene il valre urn:asis:names:tc:saml:2.0:status:requester, significa che il Gestre ha rilevat un anmalia un errre riferibile alla richiesta di autenticazine inviata dal Service Prvider e nn ha ptut cncludere l perazine. E previst che un ulterire StatusCde e un StatusMessage riprtin il dettagli dell anmalia. Se StatusCde cntiene il valre urn:asis:names:tc:saml:2.0:status:respnder, significa che il Gestre nn ha ptut cmpletare l perazine di autenticazine per un mtiv riferibile all utente ppure a altr mtiv relativ al prpri servizi. Anche in quest cas è previst che un ulterire StatusCde e un StatusMessage riprtin il dettagli dell anmalia. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 13 di 63

14 Messaggi relativi ai meccanismi di autenticazine Durante l autenticazine dell Identità Digitale l utente interagisce direttamente cl servizi del Gestre e pi viene reindirizzat al servizi del Service Prvider che aveva riginalmente chiest di utilizzare. I sistemi di autenticazine predispsti dal Gestre cnsistn nelle csiddette credenziali delle quali l utente deve garantire la riservatezza per la tutta la durata dell Identità Digitale. Il servizi del Gestre prevede dei messaggi di infrmazine di anmalia che vengn mstrati all utente nelle differenti situazini che si pssn verificare durante il prcess di autenticazine. Nel cas del livell di garanzia L1 SPID, basat per il Gestre sull utilizz di una UserID e una Passwrd, è previst che sian mstrate delle segnalazini all utente nei seguenti casi: Mancat inseriment di un dat bbligatri (es. UserID Passwrd) Inseriment di valri errati per le credenziali (es. UserID Passwrd) Superament del numer massim di inserimenti di valri errati per le credenziali. Nel cas del livell di garanzia L2 SPID, basat per il Gestre sull utilizz di una UserID e una Passwrd, e su un cdice OTP inviat tramite SMS, è previst che sian mstrate delle segnalazini nei seguenti casi: Mancat inseriment di un dat bbligatri (es. UserID, Passwrd, OTP, ) Inseriment di valri errati per le credenziali (es. UserID, Passwrd, OTP, ) Superament del numer massim di inserimenti di valri errati per le credenziali. La Guida Utente del servizi del Gestre riprta tutte le infrmazini e le istruzini per l utilizz crrett del servizi. 2.5 Descrizine generale delle misure anticntraffazine Il cncett generale di cntraffazine cmprta una valutazine di cnfndibilità dell ggett cntraffatt cn quell genuin; nella legislazine il termine cntraffazine è assciat spess a reati legati alla vilazine di marchi brevetti, mnete bancnte, certificati dcumenti, merci. Nell ambit specific del SERVIZIO, le regle e le plicy di sicurezza da adttare al fine di garantire un cntest di autenticazine affidabile sn definite dalla nrma ISO/IEC che, in base all art.6 del DPCM 24/10/2014, il Gestre deve sddisfare relativamente ai livelli di sicurezza delle Identità Digitali. La nrma cllca il rischi specific della cntraffazine in due precisi ambiti: 1. Prcess di Identificazine e verifica dell Identità del Richiedente l Identità Digitale ( Identity prfing and identity infrmatin verificatin ): la verifica dell identità può includere il cntrll fisic dei dcumenti di identità presentati per individuare pssibili frdi, manmissini cntraffazini ( Identity prfing may include the physical checking f presented identity dcuments t detect pssible fraud, tampering, r cunterfeiting ); 2. Cntrlli di sicurezza anticntraffazine (AntiCunterfeiting) richiesti al fine di mitigare la duplicazine delle credenziali (CredentialDuplicatin) durante l utilizz delle credenziali di autenticazine; la credenziale dell utente viene illegittimamente cpiata: misure anti-cntraffazine devn essere adttate sui dispsitivi che custdiscn le credenziali. Nel prim ambit (1), nella fase di Identificazine del Richiedente, le misure adttate dal Gestre per mitigare il rischi di cntraffazine sn: la Prcedura di Identificazine a vista, nelle mdalità de-visu e tramite sistemi di registrazine Audi- Vide (da remt); in quest cas il Gestre, in attesa di ttenere le autrizzazini all access alle fnti autritative necessarie, esegue una serie di cntrlli sulle fnti autritative esterne dispnibili. In particlare: dcument di identità presentat da Richiedente: verifica tramite il prtale della Plizia di Stat per verificarne l smarriment, il furt ed eventuali cntraffazini; Tessera Sanitaria: accertament della crrispndenza fra il Cdice Fiscale del Richiedente ed il numer della tessera presentata, tramite il prtale del Prgett Tessera Sanitaria ; la Prcedura di identificazine tramite firma elettrnica qualificata firma digitale appsta sul mdul di richiesta; in quest cas il Gestre cnsidera che la fase di identificazine del Richiedente sia stata Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 14 di 63

15 crrettamente espletata dal Certificatre che ha emess il certificat qualificat utilizzat per apprre la firma; la Prcedura di identificazine tramite CNS CIE; in quest cas il Gestre cnsidera che la fase di identificazine del Richiedente sia stata crrettamente espletata dal Certificatre che ha emess il certificat CNS CIE utilizzat per prdurre attestazine 2 del mdul di richiesta; A seguit di tutte le prcedure di identificazine il Gestre esegue, ve dispnibili, le verifiche dei dati identificativi dichiarati dal Richiedente tramite fnti autritative esterne, cme prescritt dalla nrma (all art.4 cmma 1 lettera c) del DPCM 24/10/2014). In attesa di ttenere le autrizzazini all access a ulteriri fnti autritative, il Gestre verifica la crrettezza del Cdice Fiscale tramite il servizi mess a dispsizine dall Agenzia delle Entrate. Nel secnd ambit (2), si pssn distinguere due fasi distinte nelle quali il Gestre applica le misure necessarie a mitigare il rischi: Cnsegna delle credenziali: il prcess di cnsegna delle credenziali prevede l us di due diversi canali ( + SMS) per l utilizz della passwrd di prim access e l impstazine della passwrd persnale; Gestine delle credenziali: da parte del Gestre: i sistemi che custdiscn le credenziali (LA2 Passwrd) nn sn accessibili in nessun cas dall estern, in aggiunta l access lgic a tali sistemi (repsitry) è cnsentit sl agli Amministratri di Sistema nminati ed autrizzati direttamente dal Respnsabile della Sicurezza del Gestre; al Livell 2, il secnd fattre della credenziale è cstituit da un tken ut-f-band di Livell 1 (OTP ricevut via SMS al numer di telefn cellulare del titlare), in tal md nn sn necessarie ulteriri misure anti-cntraffazine di quelle previste al Livell 1; da parte dell Utente: nella Guida Utente del servizi, particlare attenzine viene data dal Gestre nel descrivere all Utente le mdalità raccmandate per la tenuta e la gestine delle credenziali e degli strumenti ad esse assciati (ad esempi, nn mantenere mai l Identificativ Utente e la passwrd scritte da qualche parte; durante una sessine autenticata nn lasciare la pstazine incustdita e sblccata; mantenere sempre il cntrll del prpri telefn cellulare; ecc.). Un studi sulle ulteriri minacce (e le relative misure adttate) crrelate alla cntraffazine è descritt nel dcument di Analisi del rischi del Gestre. 2.6 Livelli di servizi garantiti In cerenza cn la nrmativa di riferiment dell SPID, il Gestre si impegna a garantire i livelli di servizi secnd gli Indicatri di Qualità che sn riassunti nella tabella seguente e che devn essere misurati e calclati su base trimestrale secnd le mdalità riprtate nella Cnvenzine IDP SPID. Il Gestre pubblica la prpria Carta dei Servizi al link: Nella nrmativa gli Indicatri di Qualità sn definiti in relazine ai principali sttservizi ergati dal Gestre e che sn stati definiti cme: Attivazine dell Identità Digitale, suddivisa nelle fasi: Registrazine dell Identità Digitale Rilasci delle Credenziali Gestine del Cicl di Vita dell Identità Digitale: Sspensine/Riattivazine/Revca dell Identità Digitale Rinnv delle credenziali relative all Identità Digitale Servizi di Autenticazine nline dell Identità Digitale Durante il nrmale funzinament, per gni sttservizi è prevista la rilevazine dei livelli diservizi ergati dal Gestre secnd due Indicatri di Qualità: un relativ alla Dispnibilità del sttservizi ssia alla sua effettiva fruibilità da parte dell utilizzatre in termini temprali (es. re, girni, ); 2 Per Attestazine si intende la firma elettrnica di un dcument effettuata cn chiave privata e certificat di autenticazine a brd della CNS della CIE. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 15 di 63

16 un relativ al Temp di Rispsta del sttservizi ssia al massim temp che il Gestre impiega per cmpletare, per le cmpnenti di sua cmpetenza del prcess, quant previst dal sttservizi stess una vlta che ha a dispsizine tutt il necessari. Gli Indicatri sn stati definiti inltre tenend cnt che alcuni sttservizi pssn essere ergati dal Gestre in mdalità differenti, in particlare mediante sistemi autmatici (es. sistema web nline) piuttst che cn la presenza fisica di un peratre del Gestre (es. press un sprtell del Gestre ppure cn un peratre in sede del Gestre). ID IQ-01 Indicatre di Qualità Dispnibilità del sttservizi di Registrazine Identità Digitale Mdalità di funzinament Ergazine autmatica Ergazine in presenza Valre Limite >= 99,0% cn singl event di indispnibilità <= 6 re >= 98,0% IQ-02 Temp di Rispsta del sttservizi di Registrazine Identità Digitale <= 24 re lavrative IQ-03 Dispnibilità del sttservizi di Rilasci Credenziali Ergazine autmatica >= 99,0% cn singl event di indispnibilità <= 6 re Ergazine in presenza >= 98,0% IQ-04 Temp di Rilasci Credenziali <= 5 girni lavrativi IQ-05 Temp Riattivazine delle Credenziali <= 2 girni lavrativi IQ-06 Dispnibilità del sttservizi di Sspensine e Revca delle Credenziali >= 99,0% cn singl event di indispnibilità <= 6 re IQ-07 Temp di Sspensine delle Credenziali <= 30 minuti IQ-08 Temp di Revca delle Credenziali <= 5 girni lavrativi IQ-09 Dispnibilità del sttservizi di Rinnv e Sstituzine delle Credenziali Ergazine autmatica Ergazine in presenza >= 99,0% >= 98,0% IQ-10 Temp di Rinnv e Sstituzine delle Credenziali <= 5 girni lavrativi IQ-11 Dispnibilità del sttservizi di Autenticazine >= 99,0% cn singl event indispnibilità <= 4 re IQ-12 Temp di rispsta del sttservizi di Autenticazine (per le sle cmpnenti di elabrazine in caric al Gestre) <=3 sec almen per il 95,0% delle richieste ricevute Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 16 di 63

17 I servizi del Gestre sn ergati in cerenza cn i più mderni standard di Business Cntinuity per i servizi ICT e in linea cn la nrmativa. In cas di grave anmalia (disastr) è prevista l attivazine di un servizi di emergenza denminat di Disaster Recvery. Per l attivazine del servizi di emergenza il Gestre si impegna a garantire il rispett degli specifici Indicatri di Qualità previsti dalla nrmativa e definiti cme: Recvery Time Objective RTO: Obbiettiv temprale di ripristin del servizi ssia il temp massim che il Gestre impiega, in cas di Disastr, per attivare un servizi di emergenza alternativ; Recvery Pint Objective RPO: Massima perdita (in termini di temp) di dati elabrati prima del Disastr che è ammissibile nn riuscire a recuperare all attivazine del servizi di emergenza alternativ. ID Indicatre di Qualità Valre Limite IQ-13 IQ-14 IQ-15 IQ-16 RPO sttservizi di Registrazine e di Rilasci delle Identità Digitali RTO sttservizi di Registrazine e di Rilasci delle Identità Digitali RPO sttservizi di Sspensine e Revca delle Credenziali RTO sttservizi di Sspensine e Revca delle Credenziali 1 ra 8 re 1 ra 8 re IQ-17 RPO sttservizi di Autenticazine 1 ra IQ-18 RTO sttservizi di Autenticazine 8 re Il Gestre, ltre a quant spra riprtat, si impegna a garantire l integrità e la dispnibilità delle tracciature relative alle transazini di autenticazine già cncluse, anche a seguit di un event di Disaster Recvery. Il titlare di una Identità Digitale può visualizzare direttamente i cntenuti delle tracciature delle transazini di autenticazine ad essa relative cllegandsi al Prtale del Gestre. Eventuali richieste al di furi dei termini previsti dal Prtale e relative alle transazini degli ultimi 24 mesi (Registr delle transazini del Gestre, ([MdalitàAttuative] art.29, terz capvers) degli ultimi pssn essere richieste dal titlare a mezz di dcument cartace inviat per raccmandata A/R a mezz di dcument infrmatic (firmat cn firma elettrnica qualificata cn firma digitale) invat per Psta Elettrnica Certificata. 3 Mdell Operativ del Servizi 3.1 Descrizine del Servizi La descrizine del servizi, la Guida Utente e la Carta dei Servizi sn dcumenti direttamente dispnibili per la cnsultazine e per il dwnlad al seguente indirizz internet: Il Sistema Pubblic per la gestine dell'identità Digitale di cittadini e imprese (SPID) è cstituit (ai sensi del cmma 2-ter dell art. 64 del [CAD]) cme insieme apert di sggetti pubblici e privati che, previ accreditament da parte dell'agid, secnd mdalità definite nel [DPCM SPID], gestiscn i servizi di registrazine e di messa a dispsizine delle credenziali e degli strumenti di access in rete nei riguardi di cittadini e imprese per cnt delle pubbliche amministrazini dei sggetti privati che aderirann al sistema, in qualità di ergatri di servizi in rete, vver, direttamente, su richiesta degli interessati. Il sistema SPID ha l scp principale di definire un ambiente sicur, efficace ed ecnmic per cnsentire l access, per i cittadini e le imprese, ai servizi fferti da tutte le amministrazini pubbliche (e dai frnitri di servizi aderenti al sistema) in mdalità telematica in cerenza cn una strategia che privilegia il digitale per default. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 17 di 63

18 Il mdell segue un apprcci federat per la frnitura dei servizi di identità digitale in md da: cnsentire ai cittadini e alle imprese di scegliere autnmamente il gestre delle identità digitale certificat, e creare un mercat liber e cmpetitiv che stimli una cncrrenza virtusa ed un cntinu miglirament delle sluzini tecnlgiche e dei sistemi. Il mdell SPID prevede la separazine delle funzini di identificazine (di cmpetenza dei gestri dell identità digitale) dalle funzini di attestazine e autenticazine degli attributi qualificati (di cmpetenza dei gestri di attributi qualificati). L SPID è basat su tre livelli di sicurezza di autenticazine infrmatica, adttati in funzine dei servizi ergati e della tiplgia di infrmazini rese dispnibili: Livell 1 (crrispndente al livell LA2 dell ISO-IEC 29115) prevede sistemi di autenticazine a singl fattre, ad es. la passwrd; quest livell può essere cnsiderat adeguat nei casi in cui il dann causat, da un utilizz indebit dell identità digitale, ha un bass impatt per le attività del cittadin/impresa/amministrazine; Livell 2 (crrispndente al livell LA3 dell ISO-IEC 29115) prevede un sistema di autenticazine infrmatica a due fattri nn necessariamente basat su certificati digitali; quest livell è adeguat per tutti i servizi che pssn subire un dann cnsistente da un utilizz indebit dell identità digitale; Livell 3 (crrispndente al livell LA4 dell ISO-IEC 29115) prevede un sistema di autenticazine infrmatica a due fattri basat su certificati digitali e criteri di custdia delle chiavi private su dispsitivi cnfrmi ai requisiti dell Allegat 3 della Direttiva 1999/93/CE; quest è il livell di garanzia più elevat e da assciare a quei servizi che pssn subire un seri e grave dann per cause imputabili ad abusi di identità. 3.2 Schema di gestine delle identità digitali Persne fisiche A gni persna fisica viene assegnata, nel sistema del Gestre, una identità univca caratterizzata dagli attributi identificativi previsti dalla nrmativa SPID (nme, cgnme, lug e data di nascita, sess) e alla quale viene assegnat un cdice univc intern. Questa identità viene inserita nel sistema in ccasine dell attivazine del servizi per la persna ppure, cme predispsizine, in cas di migrazine dei dati da altr Service Prvider. Quand una persna richiede l attivazine della prpria identità digitale, alla sua identità univca viene assciata una identità digitale. L identità digitale è caratterizzata da attributi identificativi e nn identificativi, dal riferiment al Service Prvider a cui la richiesta di attivazine afferisce ed alle credenziali che vengn attivate e cnsegnate alla persna. Quand un Service Prvider richiede una identità digitale per una persna fisica essa viene attivata ed assciata al richiedente Persne giuridiche A gni persna giuridica viene assegnata, nel sistema del Gestre, una identità univca caratterizzata dagli attributi identificativi previsti dalla nrmativa SPID e alla quale viene assegnat un cdice SPID. Ad essa è assciata una identità di persna fisica crrispndente all amministratre legale rappresentante cn un prpri cdice SPID. 3.3 Prcessi del servizi I prcessi perativi del Gestre si articlan cme segue: Attivazine del servizi Obblighi del Gestre e del Titlare Mdalità di interazine Gestre - Utente Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 18 di 63

19 Registrazine utente Pre-registrazine (Richiesta) Identificazine (Dimstrazine e Verifica delle infrmazini di identità) Creazine identità digitale Gestine delle credenziali Emissine delle credenziali Cnsegna delle credenziali Autenticazine Gestine delle richieste di autenticazine Meccanismi di autenticazine Registr delle attività Cnservazine dei dcumenti previsti dalla nrmativa per la registrazine delle identità Gestine del cicl di vita dell Identità Digitale Visualizzazine attività Mdifica (attributi, credenziali) Revca Sspensine Riattivazine 4 Attivazine del SERVIZIO L attivazine del SERVIZIO può avvenire in 2 mdalità: 1. Attivazine massiva nell ambit di una migrazine, secnd le dispsizini del [Reglament Identità Pregresse]; 2. Attivazine singla di un nuv utente, su sua richiesta. 4.1 Descrizine degli bblighi del Gestre dell Identità Digitale SPID e del Titlare dell Identità Digitale SPID Sulla base della nrmativa vigente, nel presente paragraf sn sinteticamente riassunti: gli bblighi che il Gestre SPID TI Trust Technlgies assume in relazine alla prpria attività; gli bblighi che il Titlare dell identità digitale SPID assume in relazine alla richiesta e all utilizz dell Identità Digitale rilasciata dal Gestre, cn indicazine dei rispettivi riferimenti nrmativi. Nella dcumentazine cntrattuale del servizi che il Gestre sttprrà all Utente nell ambit delle perazini necessarie per il rilasci dell Identità Digitale, sn indicati gli ulteriri elementi di natura cntrattuale derivanti dal rapprt di ergazine del servizi. La dcumentazine cntrattuale, unitamente alle sue successive versini, sarà resa dispnibile nel sit internet del Gestre. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 19 di 63

20 4.1.1 Obblighi del Gestre Descrizine Rilasciare l'identità su dmanda dell'interessat ed acquisire e cnservare il relativ mdul di richiesta, nelle mdalità più ltre indicate. Verificare l'identità del sggett richiedente prima del rilasci dell Identità Digitale. Cnservare cpia per immagine del dcument di identità esibit e del mdul di adesine, nel cas di identificazine de visu. Cnservare cpia del lg della transazine nei casi di identificazine tramite dcumenti digitali di identità, identificazine infrmatica tramite altra identità digitale SPID altra identificazine infrmatica autrizzata. Cnservare il mdul di adesine all SPID sttscritt cn firma elettrnica qualificata cn firma digitale, in cas si identificazine tramite firma digitale. Verifica degli attributi identificativi del richiedente. Cnsegnare in mdalità sicura le credenziali di access all utente. Cnservare la dcumentazine inerente al prcess di adesine per un perid pari a venti anni decrrenti dalla scadenza dalla revca dell'identità digitale. Cancellare la dcumentazine inerente al prcess di adesine trascrsi venti anni dalla scadenza dalla revca dell'identità digitale. Trattare e cnservare i dati nel rispett della nrmativa in materia di tutela dei dati persnali di cui al decret legislativ 30 giugn 2003, n Verificare ed aggirnare tempestivamente le infrmazini per le quali il Titlare ha cmunicat una variazine. Effettuare tempestivamente e a titl gratuit su richiesta dell'utente, la sspensine revca di un'identità digitale, vver la mdifica degli attributi secndari e delle credenziali di access. Revcare l'identità digitale se ne riscntra l'inattività per un perid superire a 24 mesi in cas di decess della persna fisica di estinzine della persna giuridica. Segnalare su richiesta dell'utente gni avvenut utilizz delle sue credenziali di access, inviandne gli estremi ad un degli attributi secndari indicati dall'utente. Verificare la prvenienza della richiesta di sspensine da parte dell'utente (esclus se inviata tramite PEC sttscritta cn firma digitale firma elettrnica qualificata). Frnire all'utente che l'ha inviata cnferma della ricezine della richiesta di sspensine. Sspendere tempestivamente l'identità digitale per un perid massim di trenta girni ed infrmarne il richiedente. Rispristinare revcare l'identità digitale sspesa, nei casi previsti. Revcare l'identità digitale se riceve dall'utente cpia della denuncia presentata all'autrità giudiziaria per gli stessi fatti su cui è basata la richiesta di sspensine. Utilizzare sistemi affidabili che garantiscn la sicurezza tecnica e crittgrafica dei prcedimenti, in cnfrmità a criteri di sicurezza ricnsciuti in ambit eurpe internazinale. Adttare adeguate misure cntr la cntraffazine, idnee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazine delle credenziali di access. Effettuare un mnitraggi cntinu al fine rilevare usi imprpri tentativi di vilazine delle credenziali di access dell'identità digitale di ciascun utente, prcedend alla sspensine dell'identità digitale in cas di attività sspetta. Effettuare cn cadenza almen annuale un'analisi dei rischi. Definire, aggirnare e trasmettere ad AGID il pian per la sicurezza dei servizi SPID. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 20 di 63

21 Allineare le prcedure di sicurezza agli standard internazinali, la cui cnfrmità è certificata da un terz abilitat. Cndurre cn cadenza almen semestrale il Penetratin Test. Garantire la cntinuità perativa dei servizi afferenti all SPID. Effettuare ininterrttamente l'attività di mnitraggi della sicurezza dei sistemi, garantend la gestine degli incidenti da parte di un'appsita struttura interna. Garantire la gestine sicura delle cmpnenti riservate delle identità digitali assicurand nn sian rese dispnibili a terzi, ivi cmpresi i frnitri di servizi stessi, neppure in frma cifrata. Garantire la dispnibilità delle funzini, l'applicazine dei mdelli architetturali e il rispett delle dispsizini previste dalla nrmativa. Sttprsi cn cadenza almen biennale ad una verifica di cnfrmità alle dispsizini vigenti. Infrmare tempestivamente l'agid e il Garante per la prtezine dei dati persnali su eventuali vilazini di dati persnali. Adeguare i prpri sistemi a seguit dell'aggirnament della nrmativa. Inviare all'agid in frma aggregata i dati richiesti a fini statistici, che ptrann essere resi pubblici. In cas intendesse cessare la prpria attività, cmunicarl all AGID almen 30 girni prima della data di cessazine, indicand gli eventuali gestri sstitutivi, vver segnaland la necessità di revcare le identità digitali rilasciate. In cas di subentr ad un gestre cessat, gestire le identità digitali che questi ha rilasciat dal gestre cessat e cnservarne le infrmazini. In cas di cessazine dell attività, scaduti i 30 girni, revcare le identità digitali rilasciate e per le quali nn si è avut subentr. Infrmare espressamente il richiedente in md cmpiut e chiar degli bblighi che assume in merit alla prtezine della segretezza delle credenziali, sulla prcedura di autenticazine e sui necessari requisiti tecnici per accedervi. Se richiest dall utente, segnalargli via via sms, gni avvenut utilizz delle sue credenziali di access. Ntificare all'utente la richiesta di aggirnament e l'aggirnament effettuat agli attributi relativi della sua identità digitale. Nel cas l'identità digitale risulti nn attiva per un perid superire a 24 mesi il cntratt sia scadut, revcarla e infrmarne l'utente via psta elettrnica e numer di telefn mbile. In cas di decess del titlare (persna fisica) di estinzine della persna giuridica, revcare previ accertament l identità digitale. Nel cas in cui l'utente richieda la sspensine della prpria identità digitale per sspett us fraudlent, frnirgli evidenza dell avvenuta presa in caric della richiesta e prcedere alla immediata sspensine dell identità digitale. Trascrsi trenta girni dalla sspensine su richiesta dell'utente per sspett us fraudlent, ripristinare l identità sspesa qualra nn ricevesse cpia della denuncia presentata all autrità giudiziaria per gli stessi fatti sui quali è stata basata la richiesta di sspensine. Nel cas in cui l'utente richieda la sspensine la revca della prpria identità digitale tramite PEC richiesta sttscritta cn firma digitale elettrnica inviata via psta elettrnica, frnire evidenza all'utente dell avvenuta presa in caric della richiesta e prcedere alla immediata sspensine alla revca dell identità digitale. Ripristinare l'identità sspesa su richiesta dell'utente se nn riceve entr 30 girni dalla sspensine una richiesta di revca da parte dell'utente. In cas di richiesta di revca di dell'identità digitale, revcare le relative credenziali e cnservare la dcumentazine inerente al prcess di adesine per 20 anni dalla revca dell identità digitale. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 21 di 63

22 Prteggere le credenziali dell'identità digitale cntr abusi ed usi nn autrizzati adttand le misure richieste dalla nrmativa. All apprssimarsi della scadenza dell identità digitale, cmunicarla all'utente e, dietr sua richiesta, prvvedere tempestivamente alla creazine di una nuva credenziale sstitutiva e alla revca di quella scaduta. In cas di guast di upgrade tecnlgic prvvedere tempestivamente alla creazine di una nuva credenziale sstitutiva e alla revca di quella sstituita. Nn mantenere alcuna sessine di autenticazine cn l utente nel cas di utilizz di credenziali di livelli 2 e 3 SPID. Tenere il Registr delle Transazini cntenente i tracciati delle richieste di autenticazine servite nei 24 mesi precedenti, curandne riservatezza, inalterabilità e integrità, adttand idnee misure di sicurezza (art. 31 D.LGS 196/2003) ed utilizzand meccanismi di cifratura Obblighi del Titlare dell Identità Digitale Descrizine Esibire a richiesta del Gestre i dcumenti richiesti e necessari ai fini delle perazini per la sua emissine e gestine. Si bbliga all us esclusivamente persnale delle credenziali cnnesse all Identità Digitale. Si bbliga a nn utilizzare le credenziali in maniera tale da creare danni turbative alla rete a terzi utenti e a nn vilare leggi reglamenti. A tale prpsit, si precisa che l utente è tenut ad adttare tutte le misure tecniche e rganizzative idnee ad evitare danni a terzi. Si bbliga a nn vilare diritti d autre, marchi, brevetti altri diritti derivanti dalla legge e dalla cnsuetudine. Deve garantire l utilizz delle credenziali di access per gli scpi specifici per cui sn rilasciate cn specific riferiment agli scpi di identificazine infrmatica nel sistema SPID, assumend gni eventuale respnsabilità per l utilizz per scpi diversi. L us esclusiv delle credenziali di access e degli eventuali dispsitivi su cui sn custdite le chiavi private. Sprgere immediatamente denuncia alle Autrità cmpetenti in cas di smarriment sttrazine delle credenziali attribuite. Frnire/cmunicare al Gestre dati ed infrmazini fedeli, veritieri e cmpleti, assumendsi le respnsabilità previste dalla legislazine vigente in cas di dichiarazini infedeli mendaci. Accertarsi della crrettezza dei dati registrati dal Gestre al mment dell'adesine e segnalare tempestivamente eventuali inesattezze. Infrmare tempestivamente il Gestre di gni variazine degli attributi previamente cmunicati. Mantenere aggirnati, in maniera prattiva a seguit di segnalazine da parte del Gestre, i cntenuti dei seguenti attributi identificativi: se persna fisica: estremi del dcument di ricnsciment e relativa scadenza, numer di telefnia fissa mbile, indirizz di psta elettrnica, dmicili fisic e digitale, se persna giuridica: indirizz sede legale, cdice fiscale P.IVA, rappresentante legale della scietà, numer di telefnia fissa mbile, indirizz di psta elettrnica, dmicili fisic e digitale. Cnservare le credenziali e le infrmazini per l'utilizz dell'identità digitale in md da minimizzare i rischi seguenti: divulgazine, rivelazine e manmissine furt, duplicazine, intercettazine, cracking dell'eventuale tken assciat all'utilizz dell'identità digitale accertarsi dell'autenticità del frnitre di servizi del gestre dell'identità digitale quand viene richiest di utilizzare l'identità digitale. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 22 di 63

23 Attenersi alle indicazini frnite dal Gestre in merit all us del sistema di autenticazine, alla richiesta di sspensine revca delle credenziali, alle cautele che da adttare per la cnservazine e prtezine delle credenziali. In cas di smarriment, furt altri danni/cmprmissini (cn frmale denuncia presentata all autrità giudiziaria) richiedere immediatamente al Gestre la sspensine delle credenziali. In cas di utilizz per scpi nn autrizzati, abusivi fraudlenti da parte di un terz sggett richiedere immediatamente al Gestre la sspensine delle credenziali Respnsabilità del Gestre Il Gestre è respnsabile vers l utente per l adempiment di tutti gli bblighi derivanti dall espletament delle attività richieste dalla nrmativa vigente in materia di Sistema Pubblic di Identità Digitale. In particlare, nell svlgiment della sua attività: Descrizine Attribuisce l Identità Digitale e rilascia le credenziali cnnesse attenendsi alle Regle Tecniche emanate dall AGID. Si attiene alle misure di sicurezza previste dal Cdice in materia di prtezine dei dati persnali ai sensi del D.lgs n.196 del e s.m.i. nnché alle indicazini frnite nell infrmativa pubblicata sul sit Prcede alla sspensine revca delle credenziali in cas di richiesta avanzata dall utente per perdita del pssess cmprmissine della segretezza, per prvvediment dell AGID su prpria iniziativa per acquisizine della cnscenza di cause limitative della capacità dell utente, per sspetti di abusi falsificazini. 4.2 Mdalità di interazine cn l utente L utente può interagire cn l Identity Prvider attravers i seguenti canali: CANALI Il canale Help Desk Telefnic di TIM Digital Stre viene utilizzat per frnire supprt relativamente alle seguenti richieste: EMISSIONE dell Identità Digitale SOSPENSIONE dell Identità Digitale Stat avanzament di richieste dell Identità Digitale già inserite Help Desk Telefnic Qualra un titlare intenda prcedere ad una delle attività spra elencate, ptrà chiamare il Numer Verde dedicat per l Help Desk e richiedere supprt telefnic su Inseriment di una Richiesta di Emissine Sspensine telefnica Verifica stat d avanzament di una Richiesta di Emissine dell Identità Digitale, seguend la indicazini dell peratre Help Desk. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 23 di 63

24 Il canale di psta certificata viene utilizzat per le seguenti richieste: SOSPENSIONE dell identità digitale REVOCA dell identità digitale RIATTIVAZIONE dell identità digitale Psta Elettrnica Certificata Qualra un titlare un incaricat intenda fare una delle attività spra descritte, ptrà frmalizzare la richiesta, inviand una cmunicazine via pec alla casella di psta certificata di Trust Technlgies in qualità di Identity Prvider. Il canale viene utilizzat nelle seguenti perazini: REGISTRAZIONE L utente che richieda un' identità digitale si cllega al prtale dedicat ed effettua la preregistrazine. A cmpletament riceve una e mail nella quale viene indicat il link per la cnferma della richiesta. ADESIONE L utente cnferma la richiesta di adesine al servizi e riceve una a cnferma dei dati riepilgativi della registrazine e le altre infrmazini necessarie alla successiva fase di identificazine. IDENTIFICAZIONE L utente sceglie la tiplgia d identificazine tra quelle dispnibili e sulla base della scelta effettuata riceve le infrmazini per cmpletare la fase d identificazine. Nel cas l utente abbia richiest l identificazine utilizzand la firma elettrnica qualificata digitale e l esit delle verifiche fsse negativ, riceverà una mail cn le mtivazini del rigett e l eventuale richiesta di ulterire dcumentazine. CONSEGNA CODICI La cnsegna delle credenziali di Livell 1 (UserID) avviene attravers una cmunicazine via , all indirizz dichiarat e verificat in fase di Registrazine. La cnsegna delle credenziali a seguit di una richiesta di reset avviene attravers una cmunicazine via mail. Viene resa dispnibile all utente un interfaccia WEB che cnsente di eseguire in maniera guidata le fasi finalizzate al rilasci dell identità digitale di seguit elencate: PRE-REGISTRAZIONE REGISTRAZIONE ADESIONE AL SERVIZIO VISUALIZZAZIONE DATI ANAGRAFICI MODIFICA DATI ANAGRAFICI CAMBIO PASSWORD VISUALIZZAZIONE ULTIMI ACCESSI GESTIONE NOTIFICHE Interfaccia Web Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 24 di 63

25 Sit istituzinale Trust Technlgies Trust Technlgies in qualità di Identity Prvider mette a dispsizine il prpri sit istituzinale raggiungibile all indirizz all intern del quale è pssibile cnsultare la seguente dcumentazine: DESCRIZIONE DEL SERVIZIO SPID (Credenziali uniche di access ai Servizi di pubbliche amministrazini e sggetti privati aderenti) CARTA DEI SERVIZI MANUALE OPERATIVO dispnibili alla pagina dedicata del sit istituzinale Negzi Sciali del Grupp TIM Sit istituzinale di TIM I Clienti di TIM dell fferta TIMpersnal che intendn diventare utenti del servizi TIMid pssn effettuare le perazini di registrazine e di preidentificazine press le strutture cmmerciali territriali di TIM (negzi sciali). In quest cas, il negzi sciale pera in qualità di punt di registrazine (v. capitl 5 - Registrazine dell Identità Digitale) nell ambit di una specifica delega cnferita da Trust Technlgies. Sul sit di TIM, i Clienti trvan le infrmazini relative all fferta ed i necessari rimandi al sit di Trust Technlgies e alle specifiche sezini relative a TIMid. 5 Registrazine dell Identità Digitale La Registrazine è il prcess in cui un sggett (persna fisica giuridica) chiede al Gestre di attivare la prpria identità digitale. La fase di Registrazine si cmpne, per il Gestre, dei seguenti prcessi: Pre-registrazine (richiesta e adesine); Identificazine; e Verifica delle infrmazini di identità. Questi prcessi pssn essere cndtti interamente da una singla rganizzazine da più rganizzazini. 5.1 Pre-registrazine (richiesta e adesine) La fase di pre-registrazine è iniziata cme richiesta presentata dal sggett persna fisica persna giuridica per ttenere l identità digitale. Di seguit un diagramma che descrive il fluss di pre-registrazine, valid sia nel cas di richiesta avanzata da persna fisica persna giuridica: Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 25 di 63

26 Figura 5 - Fluss di Pre-registrazine Persna fisica Il prcess di avvi della fase di pre-registrazine per sggetti persne fisiche prevede la cmpilazine di un Mdul di Richiesta (applicatin frm) attravers il Prtale di Gestine del servizi di Identità Digitale ergat dal Gestre. Quest mdul deve registrare infrmazini sufficienti per garantire che il sggett pssa essere univcamente identificat all'intern dell SPID. In particlari cndizini, che dipendn dal canale utilizzat dal Richiedente per l attivazine del SERVIZIO, il Richiedente nn cmpila direttamente il Mdul di Richiesta ma cnferma alcuni dati precaricati nn mdificabili e aggirna/cmpleta i sli dati mdificabili. Questa fase è cmpsta dai seguenti passi eseguiti in sequenza dal Richiedente, in mdalità remta e in autnmia Richiesta Il Richiedente si cllega nline via web all appsita sezine di pre-registrazine sul Prtale dei Servizi di Identità Digitale ( Prtale) predispst dal Gestre; Il Prtale prpne al Richiedente una frm all intern della quale deve cmpilare almen i seguenti campi (bbligatri): Attributi Identificativi Attributi Secndari Nme e Cgnme Sess Data e lug di nascita Cdice Fiscale Estremi di un dcument di Identità (Numer, Tip, Emettitre, Data scadenza) User ID Numer di telefn cellulare (dichiarat dal Richiedente) (dichiarat dal Richiedente) Indirizz di Residenza Indirizz di Dmicili (se divers dalla residenza) Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 26 di 63

27 Il Prtale effettua verifiche frmali sui dati inseriti dal Richiedente e prcede al salvataggi dei dati generand un Cdice di Registrazine persnale che il Richiedente ptrà utilizzare, insieme al su Cdice Fiscale, per cmpletare la prcedura di Registrazine; infine invia al Richiedente una cntenente un link cn validità limitata nel temp per cnfermare la richiesta di adesine; Adesine Il Richiedente cnferma la richiesta di adesine tramite il link ricevut all indirizz dichiarati in fase di Registrazine (quest pass può essere eseguit anche in un secnd mment e cmunque entr la scadenza del link di cnferma); Il Prtale cnvalida la richiesta e prpne al Richiedente la scelta della mdalità di Identificazine desiderata tra quelle dispnibili: di persna, mediante esibizine a vista di un dcument di identità ( de-visu ), infrmatica, mediante utilizz della prpria firma elettrnica qualificata per sttscrivere la richiesta di adesine da remt, infrmatica, mediante utilizz della prpria carta CNS della prpria CIE per attestare la richiesta di adesine da remt, di persna, da remt, mediante sistemi di registrazine Audi-Vide; Il Richiedente effettua la scelta della mdalità di Identificazine desiderata e, per la mdalità di identificazine di persna ( de-visu ), effettua anche l uplad delle immagini frnte/retr del dcument di identità e della Tessera Sanitaria (cme evidenza del Cdice Fiscale). Il Richiedente riceve dal Prtale la cnferma tramite cntenente i dati riepilgativi di registrazine ed il Cdice di Registrazine, cn le istruzini da utilizzare nella fase successiva di Identificazine Persna giuridica La fase di pre-registrazine è iniziata cme richiesta presentata dal sggett persna giuridica per ttenere una identità digitale. Il prcess di avvi della fase di pre-registrazine per sggetti persne giuridiche prevede la cmpilazine, da parte di una persna fisica rappresentante (il Richiedente, nel seguit) della persna giuridica, di un Mdul di Richiesta (applicatin frm) attravers il Prtale di Gestine del servizi di Identità Digitale. Quest mdul deve registrare infrmazini sufficienti per garantire che il sggett pssa essere univcamente identificat all'intern di un cntest. In particlari cndizini, che dipendn dal canale utilizzat dal Richiedente per l attivazine del SERVIZIO, il Richiedente nn cmpila direttamente il Mdul di Richiesta ma cnferma alcuni dati precaricati nn mdificabili e aggirna/cmpleta i sli dati mdificabili. Questa fase è cmpsta dai seguenti passi eseguiti in sequenza dal Richiedente, in mdalità remta Richiesta Il Richiedente si cllega nline via web all appsita sezine di pre-registrazine sul Prtale dei Servizi di Identità Digitale ( Prtale) predispst dal Gestre; Il Prtale prpne al Richiedente una frm all intern della quale deve cmpilare almen i seguenti campi (bbligatri): Attributi Identificativi Denminazine/Ragine sciale Cdice Fiscale Partita IVA (se uguale al Cdice Fiscale) UserID Numer di telefn fiss Attributi Secndari Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 27 di 63

28 Sede legale Numer di telefn mbile Persna Fisica Indirizz (sggett Richiedente) Certificazine attestante l stat di Amministratre rappresentante legale del sggett Richiedente Dmicili fisic l identità per cnt della scietà (visura camerale, (se divers dalla Sede legale) in alternativa, cpia dell att ntarile di prcura legale) Estremi di un dcument di identità utilizzat dall Amministratre legale rappresentante (Numer, Tip, Emettitre, Data scadenza) Il Prtale effettua verifiche frmali sui dati inseriti dal Richiedente e prcede al salvataggi degli stessi generand un Cdice di Registrazine persnale che il Richiedente ptrà utilizzare, insieme al Cdice Fiscale, per cmpletare la prcedura di Registrazine; infine invia al Richiedente una cntenente un link cn validità limitata nel temp per cnfermare la richiesta di adesine; Adesine Il Richiedente cnferma la richiesta di adesine tramite il link ricevut all indirizz dichiarat in fase di Registrazine (quest pass può essere eseguit anche in un secnd mment e cmunque entr la scadenza del link di cnferma); Il Prtale cnvalida la richiesta e prpne al Richiedente la scelta della mdalità di Identificazine desiderata tra quelle dispnibili: di persna, mediante esibizine a vista di un dcument di identità ( de-visu ), infrmatica, mediante utilizz della prpria firma elettrnica qualificata per sttscrivere la richiesta di adesine da remt, infrmatica, mediante utilizz della prpria carta CNS della prpria CIE per attestare la richiesta di adesine da remt, di persna, da remt, mediante sistemi di registrazine Audi-Vide; Il Richiedente effettua la scelta della mdalità di Identificazine desiderata e, per la mdalità di identificazine di persna ( de-visu ), effettua anche l uplad delle immagini frnte/retr del dcument di identità e della Tessera Sanitaria (cme evidenza del Cdice Fiscale) e del dcument di Certificazine attestante l stat di Amministratre Rappresentante Legale del richiedente l identità digitale per cnt della persna giuridica (Visura Camerale firmata dalla CCIAA, in alternativa, Cpia dell Att ntarile di Prcura legale firmata digitalmente dal Richiedente). Il Richiedente riceve dal Prtale la cnferma tramite cntenente i dati riepilgativi di registrazine ed il Cdice di Registrazine, cn le istruzini da utilizzare nella fase successiva di Identificazine. 5.2 Identificazine (dimstrazine e verifica dell identità) L Identificazine (Identity prfing) è il prcess di acquisizine delle infrmazini sufficienti per identificare un sggett ad un livell di garanzia specificat. La dimstrazine dell identità cnsiste nell acquisizine e accertament di infrmazini sufficienti ad identificare una persna (fisica giuridica) per un specific livell di sicurezza di autenticazine infrmatica in ambit SPID. La verifica dell identità cnsiste invece nel cntrll delle infrmazini cnfrntand i dati frniti cn infrmazini precedentemente cnvalidate ed il legame cn il sggett richiedente. Sia il prcess di dimstrazine dell identità che il prcess di verifica sn eseguiti all scp di ttenere un garantit livell di sicurezza dell identità del sggett richiedente prima di cmpletare la registrazine. Nel seguit sn descritte le mdalità di identificazine che il Gestre TI Trust Technlgies ha previst, nel cas di sggett persna fisica e sggett persna giuridica. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 28 di 63

29 5.2.1 Persna fisica Identificazine mediante esibizine a vista di un dcument di identità ( de visu ) In questa mdalità di identificazine il Richiedente si reca press il Punt di Registrazine (PdR) e viene identificat de visu ssia di persna tramite esibizine a vista di un valid dcument d'identità. Questa mdalità è cmpsta dai seguenti passi eseguiti in sequenza, prima dal persnale di Back-Office press il Gestre, pi dal Richiedente e dall Incaricat (dal Gestre) press il PdR Verifiche dcumentali (back ffice) e prvisining certificat di FEA 1. Press il Gestre il persnale di Back-Office prcede alle verifiche dcumentali vver delle infrmazini presenti nella Scheda di Registrazine mediante: a. cntrlli autmatici (applicativi) sulle banche dati ggett delle cnvenzini (cfr.2.5), b. eventuali cntrlli manuali su fnti autritative 3 in sstituzine dei cntrlli autmatici (cfr.2.5); 2. Al termine delle verifiche il Back-Office cnvalida la richiesta ed il sistema del Gestre avvia il prvisining del Certificat di FEA assciat al Richiedente (effettuat invcand dei web services espsti dalla Piattafrma di Firma Remta Qualificata del Certificatre Trust Technlgies). Il Certificat di FEA è emess da una Certificatin Authrity nn accreditata e verrà utilizzat per firmare la dcumentazine cntrattuale del Richiedente cn il Gestre; Dimstrazine dell identità 3. Press il PdR il Richiedente presenta il prpri Cdice di Registrazine ttenut alla cnferma della preregistrazine; 4. L Incaricat press il PdR accede al Prtale dei Servizi di Identità Digitale cn le prprie credenziali, inserisce il Cdice di Registrazine presentat dal Richiedente e richiama a vide la Scheda di Registrazine cn i relativi dati anagrafici; 5. Il Richiedente presenta un dcument di identità in crs di validità e la prpria Tessera Sanitaria (cme evidenza del Cdice Fiscale); Verifica dell identità (frnt ffice) 6. L Incaricat press il PdR prcede alla verifica dell identità vver verifica la crrispndenza tra dcumenti identificativi presentati e presenza fisica del richiedente ( de-visu ); 7. L Incaricat press il PdR richiama a vide il Mdul di Adesine precmpilat cn i dati anagrafici validati dal Richiedente in fase di pre-registrazine, cntenente anche le Cndizini Generali di Utilizz del servizi di Identità Digitale e l Infrmativa Privacy sul trattament dei dati persnali che vengn cnfermate dal Richiedente tramite appsizine firma FEA. L Incaricat press il PdR avvia la verifica del numer di cellulare, dichiarat dal Richiedente in fase di registrazine, ed avvia il prcess di firma FEA del Mdul di Adesine tramite OTP; 8. Il Richiedente cmunica all Incaricat press il PdR il cdice OTP ricevut via SMS che viene utilizzat per cnvalidare i dati identificati e per firmare digitalmente il Mdul di Adesine; 9. L Incaricat press il PdR inserisce il cdice OTP sul Prtale dei Servizi di Identità Digitale. Il cdice OTP inserit è quell che il Richiedente ha ricevut via SMS al numer di telefn cellulare, dichiarat dal Richiedente in fase di registrazine. Il sistema del Gestre elabra la richiesta, appne la firma FEA (effettuata invcand dei web services espsti dalla Piattafrma di Firma Remta Qualificata del Certificatre Trust Technlgies) al Mdul di Adesine; 10. L Incaricat press il PdR riceve cnferma dal Prtale dei Servizi di Identità Digitale del Gestre del cmpletament della richiesta e del salvataggi nell area di Self-Custmer Care del Richiedente della dcumentazine prdtta (Mdul di Adesine, Cndizini Generali di Utilizz e Infrmativa Privacy); 3 La verifica dell identità differisce dalla dimstrazine dell identità in quant implica la cnvalida delle infrmazini di identità attravers srgenti addizinali - fnti autritative, in particlare utilizzand priritariamente i servizi di cui all articl 4, cmma 1, lettera c) del DPCM SPID (v. cnvenzini dell Agenzia) e, nei casi in cui le infrmazini necessarie nn sian accessibili per mezz dei servizi cnvenzinati, tramite verifiche sulla base di dcumenti, dati infrmazini ttenibili da archivi delle amministrazini certificanti, ai sensi dell art. 43, cmma 2, del D.P.R. 28 dicembre 2000, n Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 29 di 63

30 11. Il Richiedente riceve cnferma via dell avvenuta emissine delle credenziali e della dispnibilità, nella prpria area di Self-Custmer Care e per tutt il perid cntrattuale, della dcumentazine sttscritta digitalmente (Mdul di Adesine, Cndizini Generali di Utilizz e Infrmativa Privacy). Di seguit un diagramma che rappresenta il fluss spra descritt: Figura 6 - Fluss di rilasci Identità Digitale per persna fisica cn identificazine 'De Visu' Identificazine mediante utilizz della firma elettrnica qualificata firma digitale In questa mdalità di identificazine il Richiedente pera in autnmia cllegandsi via web al servizi nline predispst dal Gestre e viene identificat mediante sttscrizine di un appsit Mdul di Adesine cn la prpria firma elettrnica qualificata (in frmat PAdES), per mezz di strumenti di firma prpri. Questa mdalità è cmpsta dai seguenti passi eseguiti in sequenza dal Richiedente e dal Gestre ( Incaricat del Gestre) Dimstrazine dell identità 1. Il Richiedente si cllega via web all appsita sezine del servizi predispst dal Gestre inserend il prpri Cdice di Registrazine ttenut alla cnferma della pre-registrazine e il prpri Cdice Fiscale; 2. Il servizi del Gestre mstra a vide il Mdul di Adesine precmpilat cn i dati anagrafici validati dal Richiedente in fase di pre-registrazine, cntenente anche le Cndizini Generali di Utilizz del servizi di Identità Digitale e l Infrmativa Privacy sul trattament dei dati persnali che devn essere firmati digitalmente dal Richiedente; 3. Il Richiedente effettua il dwnlad del Mdul di Adesine (frmat PDF), l firma cn il prpri strument di firma ed effettua pi l uplad del file firmat (frmat PAdES); 4. Il servizi del Gestre cnferma l avvenut uplad del mdul firmat ed infrma il Richiedente in merit all esit salv bun fine della prcedura di registrazine e alle mdalità cn le quali gli sarann in seguit cnsegnate le credenziali relative alla prpria Identità Digitale; 5. Il servizi del Gestre verifica il numer di cellulare, dichiarat dal Richiedente in fase di registrazine, mediante invi cdice OTP via SMS che viene utilizzat per cnvalidare i dati identificati; al termine invia una di cnferma cntenente i dati riepilgativi Verifica dell identità (back ffice) 6. Press il Gestre si prcede alla verifica dell identità e delle infrmazini presenti nel Mdul di Adesine firmat digitalmente inviat dal Richiedente, mediante: a. cntrlli autmatici (applicativi) sulle banche dati ggett delle cnvenzini (cfr.2.5); b. cntrlli manuali su fnti autritative 4 in sstituzine dei cntrlli autmatici(cfr.2.5); 4 La verifica dell identità differisce dalla dimstrazine dell identità in quant implica la cnvalida delle infrmazini di identità attravers srgenti addizinali - fnti autritative, in particlare utilizzand priritariamente i servizi di cui all articl 4, cmma 1, lettera c) del DPCM SPID (v. cnvenzini dell Agenzia) Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 30 di 63

31 c. verifica firma digitale appsta dal Richiedente, in cnfrmità al DPCM 22 febbrai 2013 (viene verificata la crrispndenza tra il Cdice Fiscale indicat nel Mdul di Adesine e quell cntenut nel Certificat qualificat); d. verifica crrispndenza e validità dei dcumenti identificativi indicati dal Richiedente; e. ulteriri altre verifiche che si rendesser necessarie. 7. Al termine della verifica dell identità viene cnvalida men la registrazine: a. in cas di esit negativ il sistema del Gestre invia una al Richiedente cn l esit (KO) della richiesta ed il mtiv del rigett (eventualmente segnaland la necessità di frnire dcumentazine crretta e/ aggiuntiva press un PdR), b. in cas di esit psitiv il sistema del Gestre cnferma il cmpletament della richiesta di adesine e prcede all emissine delle credenziali per il Richiedente; 8. Il sistema del Gestre ntifica al Richiedente l avvenuta emissine delle credenziali cn l invi di una e- mail di cnferma cntenente i dati riepilgativi e le indicazini relative alla mdalità cn la quale gli sarann cnsegnate; 9. Press il Gestre viene archiviata la dcumentazine prdtta nel prcess di Registrazine, mediante appsita prcedura. Di seguit un diagramma che rappresenta il fluss spra descritt: Figura 7 - Fluss di rilasci Identità Digitale per persna fisica cn identificazine mediante dispsitiv di firma elettrnica qualificata digitale Identificazine mediante utilizz della carta nazinale dei servizi (CNS) e della carta d identità elettrnica (CIE) In questa mdalità di identificazine il Richiedente pera in autnmia cllegandsi via web al servizi nline predispst dal Gestre e mediante la prpria Carta Nazinale dei Servizi (CNS) ppure la prpria Carta di Identità Elettrnica (CIE) attesta la veridicità degli attributi identificativi dichiarati in fase di registrazine ed esprime la prpria vlntà di adesine al servizi. Questa mdalità è cmpsta dai seguenti passi eseguiti in sequenza dal Richiedente e dal Gestre ( Incaricat del Gestre) Dimstrazine dell identità 1. Il Richiedente si cllega via web all appsita sezine del servizi predispst dal Gestre inserend il prpri Cdice di Registrazine ttenut alla cnferma della pre-registrazine e il prpri Cdice Fiscale; 2. Il servizi del Gestre mstra a vide il Mdul di Adesine precmpilat cn i dati anagrafici validati dal Richiedente in fase di pre-registrazine, cntenente anche le Cndizini Generali di Utilizz del servizi di e, nei casi in cui le infrmazini necessarie nn sian accessibili per mezz dei servizi cnvenzinati, tramite verifiche sulla base di dcumenti, dati infrmazini ttenibili da archivi delle amministrazini certificanti, ai sensi dell art. 43, cmma 2, del D.P.R. 28 dicembre 2000, n Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 31 di 63

32 Identità Digitale e l Infrmativa Privacy sul trattament dei dati persnali che devn essere firmati digitalmente dal Richiedente; 3. Il Richiedente cnferma gli attributi identificativi, effettua il dwnlad del Mdul di Adesine (frmat PDF), l firma per attestazine cn la prpria carta CNS CIE ed effettua l uplad del file; 4. Il servizi del Gestre cnferma l avvenut uplad del file ed infrma il Richiedente in merit all esit salv bun fine della prcedura di registrazine e alle mdalità cn le quali gli sarann in seguit cnsegnate le credenziali relative alla prpria Identità Digitale; 5. Il servizi del Gestre verifica il numer di cellulare, dichiarat dal Richiedente in fase di registrazine, mediante invi cdice OTP via SMS che viene utilizzat per cnvalidare i dati identificati; al termine invia una di cnferma cntenente i dati riepilgativi Verifica dell identità (back ffice) 6. Press il Gestre si prcede alla verifica dell identità e delle infrmazini presenti nel Mdul di Adesine firmat digitalmente inviat dal Richiedente, mediante: a. cntrlli autmatici (applicativi) sulle banche dati ggett delle cnvenzini (cfr.2.5); b. cntrlli manuali su fnti autritative 5 in sstituzine dei cntrlli autmatici(cfr.2.5); c. verifica validità attestazine appsta dal Richiedente; d. verifica crrispndenza e validità dei dcumenti identificativi indicati dal Richiedente; e. ulteriri altre verifiche che si rendesser necessarie. 7. Al termine della verifica dell identità viene cnvalida men la registrazine: a. in cas di esit negativ il sistema del Gestre invia una al Richiedente cn l esit (KO) della richiesta ed il mtiv del rigett (eventualmente segnaland la necessità di frnire dcumentazine crretta e/ aggiuntiva press un PdR), b. in cas di esit psitiv il sistema del Gestre cnferma il cmpletament della richiesta di adesine e prcede all emissine delle credenziali per il Richiedente; 8. Il sistema del Gestre ntifica al Richiedente l avvenuta emissine delle credenziali cn l invi di una e- mail di cnferma cntenente i dati riepilgativi e le indicazini relative alla mdalità cn la quale gli sarann cnsegnate; 9. Press il Gestre viene archiviata la dcumentazine prdtta nel prcess di Registrazine, mediante appsita prcedura. Di seguit un diagramma che rappresenta il fluss spra descritt: 5 La verifica dell identità differisce dalla dimstrazine dell identità in quant implica la cnvalida delle infrmazini di identità attravers srgenti addizinali - fnti autritative, in particlare utilizzand priritariamente i servizi di cui all articl 4, cmma 1, lettera c) del DPCM SPID (v. cnvenzini dell Agenzia) e, nei casi in cui le infrmazini necessarie nn sian accessibili per mezz dei servizi cnvenzinati, tramite verifiche sulla base di dcumenti, dati infrmazini ttenibili da archivi delle amministrazini certificanti, ai sensi dell art. 43, cmma 2, del D.P.R. 28 dicembre 2000, n Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 32 di 63

33 Figura 8 - Fluss di rilasci Identità Digitale per persna fisica cn identificazine mediante utilizz di CNS e CIE Identificazine mediante sistemi di registrazine Audi-Vide In questa mdalità di identificazine il Richiedente si cllega via web al servizi nline predispst dal Gestre e viene identificat di persna, da remt, tramite Registrazine audi-vide. In particlare il Richiedente utilizza il link cntenut nella ricevuta dal Prtale al termine della prcedura di pre-registrazine per accedere alla sessine web del Servizi di Identificazine tramite Registrazine Audi-Vide (SIAV). Questa mdalità è cmpsta dai seguenti passi eseguiti dal Richiedente e dall Operatre del Gestre ( Incaricat del Gestre) Dimstrazine dell identità 1. Il Richiedente utilizza il link ricevut dal Prtale per accedere alla sessine web del Servizi di Identificazine tramite Registrazine Audi-Vide (SIAV); 2. L Operatre del Gestre avvia la sessine web di Identificazine audi-vide ed il sistema SIAV crea un dssier relativ al Richiedente; 3. L Operatre avvia la registrazine della sessine web Audi-Vide interagend cn il Richiedente in base ad un specifica prcedura dedicata all identificazine delle persne fisiche, che prevede anche l acquisizine da webcam delle ft del dcument di identità e della Tessera Sanitaria (cme evidenza del cdice fiscale); 4. Al termine della sessine web l Operatre firma digitalmente il dssier (cntiene Mdul di Adesine in frmat PDF, ft frnte/retr del dcument di identità e della Tessera Sanitaria) che viene autmaticamente inviat dal sistema SIAV, unitamente alla registrazine audi-vide, in cnservazine a nrma; Verifica dell identità (remte frnt ffice) 5. L Operatre prcede alla verifica delle infrmazini acquisite durante la sessine web di identificazine audi-vide, mediante: a. verifica integrità/qualità della registrazine audi-vide; b. verifica crrispndenza e validità dei dcumenti identificativi indicati dal Richiedente; c. cntrlli autmatici (applicativi) sulle banche dati ggett delle cnvenzini (cfr.2.5); d. eventuali cntrlli manuali su fnti autritative 6 in sstituzine dei cntrlli autmatici (cfr.2.5); e. ulteriri altre verifiche che si rendesser necessarie. 6. Al termine della verifica dell identità viene cnvalida men la registrazine: 6 La verifica dell identità differisce dalla dimstrazine dell identità in quant implica la cnvalida delle infrmazini di identità attravers srgenti addizinali - fnti autritative, in particlare utilizzand priritariamente i servizi di cui all articl 4, cmma 1, lettera c) del DPCM SPID (v. cnvenzini dell Agenzia) e, nei casi in cui le infrmazini necessarie nn sian accessibili per mezz dei servizi cnvenzinati, tramite verifiche sulla base di dcumenti, dati infrmazini ttenibili da archivi delle amministrazini certificanti, ai sensi dell art. 43, cmma 2, del D.P.R. 28 dicembre 2000, n Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 33 di 63

34 a. in cas di esit negativ il sistema del Gestre invia una al Richiedente cn l esit (KO) della richiesta ed il mtiv del rigett (eventualmente segnaland la necessità di frnire dcumentazine crretta e/ aggiuntiva), b. in cas di esit psitiv il sistema del Gestre cnferma il cmpletament della richiesta di adesine e prcede all emissine delle credenziali per il Richiedente; 7. Il sistema del Gestre ntifica al Richiedente l avvenuta emissine delle credenziali cn l invi di una e- mail di cnferma cntenente i dati riepilgativi e le indicazini relative alla mdalità cn la quale gli sarann cnsegnate; 8. Press il Gestre viene archiviata la dcumentazine prdtta nel prcess di Registrazine, mediante appsita prcedura che prevede la pssibilità di recuper nel temp della dcumentazine psta in cnservazine a nrma. Di seguit un diagramma che rappresenta il fluss spra descritt: Identificazine Audi-vide Figura 9 - Fluss di rilasci Identità Digitale per persna fisica cn identificazine Audi-Vide Persna giuridica Identificazine mediante esibizine a vista di un dcument di identità ( de visu ) In questa mdalità di identificazine il Richiedente si reca press il Punt di Registrazine (PdR) e viene identificat de visu ssia di persna tramite esibizine a vista di un valid dcument d'identità. Questa mdalità è cmpsta dai seguenti passi eseguiti in sequenza prima dal persnale di Back-Office press il Gestre, pi dal Richiedente e dall Incaricat (dal Gestre) press il PdR Verifiche dcumentali (back ffice) e prvisining certificat di FEA 1. Press il Gestre il persnale di Back-Office prcede alle verifiche dcumentali vver delle infrmazini presenti nella Scheda di Registrazine mediante: a. cntrlli autmatici (applicativi) sulle banche dati ggett delle cnvenzini (cfr.2.5), b. eventuali cntrlli manuali su fnti autritative 7 in sstituzine dei cntrlli autmatici (cfr.2.5), 7 La verifica dell identità differisce dalla dimstrazine dell identità in quant implica la cnvalida delle infrmazini di identità attravers srgenti addizinali - fnti autritative, in particlare utilizzand priritariamente i servizi di cui all articl 4, cmma 1, lettera c) del DPCM SPID (v. cnvenzini dell Agenzia) e, nei casi in cui le infrmazini necessarie nn sian accessibili per mezz dei servizi cnvenzinati, tramite verifiche sulla base di dcumenti, dati infrmazini ttenibili da archivi delle amministrazini certificanti, ai sensi dell art. 43, cmma 2, del D.P.R. 28 dicembre 2000, n Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 34 di 63

35 c. verifica validità 8 della dcumentazine di Certificazine attestante l stat di Amministratre Rappresentante Legale del Richiedente l identità digitale per cnt della persna giuridica, d. effettuata l assciazine <Amministratre Rappresentante legale Persna giuridica>, prcede alla identificazine de visu - cme persna fisica - dell Amministratre del legale rappresentante (cme indicat al paragraf ); 2. Al termine delle verifiche il Back-Office cnvalida la richiesta ed il sistema del Gestre avvia il prvisining del Certificat di FEA assciat al Richiedente (effettuat invcand dei web services espsti dalla Piattafrma di Firma Remta Qualificata del Certificatre Trust Technlgies). Il Certificat di FEA è emess da una Certificatin Authrity nn accreditata e verrà utilizzat per firmare la dcumentazine cntrattuale del Richiedente cn il Gestre; Dimstrazine dell identità 3. Press il PdR il Richiedente presenta il prpri Cdice di Registrazine ttenut alla cnferma della preregistrazine; 4. L Incaricat press il PdR accede al Prtale dei Servizi di Identità Digitale cn le prprie credenziali, inserisce il Cdice di Registrazine presentat dal Richiedente e richiama a vide la Scheda di Registrazine cn i relativi dati anagrafici; 5. Il Richiedente presenta un dcument di identità in crs di validità e la prpria Tessera Sanitaria (cme evidenza del Cdice Fiscale); Verifica dell identità (frnt ffice) 6. L Incaricat press il PdR prcede alla verifica dell identità vver verifica la crrispndenza tra dcumenti identificativi presentati e presenza fisica del richiedente ( de-visu ); 7. L Incaricat press il PdR richiama a vide il Mdul di Adesine precmpilat cn i dati anagrafici validati dal Richiedente in fase di pre-registrazine, cntenente anche le Cndizini Generali di Utilizz del servizi di Identità Digitale e l Infrmativa Privacy sul trattament dei dati persnali che vengn cnfermate dal Richiedente tramite appsizine firma FEA. L Incaricat press il PdR avvia la verifica del numer di cellulare, dichiarat dal Richiedente in fase di registrazine, ed avvia il prcess di firma FEA del Mdul di Adesine tramite OTP; 8. Il Richiedente cmunica all Incaricat press il PdR il cdice OTP ricevut via SMS che viene utilizzat per cnvalidare i dati identificati e per firmare digitalmente il Mdul di Adesine; 9. L Incaricat press il PdR inserisce il cdice OTP sul Prtale dei Servizi di Identità Digitale. Il cdice OTP inserit è quell che il Richiedente ha ricevut via SMS al numer di telefn cellulare, dichiarat in fase di registrazine. Il sistema del Gestre elabra la richiesta, appne la firma FEA (effettuata invcand dei web services espsti dalla Piattafrma di Firma Remta Qualificata del Certificatre Trust Technlgies) al Mdul di Adesine; 10. L Incaricat press il PdR riceve cnferma dal Prtale dei Servizi di Identità Digitale del Gestre del cmpletament della richiesta e del salvataggi nell area di Self-Custmer Care del Richiedente della dcumentazine prdtta (Mdul di Adesine, Cndizini Generali di Utilizz e Infrmativa Privacy); 11. Il Richiedente riceve cnferma via dell avvenuta emissine delle credenziali e della dispnibilità, nella prpria area di Self-Custmer Care e per tutt il perid cntrattuale, della dcumentazine sttscritta digitalmente (Mdul di Adesine, Cndizini Generali di Utilizz e Infrmativa Privacy). Di seguit un diagramma che rappresenta il fluss spra descritt: 8 Per la visura: - che la data visura sia stata emessa entr i 15 girni antecedenti alla data di presentazine della richiesta; - che il richiedente figuri nella visura quale sggett dtat dei pteri di rappresentanza legale della Persna Giuridica indicata nella richiesta. Per l att ntarile di prcura legale: - che gli estremi di riferiment del ntai riprtati nell att sia cerenti cn i dati presenti nell Alb Unic prfessinale elettrnic (art.3, DPR 137/2012) presente all indirizz - che l att ntarile attesti che il richiedente è dtat dei pteri di rappresentanza legale della Persna Giuridica indicata nella richiesta. Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 35 di 63

36 Figura 10 - Fluss di rilasci Identità Digitale per persna giuridica cn identificazine 'De Visu' Identificazine mediante utilizz della firma elettrnica qualificata firma digitale In questa mdalità di identificazine il Richiedente pera in autnmia cllegandsi via web al servizi nline predispst dal Gestre e viene identificat mediante sttscrizine di un appsit Mdul di Adesine cn la prpria firma elettrnica qualificata (in frmat PAdES), per mezz di strumenti di firma prpri. Questa mdalità è cmpsta dai seguenti passi eseguiti in sequenza dal Richiedente e dal Gestre ( Incaricat del Gestre) Dimstrazine dell identità 1. Il Richiedente si cllega via web all appsita sezine del servizi predispst dal Gestre inserend il prpri Cdice di Registrazine ttenut alla cnferma della pre-registrazine e il prpri Cdice Fiscale; 2. Il servizi del Gestre mstra a vide il Mdul di Adesine precmpilat cn i dati anagrafici validati dal Richiedente in fase di pre-registrazine, cntenente anche le Cndizini Generali di Utilizz del servizi di Identità Digitale e l Infrmativa Privacy sul trattament dei dati persnali che devn essere firmati digitalmente dal Richiedente; 3. Il Richiedente effettua il dwnlad del Mdul di Adesine (frmat PDF), l firma cn il prpri strument di firma ed effettua pi l uplad del file firmat (frmat PAdES); 4. Il Richiedente effettua inltre l uplad del dcument di Certificazine attestante l stat di Amministratre Rappresentante Legale del richiedente l identità digitale per cnt della persna giuridica: Visura Camerale firmata digitalmente dalla CCIAA, in alternativa, Cpia dell Att ntarile di Prcura legale firmata digitalmente dal Richiedente; 5. Il servizi del Gestre cnferma l avvenut uplad dei file firmati ed infrma il Richiedente in merit all esit salv bun fine della prcedura di registrazine e alle mdalità cn le quali gli sarann in seguit cnsegnate le credenziali relative alla prpria Identità Digitale; 6. Il servizi del Gestre verifica il numer di cellulare, dichiarat dal Richiedente in fase di registrazine, mediante invi cdice OTP via SMS che viene utilizzat per cnvalidare i dati identificati; al termine invia una di cnferma cntenente i dati riepilgativi Verifica dell identità (back ffice) 7. Press il Gestre si prcede alla verifica dell identità e delle infrmazini presenti nel Mdul di Adesine firmat digitalmente inviat dal Richiedente, mediante: a. cntrlli autmatici (applicativi) sulle banche dati ggett delle cnvenzini (cfr.2.5); b. cntrlli manuali su fnti autritative 9 in sstituzine dei cntrlli autmatici (cfr.2.5); 9 La verifica dell identità differisce dalla dimstrazine dell identità in quant implica la cnvalida delle infrmazini di identità attravers srgenti addizinali - fnti autritative, in particlare utilizzand priritariamente i servizi di cui all articl 4, cmma 1, lettera c) del DPCM SPID (v. cnvenzini dell Agenzia) e, nei casi in cui le infrmazini necessarie nn sian accessibili per mezz dei servizi cnvenzinati, tramite verifiche sulla base di dcumenti, dati infrmazini ttenibili da archivi delle amministrazini certificanti, ai sensi dell art. 43, cmma 2, del D.P.R. 28 dicembre 2000, n Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 36 di 63

37 c. verifica validità Errre. Il segnalibr nn è definit. della dcumentazine di Certificazine attestante l stat di Amministratre Rappresentante Legale del Richiedente l identità digitale per cnt della persna giuridica; d. effettuata l assciazine <Amministratre Rappresentante legale Persna giuridica>, si prcede alla identificazine mediante firma elettrnica qualifica digitale - cme persna fisica - dell Amministratre del legale rappresentante (cme indicat al paragraf ). e. ulteriri altre verifiche che si rendesser necessarie. 8. Al termine della verifica dell identità viene cnvalida men la registrazine: a. in cas di esit negativ il sistema del Gestre invia una al Richiedente cn l esit (KO) della richiesta ed il mtiv del rigett (eventualmente segnaland la necessità di frnire dcumentazine crretta e/ aggiuntiva press un PdR), b. in cas di esit psitiv il sistema del Gestre cnferma il cmpletament della richiesta di adesine e prcede all emissine delle credenziali per il Richiedente; 9. Il sistema del Gestre ntifica al Richiedente l avvenuta emissine delle credenziali cn l invi di una e- mail di cnferma cntenente i dati riepilgativi e le indicazini relative alla mdalità cn la quale gli sarann cnsegnate; 10. Press il Gestre viene archiviata la dcumentazine prdtta nel prcess di Registrazine, mediante appsita prcedura. Di seguit un diagramma che rappresenta il fluss spra descritt: Figura 11 - Fluss di rilasci Identità Digitale per persna giuridica cn identificazine mediante dispsitiv di firma elettrnica qualificata digitale Identificazine mediante utilizz della carta nazinale dei servizi (CNS) e della carta d identità elettrnica (CIE) In questa mdalità di identificazine il Richiedente pera in autnmia cllegandsi via web al servizi nline predispst dal Gestre e mediante la prpria Carta Nazinale dei Servizi (CNS) ppure la prpria Carta di Identità Elettrnica (CIE) attesta la veridicità degli attributi identificativi dichiarati in fase di registrazine ed esprime la prpria vlntà di adesine al servizi. Questa mdalità è cmpsta dai seguenti passi eseguiti in sequenza dal Richiedente e dal Gestre ( Incaricat del Gestre) Dimstrazine dell identità 1. Il Richiedente si cllega via web all appsita sezine del servizi predispst dal Gestre inserend il prpri Cdice di Registrazine ttenut alla cnferma della pre-registrazine e il prpri Cdice Fiscale; 2. Il servizi del Gestre mstra a vide il Mdul di Adesine precmpilat cn i dati anagrafici validati dal Richiedente in fase di pre-registrazine, cntenente anche le Cndizini Generali di Utilizz del servizi di Telecm Italia Trust Technlgies S.r.l. Dcument pubblic Tutti i diritti riservati Pag. 37 di 63