IDENTITA DIGITALE IN ITALIA ED EUROPA: REGOLAMENTO EUROPEO SU EIDAS, SPID E DDU. SINTESI GIURIDICA E TECNOLOGICA. Giovanni MANCA Advisory Board ANORC

Transcript

1 IDENTITA DIGITALE IN ITALIA ED EUROPA: REGOLAMENTO EUROPEO SU EIDAS, SPID E DDU. SINTESI GIURIDICA E TECNOLOGICA. Giovanni MANCA Advisory Board ANORC 30 settembre 2014 (Master Sicurezza - Roma)

2 Argomenti Regolamento Europeo in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la Direttiva 1999/93/CE. (Regolamento 910/2014). Sistema Pubblico di Identità Digitale. Documento Digitale Unificato (DDU). 2

3 L identificazione informatica Definizione dall articolo 1, comma 1, lettera u-ter) del CAD: la validazione dell'insieme di dati attribuiti in modo esclusivo ed univoco ad un soggetto, che ne consentono l'individuazione nei sistemi informativi, effettuata attraverso opportune tecnologie anche al fine di garantire la sicurezza dell'accesso Siamo abituati a parlare di autenticazione forte ma la Legge definisce altro (diventa una questione di glossario). L identificazione informatica si è evoluta negli anni in modo poco coordinato e disomogeneo. Il controllo di accesso corrente utilizza username e password, l accesso con CIE (puramente teorico) e CNS (anche Tessera sanitaria con microchip). 3

4 Regolamento UE. Contesto di riferimento - 1 Direttiva 1999/93/CE su un un quadro comunitario per le firme elettroniche Digital Agenda for Europe (19/05/2010) Single Market Act (13/04/2011) Roadmap per la stabilità e la crescita (12/10/2011) 4

5 Regolamento UE. Contesto di riferimento - 2 Regolamento del Parlamento Europeo e del Consiglio per l identificazione elettronica e i servizi fiduciari (trust services) per le transazioni elettroniche nel mercato interno e abrogante la Direttiva 1999/93/CE. E un regolamento e non una direttiva. Quindi è applicato direttamente (senza necessità di recepimento) in tutta l UE alla data di entrata in vigore. Lo schema è molto complesso e invasivo nelle agende digitali degli Stati Membri. Deve essere necessariamente affiancato da standard tecnici che come al solito sono elaborati ed emessi da CEN e ETSI. Gli standard saranno EN (norme europee) e non più specifiche pubbliche di riferimento. 5

6 Regolamento UE. Contesto di riferimento - 3 Testo votato il 3 aprile Testo in vigore dal 1 luglio 2016 ma già attivo dal 17 settembre 2014 per una serie di articoli. Piena interoperabilità. Neutralità tecnologica. Coordinamento della vigilanza degli Stati Membri (dopo Diginotar). Privacy by design. Riconoscimento degli stati non UE attraverso attività specifiche della Commissione. 6

7 Regolamento UE. Contesto di riferimento - 4 Pieno coordinamento e interoperabilità per: eid; firme elettroniche; sigilli elettronici; servizi di recapito; conservazione a lungo termine dei documenti informatici (firmati); autenticazione forte dei siti web; RED (Registered Electronic Delivery); altri servizi fiduciari e conseguenti vigilanze. 7

8 Regolamento UE. Contesto di riferimento - 5 Dati di identificazione personale: un insieme di dati che consentono di stabilire l identità di una personale fisica o giuridica, o una persona fisica che rappresenta una persona giuridica; (art. 3, (2a) ). Vengono introdotti schemi di identificazione elettronica. Possibilità di notifica alla Commissione dell UE. Gli schemi notificati devono soddisfare una serie di condizioni e se accettati vengono inseriti in meccanismi di mutuo riconoscimento nell UE. Devono essere assicurati dei livelli di garanzia validi a livello comunitario. Si può accedere a servizi di pari livello o più bassi. 8

9 Identità nell UE - 1 Il modello generale di identità che si dovrebbe affermare è quello dell identità gestita dai singoli Stati Membri che poi viene accettata e gestita in modalità transnazionale con tecnologie standard. Tutti gli standard di interoperabilità saranno nella veste di norme europee (contesto EN). I meccanismi già testati nel progetti Europei STORK e STORK 2 (Secure identity across borders linked) hanno utilizzato meccanismi di identità federata con SOA e SAML. Anche i documenti di identità elettronica nazionali avranno il loro ruolo. 9

10 Identità nell UE - 2 L asse tecnologico franco tedesco ha anche definito un eidas token. Oltre a meccanismi di identificazione informatica il token, ovviamente, può essere utilizzato anche per la firma elettronica qualificata. I meccanismi base e i formati delle firme elettroniche per le persone fisiche non subiscono particolari modifiche se non evolutive. L Italia sta sviluppando il Documento Digitale Unificato e il Sistema Pubblico di Identità Digitale (SPID). 10

11 Obiettivi e tempistica di implementazione del Regolamento «eidas» Obiettivi completare il quadro normativo definito dalla Direttiva Europea 1999/93/EC sulle firme elettroniche coprendo anche le aree di eidentification e eauthentication per garantire interoperabilità Giugno 2012: proposta iniziale della Commissione Europea Aprile 2014 : avvenuta approvazione da parte del Parlamento Europeo Luglio 2014: previsto voto in seconda lettura del Parlamento Europeo Ottobre 2014: pubblicazione sull Official Journal ed entrata in vigore Metà 2015: riconoscimento volontario di schemi di eidentification Metà 2016: applicazione delle regole per i servizi fiduciari ( trust services ) Metà 2018: riconoscimento obbligatorio di schemi di eidentification

12 Definizioni di eidentification e eauthentication identificazione elettronica ('electronic identification ) è il processo in cui si usano i dati di autenticazione personale ( personal authentication data ) in forma elettronica che rappresentano univocamente una persona fisica o una persona legale o una persona fisica che rappresenti una persona legale per accedere a servizi online autenticazione ( authentication ) è il processo elettronico che permette la conferma della identificazione elettronica di una persona fisica o legale o l origine e l integrità di dati in forma elettronica

13 Definizione di esignature Firma Elettronica (FE), dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici ed utilizzati dal firmatario per firmare; Firma Elettronica Avanzata (FEA), una firma elettronica che soddisfi i seguenti requisiti: è connessa unicamente al firmatario; è idonea ad identificare il firmatario; è creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; e è collegata ai dati sottoscritti in modo da consentire l'identificazione di ogni successiva modifica di detti dati;

14 Definizione di esignature [continua] Firma Elettronica Qualificata (FEQ) una firma elettronica avanzata creata da un dispositivo per la creazione di una firma elettronica qualificata basata su un certificato qualificato per firme elettroniche le definizioni sono molto simili a quelle della direttiva 1999/93/EC sulle firme elettroniche è stata introdotta la definizione di FEQ che era sostanzialmente presente nella Direttiva ma senza una specifica denominazione

15 Sigillo elettronico (nuova fattispecie!) Sigillo Elettronico (SE) apposto da una persona giuridica, garantisce l origine e l integrità dei dati associati nuova fattispecie introdotta nel Regolamento era davvero necessaria?? secondo le definizioni, la FEA apposta ad una persona giuridica potrebbe assolvere alla stessa funzione del sigillo elettronico!! analogamente alle varie definizioni di firme elettroniche sono definiti Sigillo Elettronico Avanzato (SEA) Sigillo Elettronico Qualificato (SEQ)

16 Servizi fiduciari (trust services) servizio di trust, è uno dei servizi elettronici forniti normalmente dietro remunerazione e consistenti nei seguenti elementi : creazione, verifica e convalida di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, servizi elettronici di recapito certificato e certificati relativi a tali servizi, oppure creazione, verifica e convalida di certificati di autenticazione di siti web, oppure conservazione di firme, sigilli o certificati elettronici relativi a tali servizi servizio di trust qualificato è un servizio di trust che soddisfa i requisiti pertinenti definiti nel regolamento eidas

17 Servizi di trust ( trusted services ) [continua] Differenze rispetto alla Direttiva Europea 1999/93/EC Direttiva definizione di fornitori di servizi di certificazione supervisione (servizi qualificati e non) e accreditamento volontario Regolamento introduzione del concetto più generale di servizi di trust servizi non qualificati/qualificati servizi di trust non qualificati sono quelli che non hanno l obbligo di rispettare le prescrizioni specifiche del regolamento per esempio servizi forniti internamente agli stati membri per il solo uso locale

18 Confronto tra Regolamento eidas e Normativa Italiana sui servizi di trust Regolamento eidas Normativa Italiana Sovrapposizione/conflitto

19 Tipologie servizi di trust Regolamento eidas (Art. 3) creazione, verifica e convalida di firme elettroniche sigilli elettronici validazioni (marche) temporali creazione, verifica e convalida di certificati autenticazione siti web conservazione di firme, sigilli o certificati elettronici relativi a tali servizi recapito certificato e certificati relativi a tali servizi Normativa italiana certificatori (CAD), creazione di: certificati qualificati certificati per autenticazione client web marche temporali firme remote conservatori (CAD) di documenti gestori di posta certificata (PEC)

20 Tipologie fornitori Regolamento eidas tutte le tipologie di servizi possono essere offerte da fornitori (Art. 3) non qualificati qualificati (che seguono le prescrizioni del Regolamento) Normativa italiana certificatori (CAD) non qualificati (attività libera, no autorizzazione preventiva) qualificati (requisiti stringenti) accreditati (sono qualificati con riconoscimento possesso requisiti più elevati) conservatori (CAD) qualificati accreditati gestori di posta certificata (PEC) solo accreditati

21 Requisiti societari per i fornitori di servizi di trust: societari Regolamento eidas fornitori qualificati (Art. 24) mantengono risorse finanziarie adeguate o si dotano di assicurazione per la responsabilità civile sui danni, in conformità alla normativa nazionale Normativa italiana fornitori accreditati (CAD + PEC) (in caso di soggetti privati) società di capitali capitale sociale non inferiore certificatori: 6,3 MEuro (requisito attività bancaria) gestori posta certificata: 1 MEuro conservatori: Euro PP.AA. possono essere solo fornitori accreditati e solo per rapporti tra terzi e PP.AA.

22 Requisiti per i fornitori di servizi di trust: societari [continua] Regolamento eidas Normativa italiana fornitori qualificati (Art. 24) (obbligo) informare organismo di vigilanza su variazioni e cessazione attività (obbligo) definizione ed aggiornamento di un piano di cessazione delle attività aggiornato per garantire la continuità del servizio fornitori qualificati e accreditati (CAD, Art. 37) (obbligo) informare AgID e i titolari dei certificati emessi almeno sessanta giorni prima della data di cessazione saranno revocati tutti i certificati non scaduti al momento della cessazione (possibilità) all atto della cessazione, cessione attività ad altro fornitore, evitando di revocare i certificati emessi

23 Requisiti del personale per i fornitori di servizi fiduciari Regolamento eidas Normativa italiana fornitori qualificati e accreditati (CAD, Art. 26) requisiti di onorabilità (quelli per le banche) o per i propri amministratori (se i certificatori o conservatori sono persone giuridiche) fornitori accreditati (CAD, Art. 29) requisiti di onorabilità anche per il personale amministrativo e i membri degli organi di controllo

24 Requisiti dei fornitori dei servizi di trust: personale [continua] Regolamento eidas fornitori qualificati (Art. 24) impiego di personale (ed eventualmente subcontraenti) competente e formato in materia di norme di sicurezza e protezione dei dati personali e applicano procedure secondo norme europee o internazionali Normativa italiana fornitori qualificati e accreditati (CAD, Art. 27) utilizzare personale dotato di conoscenze specifiche, esperienza e competenze necessarie (tecnologie firme elettroniche e procedure di sicurezza)

25 Requisiti dei fornitori dei servizi di trust: gestionali e di sicurezza Regolamento eidas fornitori qualificati e non (Art. 18) adottano misure tecniche e organizzative opportune per gestire i rischi sulla sicurezza dei servizi offerti in particolare, sono adottate misure per prevenire e minimizzare l impatto degli incidenti di sicurezza e informare le parti interessate degli effetti negativi di eventuali incidenti Normativa italiana fornitori qualificati e accreditati (CAD, Art. 27) dimostrare l'affidabilità organizzativa, tecnica e finanziaria applicare procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate

26 Requisiti dei fornitori dei servizi di trust: gestionali e di sicurezza [continua] Regolamento eidas fornitori qualificati e non (Art. 18) obbligo di notifica tempestiva all ente di vigilanza di violazioni di sicurezza o perdite di integrità con impatto significativo sui servizi forniti o sui dati personali custoditi (max entro 24 ore) se è probabile che la violazione o la perdita abbiano effetti negativi su una persona fisica o giuridica, occorre notificarle anche a quest ultima Normativa italiana fornitori qualificati e accreditati (CAD, Art. 32) garantire il corretto funzionamento e la continuità del sistema e comunicare immediatamente a AgID e agli utenti eventuali malfunzionamenti che determinano disservizio, sospensione o interruzione del servizio stesso

27 Requisiti dei fornitori dei servizi di trust: gestionali e di sicurezza [continua] Regolamento eidas fornitori qualificati e non (Art. 18) se violazione o la riguarda due o più Stati membri, l organismo di vigilanza notificato ne informa gli omologhi organismi negli altri Stati membri interessati e l Agenzia dell'unione europea per la sicurezza delle reti e dell informazione (ENISA) Normativa italiana

28 Requisiti dei fornitori dei servizi di trust: gestionali e di sicurezza [continua] Regolamento eidas fornitori qualificati e non (Art. 18) l organismo di vigilanza notificato informa il pubblico o impone al fornitore di servizi di farlo, se accerta che la divulgazione della violazione o della perdita sia nell interesse pubblico l organismo di vigilanza trasmette ad ENISA, una volta all anno, una sintesi delle notifiche di violazione ricevute dai fornitori di servizi Normativa italiana

29 Requisiti dei fornitori dei servizi di trust: gestionale e sicurezza [continua] Regolamento eidas fornitori qualificati (Art. 24) utilizzo di sistemi affidabili e prodotti protetti da alterazioni che garantiscono sicurezza tecnica e affidabilità del processo utilizzo di sistemi affidabili per memorizzare i dati ricevuti in modo verificabile (autenticità dei dati e controllo di accesso) adozione di misure adeguate contro le falsificazioni e i furti di dati Normativa italiana fornitori qualificati e accreditati (CAD, Art. 27) utilizzare sistemi affidabili e prodotti di firma protetti da alterazioni in conformità a criteri di sicurezza europei e internazionali e certificati secondo lo schema nazionale; adottare adeguate misure contro la contraffazione dei certificati

30 Requisiti dei fornitori dei servizi di trust: gestionale e sicurezza [continua] Regolamento eidas fornitori qualificati (Art. 24) informazione chiara e completa ai potenziali utilizzatori sulle condizioni esatte e sulle eventuali limitazioni di utilizzo dei servizi registrazione (anche in forma elettronica) e accesso a tutti i dati rilasciati e ricevute, le registrazioni e le informazioni relative per un congruo periodo di tempo, anche dopo la cessazione delle attività Normativa italiana fornitori qualificati e accreditati (CAD, Art. 32) informazione compiuta e chiara ai richiedenti su procedura, requisiti tecnici, caratteristiche e limitazioni d'uso delle firme emesse sulla base del certificato richiesto registrazione (anche elettronica) di tutte le informazioni relative al certificato qualificato dalla sua emissione per almeno 20 anni

31 Requisiti dei fornitori dei servizi di trust: gestionale e sicurezza [continua] Regolamento eidas fornitori qualificati (Art. 24) trattamento lecito dei dati personali a norma della direttiva 95/46/CE i fornitori di servizi di trust che rilasciano certificati qualificati, istituiscono una banca dati dei certificati e la tengono aggiornata Normativa italiana fornitori qualificati e accreditati (CAD, Art. 32) trattamento dei dati personali secondo il codice di protezione dei dati (d. lgs. 196, 30/6/ 2003) con informativa e consenso registro dei certificati solo le persone autorizzate possano effettuare inserimenti e modifiche consultazione del pubblico soltanto nei casi consentiti dal titolare del certificato

32 Requisiti dei fornitori dei servizi di trust che rilasciano certificati qualificati: registrazione Regolamento eidas fornitori qualificati (Art. 24) che rilasciano certificati qualificati devono verificare in modo opportuno l identità della persona fisica o giuridica presenza concreta a distanza con mezzi di id. elettronica rilasciati previa presenza concreta con certificato di FEQ/SEQ mezzi eq. a presenza fisica validi a livello nazionale Normativa italiana fornitori qualificati e accreditati (CAD, Art. 32) che rilasciano certificati qualificati devono provvedere con certezza ad identificare la persona che fa la richiesta sono responsabili dell'identificazione del soggetto che richiede il certificato qualificato di firma anche se tale attività è delegata a terzi

33 Requisiti dei fornitori dei servizi di trust che rilasciano certificati qualificati: revoca Regolamento eidas fornitori qualificati (Art. 24) quando decidono di revocare un certificato, registrano tale revoca nella loro banca dati dei certificati e pubblicano la situazione di revoca del certificato tempestivamente, ma in ogni caso entro 24 ore a decorrere dal ricevimento della richiesta; tale revoca diventa immediatamente effettiva all atto della pubblicazione Normativa italiana fornitori qualificati e accreditati (DPCM, Art. 22) inseriscono codice identif. del certificato qualificato in una delle liste di certificati revocati e sospesi (CRL) se revoca per compromissione della chiave privata pubblicazione tempestiva di lista di revoca aggiornata e comunicazione tempestiva al titolare e a terzi con data ed ora di revoca

34 Requisiti dei fornitori dei servizi di trust che rilasciano certificati qualificati: sospensione Regolamento eidas fornitori qualificati (Art. 27) certificato qualificato per firma perde validità durante sospensione temporanea sospensione registrata nella banca dati indicata dal servizio sulle informazioni di stato del certificato fatte salve le precedento condizioni, gli Stati membri possono fissare norme nazionali sulla sospensione temporanea dei certificati Normativa italiana fornitori qualificati e accreditati (DPCM, Art. 26) inseriscono codice identif. del certificato qualificato in una delle liste di certificati revocati e sospesi (CRL) pubblicazione tempestiva di lista di revoca aggiornata e comunicazione tempestiva al titolare e a terzi con data ed ora di inizio sospensione se la sospensione cessa, certificato valido mai sospeso

35 Inizio attività dei fornitori e richiesta status più elevato Regolamento eidas i fornitori non qualificati che vogliano essere qualificati (Art. 21) devono notificare allo organismo di vigilanza la loro intenzione con una relazione di valutazione della conformità emessa dal relativo organismo poi valutazione periodica al più ogni 24 mesi (Art. 16) se rispettato il Regolamento concesso status di qualificato aggiornata lista di fiducia Normativa italiana i fornitori qualificati (CAD, Art. 27) devono notificare ad AgID l inizio dell attività verifica a posteriori dei requisiti da parte di AgID i fornitori qualificati che vogliano essere accreditati (CAD, Art. 29) devono presentare domanda di accreditamento ad AgID se accolta, il fornitore viene inserito nell elenco pubblico dei certificatori accreditati

36 Marchio di fiducia per i servizi di trust di più alto livello Regolamento eidas Marchio di fiducia UE (Art. 23) i fornitori di servizi di trust qualificati, una volta inseriti nelle liste di trust possono usare il marchio di trust UE per i servizi di trust qualificati ( Trustmark ) il marchio che sarà definito dalla Commissione Europea potrà essere esibito sul sito web del fornitore, con un link alla lista di trust Normativa italiana

37 Sintesi nuove opportunità in Italia offerte dal regolamento eidas nuova fattispecie: sigillo elettronico (creazione, verifica e convalida) nuovi servizi di trust (qualificati e non) : creazione, verifica e convalida di firme elettroniche, sigilli elettronici verifica di firma e creazione/verifica sigillo remote (server side) validazioni temporali elettroniche verifica remota! (server side) servizi elettronici di recapito certificato diversi dalla posta certificata creazione, verifica e convalida di certificati di autenticazione di siti web conservazione di firme, sigilli o certificati elettronici relativi ai servizi di trust (in aggiunta alla conservazione dei documenti) trustmark!

38 Sintesi nuovi vincoli in Italia imposti dal regolamento eidas obbligo di valutazione preventiva e certificazione di conformità del fornitore da parte di enti preposti prima che il fornitore di servizi di trust possa acquisire lo status di qualificato valutazione/certificazione periodica, al più ogni 24 mesi; onere a carico del fornitore di servizi obbligo di un piano di continuità per il fornitore in caso di cessazione le violazioni di sicurezza saranno comunicate all ENISA dall ente di vigilanza (sarà l AgID per l Italia)

39 Confronto tra Regolamento eidas e Normativa Italiana sui servizi di trust Regolamento eidas sigillo elettronico creazione e validazione firme, sigilli (e marche) server side conservazione firme, sigilli e certificati obbligo certificaz. fornitore obbligo piano continuità notifica Violazioni ad ENISA recapito certificato Sovrapposizione/conflitto creazione certificati e marche temporali creazione firme server side PEC conservazione documenti Normativa Italiana

40 SPID 40

41 SPID - 1 Art. 17-ter del Decreto del Fare. Sistema Pubblico per la gestione dell Identità Digitale di cittadini e imprese. Si modifica il comma 2 dell articolo 64 del CAD (Modalità di accesso ai servizi in rete erogati dalle pubbliche amministrazioni). Continuano a vivere la CIE e la CNS (che dovrebbero essere sostituite, per accorpamento, dal Documento Unificato Digitale). 41

42 SPID - 2 Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell Agenzia per l Italia digitale, secondo modalità definite con il decreto di cui al comma 2-sexies, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete, ovvero, direttamente, su richiesta degli interessati. Progetto molto ambizioso che fa evolvere il sistema di identità federata (GFID) del Sistema Pubblico di Connettività (SPC). 42

43 SPID - 3 Ai fini dell erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell identità digitale dei propri utenti. L adesione al sistema SPID per la verifica dell accesso ai propri servizi erogati in rete per i quali è richiesto il riconoscimento dell utente esonera l impresa da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell articolo 17, del decreto legislativo 9 aprile 2003, n. 70. Il decreto legislativo riguarda il commercio elettronico ed è il recepimento della direttiva UE 2000/31/CE. 43

44 Architettura dello SPID Il richiedente il servizio viene validato da un identity provider che a sua volta è stato qualificato da AgID (Agenzia per l Italia Digitale). All identity provider può associarsi un attribute provider. Questo soggetto gestisce i ruoli, le iscrizioni ad albi, ordini, ecc. Anche esso è qualificato da AgID. Il modello generale dello SPID è tecnologicamente neutro ma deve tenere necessariamente conto dell identità federata del Sistema Pubblico di Connettività e delle decine di milioni di smart card disponibili sul territorio italiano. Si prevede una partenza entro un anno (recente dichiarazione del Presidente del Consiglio). 44

45 SPID - 1 Art. 64. Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni 1.La carta d'identità elettronica e la carta nazionale dei servizi costituiscono strumenti per l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l'identificazione informatica. 2.Le pubbliche amministrazioni possono consentire l'accesso ai servizi in rete da esse erogati che richiedono l'identificazione informatica anche con strumenti diversi dalla carta d'identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano l'individuazione del soggetto che richiede il servizio. Con l'istituzione del sistema SPID di cui al comma 2-bis, Le pubbliche amministrazioni possono consentire l'accesso in rete ai propri servizi solo mediante gli strumenti di cui al comma 1, ovvero mediante servizi offerti dal medesimo sistema spid. L'accesso con carta d'identità elettronica e carta nazionale dei servizi è comunque consentito indipendentemente dalle modalità di accesso predisposte dalle singole amministrazioni. 2-bis. Per favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell'agenzia per l'italia digitale, il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID). 45

46 SPID - 2 Art. 64. Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni 2-ter Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'agenzia per l'italia digitale, secondo modalità definite con il decreto di cui al comma 2-sexies, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete, ovvero, direttamente, su richiesta degli interessati. 2-quater. Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo le modalità definiti con il decreto di cui al comma 2-sexies. 2-quinquies. Ai fini dell'erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell'identità digitale dei propri utenti. L'adesione al sistema SPID per la verifica dell'accesso ai propri servizi erogati in rete per i quali è richiesto il riconoscimento dell'utente esonera l'impresa da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell'articolo 17 del decreto legislativo 9 aprile 2003, n

47 SPID - 3 Art. 64. Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni 2-sexies. Con decreto del Presidente del Consiglio dei ministri, su proposta del Ministro delegato per l'innovazione tecnologica e del Ministro per la pubblica amministrazione e la semplificazione, di concerto con il Ministro dell'economia e delle finanze, sentito il Garante per la protezione dei dati personali, sono definite le caratteristiche del sistema SPID, anche con riferimento: a)al modello architetturale e organizzativo del sistema; b)alle modalità e ai requisiti necessari per l'accreditamento dei gestori dell'identità digitale; c) agli standard tecnologici e alle soluzioni tecniche e organizzative da adottare anche al fine di garantire l'interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell'identità digitale nei riguardi di cittadini e imprese, compresi gli strumenti di cui al comma 1; d)alle modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete; e)ai tempi e alle modalità di adozione da parte delle pubbliche amministrazioni in qualità di erogatori di servizi in rete; f) alle modalità di adesione da parte delle imprese interessate in qualità di erogatori di servizi in rete. 47

48 RUOLI ALL INTERNO DI SPID Gestori dell identità digitale Ottengono l accreditamento Verificano l identità degli utenti utilizzando anche i servizi previsti da apposita convenzione Assegnano e gestiscono l identità digitale Rendono disponibili e gestiscono gli attributi dell utente Rendono disponibile gratuitamente alle pubbliche amministrazioni il servizio di autenticazione Possiedono requisiti organizzativi e societari sostanzialmente uguali a quelli necessari per l accreditamento dei certificatori di firma digitale. 48

49 RUOLI ALL INTERNO DI SPID - 2 Fornitori di servizi Ottengono l accreditamento Inoltrano le richieste di identificazione informatica dell utente ai gestori dell identità digitale Non discriminano gli utenti in base al gestore dell identità digitale che l ha fornita Sono liberi di scegliere il livello di sicurezza delle identità digitali necessari per accedere allo specifico servizio Sottoscrivono la convenzione predisposta Soddisfano gli obblighi di cui all'articolo 17, comma 2, del decreto legislativo 9 aprile 2003, n. 70 con la comunicazione del codice identificativo dell identità digitale utilizzata dall utente Possono fruire di servizi di autenticazione offerti dai gestori di identità UE 49

50 RUOLI ALL INTERNO DI SPID - 3 Gestori di attributi qualificati Ottengono l accreditamento Attestano il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi, previo consenso degli utenti interessati 50

51 RUOLI ALL INTERNO DI SPID - 4 Agenzia per l Italia Digitale Accredita e vigila i gestori di identità Accredita e vigila i gestori di attributi qualificati Stipula Convenzioni Vigila sul rispetto delle convenzioni Gestori di identità Gestori di attributi qualificati Fornitori di servizi Gestisce e pubblica il registro SPID contenente l elenco dei soggetti abilitati a operare in qualità di gestori dell identità digitale, di gestori degli attributi qualificati e di fornitori di servizi Mantiene aggiornati i regolamenti attuativi Fonte AgID 51

52 VERIFICA IDENTITA SPID PER LA VERIFICA DI IDENTITA DI UN RICHIEDENTE CREDENZIALI SPID: a) identificazione tramite esibizione a vista di un valido documento d identità da parte del soggetto richiedente, il quale sottoscrive il modulo di adesione allo SPID; b) identificazione informatica tramite documenti di identità di tipo digitale, validi ai sensi di legge, che prevedono il riconoscimento a vista del richiedente all atto dell attivazione (TS-CNS, CNS, CRS, Ate, ecc.); c) Identificazione informatica tramite altra identità digitale di tipo SPID con livello di sicurezza pari o superiore a quella oggetto della richiesta; d) acquisizione del modulo di adesione allo SPID sottoscritto con firma elettronica qualificata o con firma digitale; e) identificazione informatica per mezzo di sistemi informatici preesistenti all introduzione dello SPID che risultino aver adottato, a seguito di apposita istruttoria dell Agenzia, regole di identificazione informatica caratterizzate da livelli di sicurezza uguali o superiori a quelli definiti nel presente decreto. 52

53 GESTIONE DOCUMENTAZIONE I gestori dell identità digitale conservano per 20 anni: copia per immagine del documento di identità esibito il modulo sottoscritto dal richiedente l identità digitale copia del log nel caso di uso di altre modalità previste/autorizzate 53

54 ATTRIBUTI NELLO SPID attributi identificativi: nome, cognome, luogo e data di nascita, sesso, ovvero ragione o denominazione sociale, sede legale, nonché il codice fiscale e gli estremi del documento d identità utilizzato ai fini dell identificazione; attributi non identificativi: il numero di telefonia mobile, l indirizzo di posta elettronica, il domicilio fisico e digitale, nonché eventuali altri attributi individuati dall Agenzia; attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati. Possono essere già contenuti nell identità digitale. 54

55 SPID IDENTITÀ DIGITALE Codice identificativo Attributi identificativi Identità digitale Attributi non identificativi Eventuali attributi qualificati Fonte AgID 55

56 Livelli di sicurezza in SPID Livelli di sicurezza delle identità digitali Primo livello: corrispondente al Level of Assurance LoA2 dello standard ISO/IEC 29115, il gestore dell identità digitale rende disponibili sistemi di autenticazione informatica a un fattore (per esempio la password), secondo quanto previsto dal presente decreto e dai regolamenti di cui all articolo 4. Secondo livello: corrispondente al Level of Assurance LoA3 dello standard ISO/IEC 29115, il gestore dell identità digitale rende disponibili sistemi di autenticazione informatica a due fattori, non basati necessariamente su certificati digitali le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente decreto e dai regolamenti di cui all articolo 4. Terzo livello: corrispondente al Level of Assurance LoA4 dello standard ISO/IEC 29115, il gestore dell identità digitale rende disponibili sistemi di autenticazione informatica a due fattori basati su certificati digitali, le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo. 56

57 SPID - LIVELLI DI SICUREZZA INDIVIDUAZIONE DEL LIVELLO DI SICUREZZA DEGLI STRUMENTI L Agenzia valuta e autorizza l uso degli strumenti e delle tecnologie di autenticazione informatica consentiti per ciascun livello, nonché i criteri per la valutazione dei sistemi di autenticazione informatica e la loro assegnazione al relativo livello di sicurezza. I gestori dell identità digitale rendono pubbliche le decisioni dell Agenzia. 57

58 Infrastruttura SPID 1 1. Richiesta di servizio 2 2. Inoltro verso Identity provider Utente 5 Servizio 3. Richiesta credenziali 3 4. Verifica credenziali 4 5. Rendirizzamento verso il service provider con asserzione di autenticazione Identity Provider Fonte AgID 58

59 Infrastruttura SPID 1 1. Richiesta di servizio 2 2. Inoltro verso Identity provider Utente Servizio 6 3. Richiesta credenziali 4. Verifica credenziali 5. Rendirizzamento verso il service provider con asserzione di autenticazione Attribute Authority 6. Richiesta attributi Identity Provider 7. Risposta contenente certificazione attributi Fonte AgID 59

60 Specifiche SPID Le specifiche proposte (FONTE AgID) sono quelle già previste per l identity Provider dal modello GIFID di SPC. Il funzionamento dell Identity provider è quello previsto da SAML v2 per il profilo Web Browser SSO ([SAML-TechOv] sez. 4.1) Devono essere previste le due versioni SP-Initiated : Redirect/POST binding e POST/POST binding. in cui il meccanismo di autenticazione è innescato dalla richiesta inoltrata dall utente (tramite il suo User Agent) ad un Service Provider, il quale a sua volta si rivolge opportunamente all autorità di certificazione d identità in modalità pull. La richiesta di autenticazione SAML (basata sul costrutto <AuthnRequest>) può essere inoltrata da un Relying Party all Identity Provider usando il binding HTTP Redirect o il binding HTTP POST. La relativa risposta SAML (basata sul costrutto <Response>) può invece essere inviata dall Identity Provider al Relying Party solo tramite il binding HTTP POST. Specifiche delle interfacce riporteranno dettagliatamente (Fonte AgID): Le caratteristiche delle asserzioni prodotte Le caratteristiche delle AuthnRequest e della AuthnResponse Le caratteristiche del binding I metadati. 60

61 SAML vs SPID SP- Initiated SSO: Redirect / POST Bindings Service Provider Identity Provider Resource Access check Assertion Consumer Service Single Sign-On Service Access resource Supply resource Redirect with <AuthnRequest> POST signed <Response> Signed <Response> in HTML form GET using <AuthnRequest> User login Challenge for credentials Browser User or UA action User or UA action Fonte AgID 61

62 Documento Digitale Unificato Abbiamo uno schema di Decreto notificato in UE. I nuovi comandi del sistema operativo (APDU) per i microchip. L architettura funzionale di riferimento. Tempi chiarissimi e possibili conflitti con una elevata emissione di Carte Nazionali dei Servizi (TS-CNS). 62

63 DDU STRUTTURA DEL DOCUMENTO Unificazione delle funzioni di Carta d Identità Elettronica, Carta Nazionale dei Servizi, Tessera Sanitaria, Codice Fiscale. Per motivi di spazio scompare dalla TS la parte di Tessera Europea di Assicurazione Malattia. Il documento contiene la parte relativa al documento di viaggio conforme al passaporto elettronico (funzione contactless). Nello schema di DPCM viene riportato il nuovo dettaglio del layout. 63

64 DDU CIRCUITO DI EMISSIONE Non c è emissione a vista. I soggetti coinvolti sono IPZS, SOGEI e ovviamente i Comuni. Viene utilizzata l Anagrafe Nazionale della Popolazione Residente (ANPR). SOGEI si occupa dell infrastruttura generale, IPZS dell emissione e della gestione carta valori. I Comuni della raccolta dati, richiesta emissione, ecc. 64

65 DDU QUALCHE DETTAGLIO E possibile richiedere (con sovrattassa) l emissione in tre giorni. Il documento può essere spedito a domicilio con sovrattassa. Quindi il documento si richiede al Comune e si ritorna per il ritiro. Le altre questioni rimangono pressoché identiche. 65

66 Considerazioni finali La grande diffusione dei servizi in rete aumenta l esigenza di una diffusa e affidabile identità digitale per i cittadini da utilizzare per i servizi della PA che per quelli privati. Il modello che si è diffuso sino ad oggi è quello del «un servizio una specifica identità». La tendenza Europea è quella di affidare la gestione dell identità agli Stati Membri e propagarla, in modo interoperabile, all interno dell offerta di servizi in rete. In Europa entro un paio di anni ci sarà un UNICO modello obbligatorio per TUTTI gli Stai Membri. In Italia sta partendo lo SPID che sembra voler convergere verso il modello Europeo. 66

67 Contatti Giovanni Manca