SPID Sistema Pubblico di Identità Digitale Evento Cittadinanza digitale 24-25 ottobre 2017 INFORMATION COPYRIGHT INFOCERT 1
InfoCert 4 Uffici 230 Dipendenti 52 Milioni di fatturato nel 2016 5 Brevetti nel 2016 60 50 40 30 20 10 0 EBITDA CAGR +23% 25 32 41 47 52 2012 2013 2014 2015 2016 International working groups: ETSI European Telecommunication Standard Institute DTCE - Digital Trust and Compliance Europe ISO Certifications: INFORMATION COPYRIGHT INFOCERT 2
Identity Provider SPID InfoCert è Identity Provider INFORMATION COPYRIGHT INFOCERT 3
Identità Digitale INFORMATION COPYRIGHT INFOCERT 4
Identità Digitale Image from The New Yorker cartoon by Peter Steiner, 1993 INFORMATION COPYRIGHT INFOCERT 5
Identità Digitale Image from The New Yorker cartoon by Kaamran Hafeez, 2015 INFORMATION COPYRIGHT INFOCERT 6
Identità Digitale: una definizione L Identità Digitale è la rappresentazione virtuale dell'identità reale, che può essere usata durante interazioni elettroniche con persone o macchine: rappresenta un fattore abilitante per accedere ad una serie di servizi online. È costituita dall'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore dello stesso(autorizzazione), che può accedervi in seguito a un processo di identificazione(autenticazione). L identità digitale si compone di due parti: chi uno è(identità); le credenziali associate a tale identità(autenticazione). INFORMATION COPYRIGHT INFOCERT 7
Identità Digitale Ogni persona ha dei frammenti di identità digitale sparse su diversi siti web a seconda di come agisce (dipendente, cliente o cittadino) CITIZEN GOVERNMENT T Servizie-gov, servizisanità, firma digitale CUSTOMER EMPLOYEE COMPANIES EMPLOYER Account Banca, payment services, e-commerce, e-mail, social networks e-mail, PEC, portali, applicazioni, credenziali, badge, INFORMATION COPYRIGHT INFOCERT 8
Identità Digitale Ogni persona ha dei frammenti di identità digitale sparse su diversi siti web a seconda di come agisce (dipendente, cliente o cittadino) SPID parte dalle esperienze già presenti, ne seleziona le più affidabili (trust) e lavora verso la costruzione di una infrastruttura unitaria e trasversale CITIZEN GOVERNMENT T Servizie-gov, servizisanità, firma digitale CUSTOMER EMPLOYEE COMPANIES EMPLOYER Account Banca, payment services, e-commerce, e-mail, social networks e-mail, PEC, portali, applicazioni, credenziali, badge, INFORMATION COPYRIGHT INFOCERT 9
Il Sistema Pubblico per l Identità Digitale È il sistema Pubblico dell Identità digitale, previsto per legge(cad e DPCM 24/10/2014). E un sistema per il rilascio e la gestione di Identità Digitale che i cittadini e le imprese dovranno utilizzare per accedere a tutti i servizi erogati dalla PA in rete, tramite la verifica della propria identità e di eventuali attributi qualificati. Le imprese private possono utilizzare SPID come sistema di accesso dei propri utenti ai servizi on line, acquisendo la qualifica di Service Provider privati. Il rilascio e la gestione dell ID SPID e dei suoi attributi qualificati possono essere effettuati unicamente da soggetti accreditati da AgID. È uno dei pilastri fondamentali dell Agenda Digitale Italiana e del Piano triennale 2017-2019 per l informatica della PA. eid uno dei pilastri fondamentali della strategia europea sulla crescita del mercato digitale per mezzo del recente regolamento eidas. INFORMATION COPYRIGHT INFOCERT 10
SPID: framework normativo INFORMATION COPYRIGHT INFOCERT 11
SPID: la roadmap DPCM Caratteristiche sistema Spid 24/10/2014 Richieste di accreditamento 15/09/2015 Convenzioni AgID adesione SPID (InfoCert è il primo IdP) 17/02/2016 28/07/2015 Regole tecniche AgID 19/12/2015 +24 mesi Accreditamento IdP InfoCert Termine adesione per i SP PA INFORMATION COPYRIGHT INFOCERT 12
SPID: gli attori del sistema Utente:titolare dell Identità Digitale, colui che accede ai servizi digitali erogati da un Fornitore di Servizi, tramite una Identità Digitale personale o giuridica Fornitore di Servizi: è il soggetto privato o la pubblica amministrazione che eroga servizi via Internet per cui è richiesta una identificazione e autenticazione degli utenti Gestore dell Identità Digitale: la persona giuridica che crea, rende disponibili e gestisce gli attributi utilizzati dall utente al fine di dimostrare la propria Identità digitale Gestore di attributi qualificati: enti aventi per legge l obbligo di certificare il possesso e la validità di attributi qualificati, abilitazioni professionali, poteri di rappresentanza o altri attributi Agenzia per l Italia Digitale: emette il Regolamento Attuativo, accredita i Gestori dell identità Digitale e i Gestori di Attributi Qualificati, pubblica il registro e vigila sulle attività degli operatori INFORMATION COPYRIGHT INFOCERT 13
SPID: il processo di autenticazione INFORMATION COPYRIGHT INFOCERT 14
SPID: un esempio di accesso ai servizi INFORMATION COPYRIGHT INFOCERT 15
SPID: un esempio di accesso ai servizi INFORMATION COPYRIGHT INFOCERT 16
SPID: un esempio di accesso ai servizi INFORMATION COPYRIGHT INFOCERT 17
SPID: un esempio di accesso ai servizi INFORMATION COPYRIGHT INFOCERT 18
SPID: un esempio di accesso ai servizi INFORMATION COPYRIGHT INFOCERT 19
SPID: un esempio di accesso ai servizi INFORMATION COPYRIGHT INFOCERT 20
SPID: livelli di sicurezza La correlazione tra Identità Digitale e Utente è garantita da un processo di riconoscimento forte con l associazione di credenziali con un livello di sicurezza crescente Livello 1: Sistemi di autenticazione ad 1 fattore (ad esempio Password) Livello 2: Sistemi di autenticazione a 2 fattori (ad esempio OTP SMS; APP OTP in 2 versioni ; Token OTP;.) Livello 3: Sistemi di autenticazione a 2 fattori con utilizzo di certificati e dispositivi di criptazione a doppia chiave (es. Smart card e Cert. Auth.) INFORMATION COPYRIGHT INFOCERT 21
SPID - Primo livello di sicurezza Buon grado di affidabilità. Per autenticarsi bastano Nome Utente e Password. Livello 1 è adeguato per utenti che sono iscritti ad un sito ma senza la possibilità di eseguire operazioni dispositive. Basso impatto in caso di furto delle credenziali. Corrispondente al Level of Assurance LoA2 dello standard ISO/IEC DIS 29115 INFORMATION COPYRIGHT INFOCERT 22
SPID - Secondo livello di sicurezza Alto grado di affidabilità. Per autenticarsi è necessario: Nome Utente e Password; Codice OTP. Livello 2 è adeguato per utenti che accedono ad informazioni che hanno creato, o per utenti che per motivazioni professionali possono ad trattare informazioni di soggetti terzi (es. pagamento tasse e tributi). Danno consistente in caso di furto delle credenziali. Corrispondente al Level of Assurance LoA3 dello standard ISO/IEC DIS 29115 INFORMATION COPYRIGHT INFOCERT 23
SPID -Terzo livello di sicurezza Altissimo grado di affidabilità. Per autenticarsi è necessario: Nome Utente e Password; Dispositivo di autenticazione sicuro. Livello 3 è necessario per utenti che sulla base di ruoli/responsabilità possono accedere ad informazioni di tipo riservato. Grave danno in caso di furto delle credenziali. Corrispondente al Level of Assurance LoA4 dello standard ISO/IEC DIS 29115 INFORMATION COPYRIGHT INFOCERT 24
SPID: opportunità nel CAD Accesso ai servizi on line delle PA Entro il 17 febbraio 2018 tutte le Pubbliche Amministrazioni dovranno adeguare i propri servizi online all accesso con SPID Preminenza rispetto a CNS e CIE (cfr. art. 64 comma 2- nonies e 65 comma 1) Istanze e dichiarazioni presentate alla PA Valide se trasmesse attraverso SPID (cfr. 65 comma 1, lett. B) Atto giuridico Il comma 2-septies dell art. 64 permette al soggetto identificato con SPIDdi compiere un atto giuridico se il processo è in grado di raccogliere in modo manifesto e inequivoco la volontà PagoPA L art. 5 potenzia l epayment, in linea con la PSD2, richiedendo l integrazione dei micropagamenticon il traffico telefonico e al comma 2 facilita l autenticazione SPID per pagamenti verso la PA GRUPPO TECNOINVESTIMENTI Information Copyright InfoCert 25
SPID: principali benefici INFORMATION Information COPYRIGHT Copyright InfoCert INFOCERT 26
SPID: i numeri http://www.agid.gov.it/monitoraggio#spid INFORMATION COPYRIGHT INFOCERT 27
denny.bellotto@infocert.it www.infocert.it INFORMATION COPYRIGHT INFOCERT 28