SPID (Sistema Pubblico di Identità Digitale) – il sito ufficiale – è il nuovo sistema di accesso ai servizi online che nasce con l’obiettivo di semplificare il rapporto tra cittadini, Pubblica Amministrazione e imprese. Il sistema di accesso con credenziali uniche promosso dall’AgID (Agenzia per l’Italia Digitale) permette di accedere ai servizi online della Pubblica Amministrazione e delle aziende private che hanno già aderito e che aderiranno alla piattaforma. L’emissione delle prime Identità Digitali è iniziata lo scorso 15 marzo e il Governo ritiene che saranno 3 milioni i cittadini dotati di SPID entro la fine del 2016 e 10 milioni entro la fine del 2017. Il progetto prevede, inoltre, che a partire dal febbraio del 2018 tutte le amministrazioni italiane abbiano aderito alla piattaforma e permettano di utilizzare il sistema di accesso certificato SPID.
SPID è il progetto italiano che rientra nel perimetro di quello europeo eIDAS (electronic IDentification Authentication and Signature) formalizzato con il regolamento pubblicato il 28 agosto del 2014 nella Gazzetta Ufficiale dell’Unione Europea. Il regolamento eIDAS è nato con lo scopo di fornire un quadro giuridico generale per l’impiego dei servizi fiduciari e garantire che per accedere ai servizi online transfrontalieri si possa disporre di un’identificazione e un’autenticazione elettronica sicura; per questi motivi lo stesso regolamento non interviene in merito ai sistemi di gestione dell’identità elettronica e alle infrastrutture istituite dagli Stati membri.
Il Governo, attraverso l’Agenzia per l’Italia Digitale ha sviluppato un portale che ha lo scopo di spiegare e introdurre i cittadini allo strumento SPID. Di seguito riportiamo un video che spiega (in modo forse fin troppo semplice e senza dettagli, ndr) quali sono gli scopi e i possibili vantaggi derivanti dall’utilizzo del Sistema Pubblico di Identità Digitale.
Cos’è SPID nella pratica
L’identità SPID è di fatto una combinazione di un nome utente e di una (o più) password complessa che ogni cittadino può ottenere attraverso uno dei provider certificati: al momento i soggetti abilitati al rilascio delle credenziali SPID sono Poste Italiane, TIM e InfoCert.
Una volta che si è in possesso della propria identità SPID, si potrà utilizzare tali credenziali per accedere ai siti e portali di enti pubblici e privati che aderiscono alla piattaforma SPID e sfruttarne i relativi servizi. Alcuni di questi, in particolare i più delicati dal punto di vista della sicurezza e della privacy, saranno protetti attraverso un processo di autenticazione di livello più elevato (il riferimento a più password, ndr) rispetto a quello base. La piattaforma SPID, infatti, prevede tre diversi livelli di sicurezza.
Tre livelli di sicurezza di SPID
Durante la progettazione della piattaforma SPID è stato deciso di implementare tre diversi livelli di sicurezza che si riflettono in altrettante tipologie di Identità Digitale, ciascuna delle quali corrisponde a un crescente livello di sicurezza.
La prima tipologia – SPID Livello 1 – è una combinazione semplice di nome utente e password che permette di accedere a tutti i servizi di base. La seconda tipologia – SPID Livello 2 – prevede l’utilizzo di una seconda password temporanea – comunemente chiamata password one time – che l’utente può ottenere dal fornitore del servizio, ad esempio, attraverso un sms inviato al proprio cellulare nel momento in cui richiede l’accesso o l’esecuzione di un particolare servizio (pagamenti, operazioni bancarie, eccetera). La terza tipologia – SPID Livello 3 – richiede, oltre al nome utente e alla password, anche l’utilizzo di un dispositivo di autenticazione specifico (lettore di smart card o, magari in futuro, anche di parametri biometrici).
Come si richiede e ottiene la propria identità SPID
I tre provider certificati fino a questo momento (Poste Italiane, TIM e InfoCert) hanno attivato modalità diverse per fornire l’Identità Digitale al cittadino che ne fa richiesta. Il numero dei fornitori abilitati al rilascio di SPID è destinato a crescere, anche se a tal proposito non sono ancora stati forniti dati o previsioni specifiche da parte del Governo.
Con TIM è necessario andare sul portale www.nuvolastore.it e registrarsi per ottenere un TIMid. Per portare a termine la registrazione è necessario possedere uno di questi tre documenti di riconoscimento: la Carta Nazionale dei Servizi o, in alternativa, la Carta di Identità Elettronica oppure una Firma Digitale.
Entro fine anno TIM abiliterà anche alcuni punti vendita fisici per fornire l’identità di persona a fronte della presentazione di normali documenti di identità cartacei.
Con Poste Italiane è necessario collegarsi al portale www.poste.it ed entrare nell’apposita sezione che permette di richiedere un PosteID. Anche in questo caso è necessario disporre della Carta Nazionale dei Servizi, della Carta d’Identità Elettronica, della Firma Digitale oppure essere clienti di Poste Italiane. In quest’ultimo per perfezionare l’emissione del PosteID sarà richiesto l’utilizzo di uno degli strumenti di identificazione dedicati ai servizi di Poste Italiane: lettore BancoPosta, numero di telefono certificato su carta Postepay o Libretto Smart, oppure, APP PosteID. Poste Italiane consente già in 360 uffici – in futuro sarà possibile eseguire l’operazione in tutti i punti di Poste Italiane – di fare richiesta a fronte di documenti d’identità cartacei e in futuro consentirà di ricevere tramite postino le proprie credenziali PosteID.
Con InfoCert è necessario andare sul portale https://identitadigitale.infocert.it dove è possibile ottenere l’Identità Digitale tramite riconoscimento via webcam (il costo è di 15 euro) oppure con la Carta Nazionale dei Servizi, con la Carta d’Identità Elettronica o con la Firma Digitale. In alternativa è possibile presentarsi presso un ufficio Infocert di persona, ma per il momento solo nelle città di Milano, Padova o Roma.
La prova con PosteID
Ho provato a richiedere il mio SPID attraverso il portale di Poste Italiane. Come cliente di uno dei servizi di Poste Italiane ho avviato la procedura durante la quale è stato necessario fornire: gli estremi del documento di riconoscimento (Carta d’Identità cartacea), un indirizzo di posta elettronica da utilizzare come nome utente (l’indirizzo viene verificato durante la procedura stessa attraverso un codice di sicurezza inviato alla casella di posta e da inserire nel form di richiesta online), una password (effettivamente e fortunatamente viene richiesta una password decisamente robusta, ndr), un indirizzo mail (anche diverso dal nome utente) al quale essere contattati in caso di necessità e il numero di telefono già certificato con Poste Italiane.
Dopo l’accettazione delle clausole obbligatorie per l’emissione dello SPID fate molta attenzione a quelle libere per la profilazione dell’utente e per scopi promozionali (io le evito sempre, ndr).
Una volta completata la richiesta dovrete attendere la mail di conferma all’interno della quale troverete una copia in formato Pdf del contratto di sottoscrizione con riportati i dati dei documenti d’identità che avete fornito e i codici di sospensione immediata (pensatele come il numero di telefono da chiamare per bloccare la carta di credito o il bancomat, ndr) che vi serviranno per sospendere le credenziali di accesso in caso vi fossero sottratte in modo fraudolento.
Quanto costa l’identità digitale SPID?
L’identità digitale SPID sarà gratis per i primi due anni dal momento dell’emissione, eccetto per quelle modalità di attivazione che, come abbiamo scritto poco sopra, prevedono un costo di attivazione specifico (come il riconoscimento via web di InfoCert o via postini a domicilio con Poste Italiane). Gli attuali fornitori abilitati al rilascio dell’identità digitale non hanno ancora deciso se allo scadere dei due anni faranno pagare ai cittadini le credenziali SPID, anche se al momento l’intenzione è quella di mantenere l’identità digitale SPID gratuita per i cittadini e a pagamento per le aziende che aderiscono alla piattaforma.
Dove è possibile utilizzare SPID?
Per il momento le possibilità di utilizzo delle credenziali SPID è ancora limitato, ma siamo solo a poche settimana dal lancio ufficiale della piattaforma. I cittadini in possesso dell’Identità Digitale possono accedere a circa 300 servizi offerti da pubbliche amministrazioni centrali (Agenzia delle Entrate, INPS, INAIL), Regioni (Piemonte, Friuli Venezia Giulia, Emilia Romagna, Liguria, Toscana, Marche) e Comuni (Firenze). Entro giugno 2016 saranno 600 i servizi abilitati e si aggiungeranno nuove amministrazioni centrali (Equitalia), nuovi Comuni (Venezia e Lecce) e nuove Regioni (Lazio e Umbria). Entro il febbraio 2018, come abbiamo detto in apertura, tutte le Pubbliche Amministrazioni saranno obbligate a permettere l’accesso ai propri servizi attraverso lo strumento SPID con costi di identificazione gratuiti. In questo lasso di tempo di circa 24 mesi dovrebbero aggiungersi all’elenco anche i primi fornitori di servizi privati, al momento non è stato ancora annunciato nessuno, come ad esempio istituti bancari e negozi che operano nel commercio elettronico (e-commerce).
Perché SPID? non bastavano gli altri documenti elettronici d’identità ?
Se vi state chiedendo perché il Governo abbia deciso di lanciare il servizio SPID, non siete certo gli unici ad esservi posti la domanda, soprattutto perché per ottenere le proprie credenziali SPID è necessario, almeno per il momento, disporre di un documento d’identità che è già in formato elettronico (Carta Nazionale dei Servizi, Carta d’Identità Elettronica o Firma Digitale).
La Carta d’Identità Elettronica (CIE) servirà come documento fisico per il riconoscimento al posto di quelle cartacee che non sono più compatibili con la normativa europea e che saranno quindi progressivamente sostituite con la loro versione elettronica. La Carta Nazionale dei Servizi (CNS) resta comunque in vita e permetterà l’accesso ai servizi degli enti locali in parallelo allo strumento SPID che, nell’ottica di chi lo ha ideato, dovrebbe essere più comodo proprio per la sua possibilità di essere utilizzato sia da enti della Pubblica Amministrazione (locale e nazionale) sia da soggetti privati, perché è completamente digitale e perché molti soggetti non accettano la CNS (che richiede anche un lettore di smartcard) come documento valido per l’accesso ai servizi.