SPID: le nuove identità digitali dopo la riforma del CAD

SPID: le nuove identità digitali dopo la riforma del CAD
Relatori: Gianluca Satta & Massimo Farina
SPID: le nuove identità digitali
dopo la riforma del CAD
Gianluca Satta
Massimo Farina

DirICTo è un network che raggruppa esperti e studiosi, di tutta l’Italia, in
materia di Diritto dell’Informatica e dell’Informatica Giuridica
Web site: www.diricto.it
ICT for Law and Forensics è il laboratorio di Informatica Forense del
Dipartimento di Ingegneria Elettrica e Elettronica dell’Università di Cagliari
Web site: ict4forensics.diee.unica.it
Chi siamo

Cosa è l’identità digitale?
A cosa serve un’identità digitale?
Esiste un diritto all’identità digitale?
L’identit{ digitale
3

“The essential and unique characteristics of
an entity are what identify it.”
H. Abelson e L. Lessig, Massachusetts Institute ofTechnology
“A Digital Identity is a virtual representation of a real identity
that can be used in electronic interactions with other
machines or people.”
E. Norlin e A. Durand, “Federated Identity Management”,
Whitepaper on towards federated identity management
Non è facile dare una definizione esaustiva
Cosa è l’identit{ digitale?
4

“The value of Digital Identity is that it allows us to transpose the ease and
security human interactions once had when we knew each other or did
business face-to-face, to a machine environment where we are often
meeting one another (virtually) for the first time in transactions which
might span vast distances.”
E. Norlin e A. Durand, “Federated Identity Management”,
Whitepaper on towards federated identity management
Identità fisica vs Identità digitale
A cosa serve un’identit{ digitale?
Il valore dell’Identit{ Digitale come strumento per trasporre (comodità e
sicurezza) tipiche delle interazioni umane, in un ambiente di macchine dove
spesso ci si incontra virtualmente per la prima volta, nell’ambito di transazioni tra
soggetti fisicamente molto distanti
5

REAL LIFE
Interazioni umane:
- Agevoli
- Sicure
- Faccia a faccia
VIRTUAL LIFE
Interazioni tra
macchine:
- Distanza
- Incertezza
- Insicure
Identità fisica
vs
Identità digitale
6

Unica
Univoca
Identità
fisica Distribuite
(le informazioni sono
dislocate in diversi
punti della rete)
Possono essere
associate più ID
a ciascuna
persona fisica
Identità
digitale
Identità fisica vs Identità digitale
7

(1) Instaurare la fiducia negli ambienti online è fondamentale per lo
sviluppo economico e sociale. La mancanza di fiducia, dovuta in
particolare a una percepita assenza di certezza giuridica, scoraggia i
consumatori, le imprese e le autorità pubbliche dall’effettuare transazioni
per via elettronica e dall’adottare nuovi servizi.
La fiducia nelle transazioni elettroniche
(2) Il presente regolamento mira a rafforzare la fiducia nelle transazioni
elettroniche nel mercato interno fornendo una base comune per
interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche,
in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati,
nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.
REGOLAMENTO (UE) N. 910/2014 – eIDAS (electronic IDentification
Authentication and Signature)
considerando
8

All’interno dell’ordinamento giuridico sono tutelati gli elementi principali di
individuazione della persona, quali il nome e l’immagine.
L’identificazione della persona, infatti, presuppone sempre la sua individuazione.
IL NOME trova disciplina e tutela negli articoli 6 - 9 del codice civile, nonché all’art.
22 della Costituzione. Se il codice civile all’art. 6 in positivo dispone che ogni persona
ha diritto al nome, la Costituzione repubblicana all’art. 22 assicura in negativo che
“nessuno può essere privato, per motivi politici, del nome”.
L'IMMAGINE è invece un mezzo identificativo innato, essa descrive l'insieme delle
sue fattezze in misura e maniera tale da poterla riconoscere. Ciò che circola è la sua
riproduzione e, pertanto, ad essa è assicurata la tutela del legislatore all'art. 10 c.c.
Esistono varie forme di tutela dell’identità personale. Dottrina e giurisprudenza
sono arrivate ad affermare l’esistenza di un vero e proprio diritto all’identità
personale, che trova fondamento nell’art. 2 Cost.
Esiste un diritto all’identit{ digitale?
9

Art. 2, Codice Privacy (D. Lgs. 196/2003)
“Il presente testo unico, di seguito denominato "codice", garantisce che
il trattamento dei dati personali si svolga nel rispetto dei diritti e delle
libertà fondamentali, nonché della dignità dell'interessato, con
particolare riferimento alla riservatezza, all'identità personale e al
diritto alla protezione dei dati personali”
E l’identità digitale?......
10

L’identità digitale è strettamente congiunta a quella personale, la prima
descrive e rappresenta la seconda.
È necessario assicurare all’identità digitale le medesime tutele e
garanzie riconosciute dall’ordinamento per l’identità personale
L’identit{ digitale deve essere oggetto di tutela all’interno
dell’ordinamento, in quanto strettamente connessa all’identit{ reale
della persona
L’identit{ digitale può avere legami più o meno diretti con l’identit{
reale: dall’anonimato alla totale associazione
11

Attraverso regole che
tutelano:
Identità personale in rete
Tecniche di identificazione
del soggetto a mezzo di
strumenti informatici
Come tutelare l’identit{ digitale
12

Dichiarazione dei diritti in Internet
Commissione per i diritti e i doveri relativi ad Internet - 14 luglio 2015
Art. 1 - Riconoscimento e garanzia dei diritti
1. Sono garantiti in Internet i diritti fondamentali di ogni persona riconosciuti dalla
Dichiarazione universale dei diritti umani delle Nazioni Unite, dalla Carta dei diritti
fondamentali dell’Unione Europea, dalle costituzioni nazionali e dalle dichiarazioni
internazionali in materia.
2. Tali diritti devono essere interpretati in modo da assicurarne l’effettivit{ nella
dimensione della Rete.
3. Il riconoscimento dei diritti in Internet deve essere fondato sul pieno rispetto della
dignità, della libertà, dell’eguaglianza e della diversità di ogni persona, che costituiscono i
principi in base ai quali si effettua il bilanciamento con altri diritti.
13

Art. 9 - Diritto all’identità
1. Ogni persona ha diritto alla rappresentazione integrale e aggiornata delle proprie
identità in Rete.
2. La definizione dell’identit{ riguarda la libera costruzione della personalità e non può
essere sottratta all’intervento e alla conoscenza dell’interessato.
3. L’uso di algoritmi e di tecniche probabilistiche deve essere portato a conoscenza delle
persone interessate, che in ogni caso possono opporsi alla costruzione e alla diffusione
di profili che le riguardano.
4. Ogni persona ha diritto di fornire solo i dati strettamente necessari per
l’adempimento di obblighi previsti dalla legge, per la fornitura di beni e servizi, per
l’accesso alle piattaforme che operano in Internet.
5. L’attribuzione e la gestione dell'Identità digitale da parte delle Istituzioni
Pubbliche devono essere accompagnate da adeguate garanzie, in particolare in
termini di sicurezza.
14

15
Sezione II
Diritti dei cittadini e delle imprese
Art. 3 - Diritto all'uso delle tecnologie
1. Chiunque ha il diritto di usare le soluzioni e gli strumenti di cui al presente
Codice nei rapporti con i soggetti di cui all'articolo 2, comma 2, anche ai fini
della partecipazione al procedimento amministrativo, fermi restando i diritti
delle minoranze linguistiche riconosciute.[…]
1-quinquies. Tutti i cittadini e le imprese hanno il diritto all'assegnazione di
un'identità digitale attraverso la quale accedere e utilizzare i servizi erogati
in rete dai soggetti di cui all'articolo 2, comma 2, alle condizioni di cui
all'articolo 64;
Codice dell’Amministrazione Digitale
Modificato dall’art. 3, D. Lgs. 26 agosto 2016, n. 179

Facciamo chiarezza
È il processo con il quale vengono associate delle credenziali ad un soggetto,
per consentire l’accesso a un sistema informativo, generalmente in rete, dopo
la verifica in automatico da parte di un programma dedicato delle credenziali
che si intende accreditare sul sistema.
Risponde alla domanda “Chi sei tu?”
La funzione dell’identificazione è quella di rendere conoscibile un entità
all’interno di una moltitudine di entità sconosciute.
La digitazione del nome utente (username) equivale all’asserzione: “sono la
persona a cui appartiene questo username”
Identificazione: la determinazione che un individuo sia conosciuto o meno dal
sistema
Autenticazione vs Identificazione
16

Autenticazione: il processo attraverso il quale viene verificata l'identità di un
utente che vuole accedere ad un computer o ad una una rete. E’ il sistema che
verifica, effettivamente, che un individuo è chi sostiene di essere.
Una volta stabilita l’identit{ di una persona, il sistema deve essere sicuro che
l’utente sia quello che dice di essere. Per questo motivo, il sistema chiede “Come
puoi dimostrare la tua identità?”
Con l’inserimento della password corretta, l’utente fornisce la prova che è la
persona a cui appartiene quell’username.
Vi sono tre tipi di informazioni che possono essere utilizzate per l’authentication:
Something you know: PIN, password, o altra parola chiave.
Something you have: token fisico, un generatore di OTP, una smartcard
Something you are: una biometria (volto, impronte digitali, geometria della mano,
venature della mano, l’iride, la retina, la firma, la voce, l’orecchio, il DNA)
Facciamo chiarezza
17

Autorizzazione: il conferimento all’utente del diritto ad accedere a
specifiche risorse del sistema, sulla base della sua identità.
Una volta che il sistema ha identificato e autenticato l’utente, ora si tratta di
stabilire “cosa puoi fare?”, “a quali risorse, a quali dati puoi accedere?”
Il tutto viene garantito con un controllo agli accessi, in base alle
autorizzazioni precedentemente date al profilo dell’utente. Il sistema è
pertanto in grado di stabilire quali operazioni consentire e quali vietare
all’utente.
Facciamo chiarezza
18

«identificazione elettronica», il processo per cui si fa uso di dati di identificazione
personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o
un’unica persona fisica che rappresenta una persona giuridica;
«dati di identificazione personale», un insieme di dati che consente di stabilire l’identit{
di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona
giuridica
Art. 3 – Definizioni
«autenticazione», un processo elettronico che consente di confermare l’identificazione
elettronica di una persona fisica o giuridica, oppure l’origine e l’integrit{ di dati in forma
elettronica
Regolamento eIDAS (electronic IDentification Authentication and Signature)
REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio
2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE
19
Fanno parte del CAD (richiamo art. 1, comma 1-bis CAD)

Art. 64 Codice dell’Amministrazione Digitale:
CNS (Carta nazionale dei Servizi)
I principali strumenti di identificazione informatica
CIE (Carta di identità elettronica)
20

SPID: stato di avanzamento
21

CAD, art. 64 del D.lgs. 7 marzo 2005, n. 82 (Codice dell'Amministrazione
Digitale) [modificato dal D. Lgs. 26 agosto 2016, n. 179 ]
DPCM 24 ottobre 2014
Determinazione n. 44/2015, sono stati emanati i quattro regolamenti
previsti dall’articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014
Determinazione n. 189/2016 del 22 luglio 2016, aggiornate e modificati i
regolamenti SPID
Determinazione n. 239/2016 del 7 ottobre 2016, consente anche ai privati di
accedere al sistema SPID in qualità di fornitori di servizi
SPID: presupposti normativi
22

DECRETO-LEGGE 21 giugno 2013, n. 69 “Disposizioni urgenti per il rilancio dell'economia”,
convertito con modificazioni dalla L. 9 agosto 2013, n. 98 (in S.O. n. 63, relativo alla G.U.
20/08/2013, n. 194).
Art. 17-ter, comma 1 e 2: disposta la modifica dell'art. 64, comma 2, con l'introduzione dei
commi 2-bis, 2-ter, 2-quater, 2-quinquies, 2-sexies.
Art. 64 CAD, comma 2-bis, 2-ter
È l’insieme aperto di soggetti pubblici e privati che, previo accreditamento da
parte dell'AgID, identificano gli utenti per consentire loro l'accesso ai servizi in
rete.
SPID: introduzione
Che cos’è il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID).
Obiettivo: favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte
di cittadini e imprese, anche in mobilità
23

SPID e P.A. (art. 64, comma 2-quater)
Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo
le modalità definiti con il decreto di cui al comma 2-sexies.
SPID e Soggetti privati (art. 64, comma 2-quinquies)
Ai fini dell'erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese,
secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di
avvalersi del sistema SPID per la gestione dell'identità digitale dei propri utenti.
L'adesione al sistema SPID per la verifica dell'accesso ai propri servizi erogati
in rete per i quali è richiesto il riconoscimento dell'utente esonera l'impresa
da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi
dell'articolo 17 del decreto legislativo 9 aprile 2003, n. 70.
Art. 64 CAD
SPID: introduzione
24

Art. 17 - Assenza dell'obbligo generale di sorveglianza
Nella prestazione dei servizi di cui agli articoli 14, 15 e 16, (mere conduit, caching e
hosting) il prestatore (ovvero la persona fisica o giuridica che presta un servizio della
società dell'informazione) non è assoggettato ad un obbligo generale di sorveglianza
sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare
attivamente fatti o circostanze che indichino la presenza di attività illecite.
D. Lgs. 9 aprile 2003, n. 70 (Attuazione della direttiva 2000/31/CE relativa
a taluni aspetti giuridici dei servizi della società dell'informazione nel
mercato interno, con particolare riferimento al commercio elettronico)
Ad impossibilia nemo tenetur
Cosa significa l’esenzione dall’obbligo di sorveglianza?
Sorveglianza sull’attività nel proprio sito, non in rete!
SPID: introduzione
25

b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo
possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha
accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.
Il sito web che adotta SPID non è a conoscenza dell’identità dei propri utenti o può
non esserlo poiché la gestione delle identità è esterna. L’esenzione riguarda
l’obbligo di riferire, alle autorità, informazioni ed identità che non possiede e che
non devono più essere richieste al sito ma, eventualmente, all'identity provider.
Ad impossibilia nemo tenetur
Cosa significa l’esenzione dall’obbligo di sorveglianza?
Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore è comunque tenuto:
a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa avente
funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite
riguardanti un suo destinatario del servizio della società dell'informazione;
Art. 17 - Assenza dell'obbligo generale di sorveglianza
SPID: introduzione
26

SPID: introduzione
27
SPID e atti giuridici (art. 64, comma 2-septies)
Un atto giuridico può essere posto in essere da un soggetto identificato
mediante SPID, nell'ambito di un sistema informatico avente i requisiti fissati
nelle regole tecniche adottate ai sensi dell'articolo 71, attraverso processi idonei
a garantire, in maniera manifesta e inequivoca, l'acquisizione della sua volontà.
[…].
SPID e accesso ai servizi P.A. (art. 64, comma 2-octies)
Le pubbliche amministrazioni consentono mediante SPID l'accesso ai servizi in
rete da esse erogati che richiedono identificazione informatica.
SPID e altri strumenti di identificazione (art. 64, comma 2-nonies)
L'accesso di cui al comma 2-octies può avvenire anche con la carta di identità
elettronica e la carta nazionale dei servizi
Art. 64 CAD

I soggetti SPID
Art. 3, DPCM 24 ottobre 2014
Utente, che potrà disporre di uno o più identità digitali, che contengono
alcune informazioni identificative obbligatorie, come il codice fiscale, il
nome, il cognome, il luogo di nascita, la data di nascita e il sesso;
Gestore dell’identità digitale. Dovrà essere accreditato dall’Agenzia per
l’Italia Digitale e ha il ruolo di creare e gestire le identità digitali;
Gestore di attributi qualificati: in base alle norme vigenti, può certificare
attributi qualificati, come il possesso di un titolo di studio, l’appartenenza ad
un ordine professionale
Fornitore di Servizi – soggetto pubblico o privato – che eroga servizi on-
line, previo riconoscimento dell’utente da parte del gestore dell’identit{
digitale.
Agenzia per l’Italia Digitale (AgID)
28

L'Agenzia cura l'attivazione dello SPID, svolgendo, in particolare, le seguenti
attività:
a) gestisce l'accreditamento dei gestori dell'identità digitale e dei gestori
di attributi qualificati, stipulando con essi apposite convenzioni.
b) cura l'aggiornamento del registro SPID e vigila sull'operato dei soggetti
che partecipano allo SPID, anche con possibilità di conoscere, tramite il
gestore dell'identità digitale, i dati identificativi dell'utente e verificare le
modalità con cui le identità digitali sono state rilasciate e utilizzate;
c) stipula apposite convenzioni con i soggetti che attestano la validità
degli attributi identificativi e consentono la verifica dei documenti di
identità.
Art. 4 DPCM 24 ottobre 2014
Il ruolo dell’AgID all’interno di SPID
29

Le identità digitali sono rilasciate dal gestore dell’identit{ digitale, su richiesta di un
soggetto interessato. Il modulo di richiesta di adesione contiene alcune informazioni
obbligatorie
Rilascio delle identità digitali
ATTRIBUTI SECONDARI
Art. 1, comma 1 ,lett. d) DPCM
funzionali alle comunicazioni
il numero di telefonia fissa o
mobile, l'indirizzo di posta
elettronica, il domicilio
fisico e digitale, eventuali
altri attributi individuati
dall'Agenzia
PERSONE FISICHE
Cognome e Nome; sesso,
data e luogo di nascita;
codice fiscale; estremi di
un valido documento di
identità
PERSONE GIURIDICHE
Denominazione/ragione sociale;
codice fiscale o P. IVA (se uguale
al codice fiscale); sede legale;
visura camerale attestante lo
stato di rappresentante legale
del soggetto richiedente
l’identit{ per conto della società
(in alternativa atto notarile di
procura legale); estremi del
documento di identità utilizzato
dal rappresentante legale
ATTRIBUTI
IDENTIFICATIVI DELLE
IDENTITA’ DIGITALI
30

Inoltre, per quanto riguarda l’indirizzo di posta elettronica, i
gestori dovranno accertarsi, oltre che lo stesso sia un
indirizzo corrispondente a una reale casella di posta, che sia
unico in ambito SPID, ovvero che esso non sia stato
precedentemente indicato dallo stesso soggetto per
l’acquisizione di una identità digitale SPID presso lo stesso o
un altro gestore dell’identit{ digitale.
Attributi secondari
Obbligo di fornire almeno un indirizzo di posta elettronica e
un recapito di telefonia mobile, entrambi verificati dal gestore
di identità digitale nel corso del processo di identificazione,
inviando un messaggio di posta all’indirizzo dichiarato,
contenente una URL per la verifica e un SMS al numero di
cellulare con un codice numerico di controllo che deve essere
riportato in risposta.
31

Il gestore dell’identit{ digitale, per una corretta e sicura attuazione del processo:
Attivit{ essenziale nel rilascio dell’identit{ digitale
d) acquisisce i dati necessari alla dimostrazione
di identità.
a) fornisce l’informativa sul trattamento dei
dati (articolo 13 del D.lgs. 196 del 2003)
b) si assicura che il richiedente sia consapevole
dei termini e delle condizioni associati
all'utilizzo del servizio di identità digitale;
c) si assicura che il richiedente sia consapevole
delle raccomandazioni e delle precauzioni da
adottare per l'uso dell’identità digitale;
32

A vista
(anche da remoto)
Identificazione del soggetto richiedente che sottoscrive il
modulo di adesione allo SPID, tramite esibizione a vista di un
valido documento d'identità e, nel caso di persone giuridiche,
della procura attestante i poteri di rappresentanza
Identificazione informatica
Con documenti digitali che prevedono il riconoscimento a vista
del richiedente all'atto dell'attivazione, fra cui la TS‐CNS, CNS o
carte ad essa conformi
Con altre identità SPID
Art. 7 DPCM -Verifica dell'identità del soggetto richiedente e
consegna in modalità sicura delle credenziali di accesso
Come avviene il rilascio dell’identit{ digitale
33

Art. 7 DPCM -Verifica dell'identità del soggetto richiedente e
consegna in modalità sicura delle credenziali di accesso
Richiesta firmata digitalmente
acquisizione del modulo di adesione allo SPID sottoscritto con
firma elettronica qualificata o con firma digitale
identificazione informatica fornita da sistemi informatici preesistenti
all'introduzione dello SPID che risultino aver adottato, a seguito di
apposita istruttoria dell'Agenzia, regole di identificazione
informatica caratterizzate da livelli di sicurezza uguali o superiori a
quelli definiti nel presente decreto.
Sistemi informatici preesistenti
34

I gestori dell'identità digitale, ricevuta la richiesta di adesione, effettuano la verifica degli
attributi identificativi del richiedente utilizzando prioritariamente i servizi convenzionali
[convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la
verifica dei documenti di identità]
Se non è possibile tale verifica, i gestori dell'identità digitale effettuano tali verifiche sulla
base di documenti, dati o informazioni ottenibili da archivi delle amministrazioni
certificanti, ai sensi dell'art. 43, comma 2, del decreto del Presidente della Repubblica
28 dicembre 2000, n. 445, secondo i criteri e le modalità stabilite dall'Agenzia con i
regolamenti di cui all'art. 4, fatto salvo il caso di cui al comma 2, lettera e).
L’art. 43 DPR 445/2000 prevede la consultazione diretta da parte di una
pubblica amministrazione o di un gestore di pubblico servizio, degli archivi
dell'amministrazione certificante, finalizzata all'accertamento d'ufficio di
stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive
presentate dai cittadini.
35

I PASSAGGI PRINCIPALI
a) richiesta di accreditamento
b) accoglimento della richiesta da parte dell’AgID
c) stipula apposita convenzione
d) iscrizione del richiedente nel registro SPID, consultabile in via telematica.
Accreditamento dei gestori dell'identità digitale
36

a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni
di euro;
b) garantire il possesso dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di
amministrazione, direzione e controllo presso banche, da parte dei rappresentanti legali, dei
soggetti preposti all'amministrazione e dei componenti degli organi preposti al controllo;
c) dimostrare la capacità organizzativa e tecnica necessaria per svolgere l'attività di gestione
dell'identità digitale;
d) utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze
necessarie per i servizi da fornire. Il gestore provvede al periodico aggiornamento professionale
del personale;
e) comunicare all'Agenzia i nominativi e il profilo professionale dei soggetti responsabili delle
specifiche
f) essere in possesso della certificazione di conformità del proprio sistema di gestione per la
sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo
indipendente a tal fine autorizzato secondo le norme vigenti in materia;
Art. 10, DPCM 24 ottobre 2014 - Requisiti per l’accreditamento
e Regolamento AgID (versione 2.0 del 22 luglio 2016)
37

g) trattare i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196;
h) essere in possesso della certificazione di qualità ISO 9001, successive modifiche o norme
equivalenti.
Se, all'esito dei
controlli, accerta la
mancanza dei requisiti
richiesti per l'iscrizione
nel registro SPID
Termine per consentire
ripristino dei requisiti
adottare le azioni
previste dall'art. 12:
sospensione o revoca
dell’accreditamento
AgID procede a controlli per accertare
la permanenza della sussistenza dei
requisiti previsti dal DPCM 24.10.2014
D’ufficio
Su segnalazione motivata
di soggetti pubblici o privati
38

• utilizzano sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti,
in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale;
• adottano adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza,
l'integrità e la sicurezza nella generazione delle credenziali di accesso;
• effettuano un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione delle
credenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensione
dell'identità digitale in caso di attività sospetta;
• effettuano, con cadenza almeno annuale, un'analisi dei rischi;
• definiscono il piano per la sicurezza dei servizi SPID, da trasmettere all'Agenzia, e ne garantiscono
l'aggiornamento;
DEFINIZIONI DPCM
l) gestori dell'identità digitale: le persone giuridiche accreditate allo SPID che, in qualità di gestori
di servizio pubblico, previa identificazione certa dell'utente, assegnano, rendono disponibili e
gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essi
inoltre, forniscono i servizi necessari a gestire l'attribuzione dell'identità digitale degli utenti, la
distribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite
e l'autenticazione informatica degli utenti;
Obblighi dei gestori dell'identità digitale
39

• allineano le procedure di sicurezza agli standard internazionali, la cui conformità è
certificata da un terzo abilitato;
• conducono, con cadenza almeno semestrale, il «Penetration Test»;
• garantiscono la continuità operativa dei servizi afferenti allo SPID;
• effettuano ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi,
garantendo la gestione degli incidenti da parte di un'apposita struttura interna;
• garantiscono la gestione sicura delle componenti riservate delle identità digitali
degli utenti,
• si sottopongono, con cadenza almeno biennale, ad una verifica di conformità alle
disposizioni vigenti da parte di un organismo di valutazione
• informano tempestivamente l'Agenzia e il Garante per la protezione dei dati
personali su eventuali violazioni di dati personali
• adeguano i propri sistemi a seguito degli aggiornamenti emanati dall'Agenzia;
• inviano all'Agenzia, in forma aggregata, i dati da questa richiesti a fini statistici, che
potranno essere resi pubblici.
Obblighi dei gestori dell'identità digitale
40

Nuove regole sui gestori dell'identità digitale
41
Art. 30 - Responsabilità dei prestatori di servizi fiduciari qualificati, dei gestori
di posta elettronica certificata, dei gestori dell'identità' digitale e dei
conservatori
I prestatori di servizi fiduciari qualificati, i gestori di posta elettronica
certificata, i gestori dell'identità digitale di cui all'articolo 64 e i soggetti di
cui all'articolo 44‐bis che cagionano danno ad altri nello svolgimento della
loro attività, sono tenuti al risarcimento, se non provano di avere
adottato tutte le misure idonee a evitare il danno.
Responsabilità
Modifiche apportate dalla recente riforma ad opera del
D. Lgs. 26 agosto 2016, n. 179 (in G.U. 13/09/2016, n.214)

42
Art. 14‐bis - Agenzia per l'Italia digitale
[…] 2. AgID svolge le funzioni di:
i) vigilanza sui servizi fiduciari ai sensi dell'articolo 17 del regolamento UE
910/2014 in qualità di organismo a tal fine designato, sui gestori di posta
elettronica certificata, sui soggetti di cui all'articolo 44‐bis, nonché sui
soggetti, pubblici e privati, che partecipano a SPID di cui all'articolo 64;
nell'esercizio di tale funzione l'Agenzia può irrogare per le violazioni
accertate a carico dei soggetti vigilati le sanzioni amministrative di cui
all'articolo 32‐bis in relazione alla gravità della violazione accertata e
all'entità del danno provocato all'utenza; […]
Potere di controllo AgID

43
Art. 32-bis - Sanzioni per i prestatori di servizi fiduciari qualificati, per i gestori
di posta elettronica certificata, per i gestori dell'identità digitale e per i
conservatori
1. L'AgID può irrogare […] ai gestori dell'identità digitale […], che abbiano
violato gli obblighi del Regolamento eIDAS e o del presente Codice, sanzioni
amministrative in relazione alla gravità della violazione accertata e all'entità
del danno provocato all'utenza, per importi da un minimo di euro 4.000,00 a
un massimo di euro 40.000,00, fermo restando il diritto al risarcimento del
maggior danno. […]
1‐bis. L'AgID, prima di irrogare la sanzione amministrativa di cui al comma 1,
diffida i soggetti a conformare la propria condotta agli obblighi previsti dal
Regolamento eIDAS o dal presente Codice, fissando un termine e
disciplinando le relative modalità per adempiere.
Sanzioni

DEFINIZIONI DPCM
i) fornitore di servizi: il fornitore dei servizi della società dell'informazione definiti dall'art. 2, comma
1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un'amministrazione o di un
ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di servizi
inoltrano le richieste di identificazione informatica dell'utente ai gestori dell'identità digitale e ne
ricevono l'esito. I fornitori di servizi, nell'accettare l'identità digitale, non discriminano gli utenti in
base al gestore dell'identità digitale che l'ha fornita;
Art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70
"servizi della società dell'informazione": le attività economiche svolte in linea - on line -, nonché
i servizi definiti dall'articolo 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317, e
successive modificazioni;
PrivatiPubbliche amministrazioni
Fornitori di servizi
44

Art. 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317
“servizio”: qualsiasi servizio della società dell'informazione, vale a dire qualsiasi
servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e
a richiesta individuale di un destinatario di servizi. Ai fini della presente definizione si
intende: per "servizio a distanza un servizio fornito senza la presenza simultanea
delle parti; per "servizio per via elettronica un servizio inviato all'origine e ricevuto a
destinazione mediante attrezzature elettroniche di trattamento, compresa la
compressione digitale e di memorizzazione di dati e che e' interamente trasmesso,
inoltrato e ricevuto mediante fili, radio, mezzi ottici od altri mezzi elettromagnetici;
per "servizio a richiesta individuale di un destinatario di servizi un servizio fornito
mediante trasmissione di dati su richiesta individuale;
45

Obblighi
• I fornitori di servizi conservano per ventiquattro mesi le informazioni necessarie a
imputare, alle singole identità digitali, le operazioni effettuate sui propri sistemi
tramite SPID.
• Nel caso in cui i fornitori di servizi rilevino un uso anomalo di un'identità digitale,
informano immediatamente l'Agenzia e il gestore dell'identità digitale che l'ha
rilasciata.
• I fornitori di servizi trattano i dati personali nel rispetto del decreto legislativo 30
giugno 2003, n. 196. Nell'ambito dell'informativa di cui all'art. 13 del decreto
legislativo n. 196 del 2003, i fornitori di servizi informano l'utente che l'identità
digitale e gli eventuali attributi qualificati saranno verificati, rispettivamente,
presso i gestori dell'identità digitale e i gestori degli attributi qualificati.
Per aderire allo SPID devono stipulare apposita convenzione con l'Agenzia
46

1. Nel rispetto dell'art. 64, comma 2, del CAD [oggi
abrogato, il richiamo è da intendersi al comma 2-octies], le
pubbliche amministrazioni che erogano in rete servizi
qualificati, direttamente o tramite altro fornitore di
servizi, consentono l'identificazione informatica degli
utenti attraverso l'uso dello SPID.
Adesione allo SPID da parte delle pubbliche amministrazioni in qualità di fornitori di servizi
servizio per la cui erogazione
è necessaria l'identificazione
informatica dell'utente;
Fornitori di servizi: adesione SPID-PA
2. Ai fini del comma 1, le pubbliche amministrazioni di
cui all'art. 2, comma 2, del CAD aderiscono allo SPID,
secondo le modalità stabilite dall'Agenzia ai sensi
dell'art. 4, entro i ventiquattro mesi successivi
all'accreditamento del primo gestore dell'identità
digitale.
Obbligo per la P.A.
47
18 dicembre 2017
SANZIONI

Adesione allo SPID da parte di soggetti privati fornitori di servizi
DIVIETO
1. Non possono aderire allo SPID i soggetti privati fornitori di
servizi il cui rappresentante legale, soggetto preposto
all'amministrazione o componente di organo preposto al
controllo risulta condannato con sentenza passata in giudicato
per reati commessi a mezzo di sistemi informatici.
OBBLIGO
2. Ai sensi dell'art. 64, comma 2‐quinquies, del CAD, i soggetti
privati che aderiscono allo SPID per la verifica dell'accesso ai
servizi erogati in rete, nel rispetto del presente decreto e dei
regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4,
soddisfano gli obblighi di cui all'art. 17, comma 2, del decreto
legislativo 9 aprile 2003, n. 70 con la comunicazione del codice
identificativo dell'identità digitale utilizzata dall'utente.
Fornitori di servizi: adesione SPID-PA
48

Su richiesta degli interessati, sono accreditati di diritto i seguenti gestori di attributi qualificati (non
necessitano di formalizzare l’accreditamento)
a) il Ministero dello sviluppo economico in relazione ai dati contenuti nell'indice nazionale degli indirizzi
PEC delle imprese e dei professionisti (INI-PEC)
b) i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all'attestazione
dell'iscrizione agli albi professionali;
c) le camere di commercio, industria, artigianato e agricoltura per l'attestazione delle cariche e degli
incarichi societari iscritti nel registro delle imprese;
d) l'Agenzia in relazione ai dati contenuti nell'indice degli indirizzi della pubblica amministrazione e dei
gestori di pubblici servizi (IPA) di cui all'art. 57‐bis del CAD.
Art. 16, DPCM 24 ottobre 2014 - Accreditamento dei gestori di attributi qualificati
Definizione DPCM
e) attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e
qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati;
m) gestori di attributi qualificati: i soggetti accreditati ai sensi dell'art. 16 che hanno il potere
di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi;
Gestori di attributi qualificati SPID
49

Il sistema SPID è basato su tre livelli di sicurezza di autenticazione informatica
Art. 6, DPCM 24 ottobre 2014 - Livelli di sicurezza delle identità digitali
I livelli di sicurezza SPID
Processo diretto alla verifica dell’identit{
digitale associata a un soggetto ai fini
della erogazione di un servizio fornito in
rete. A tale verifica di identità è associato
un livello di sicurezza o di garanzia (level
of assurance - LoA) progressivamente
crescente in termini di sicurezza.
Processo di autenticazione informatica
Il risultato dell’intero procedimento che
sottende all’attivit{ di autenticazione.
Tale processo va dalla preliminare
associazione tra un soggetto e
un’identit{ digitale che lo rappresenta in
rete fino ai meccanismi che realizzano il
protocollo di autenticazione al momento
della richiesta di un servizio in rete.
Livello di sicurezza
50

I livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115.
Garantisce con un buon grado
di affidabilità l'identità
accertata nel corso dell’attivit{
di autenticazione.
Rischio associato: moderato
Sistema di autenticazione: a
singolo fattore (la password)
Applicabilità: nei casi in cui il
danno causato, da un utilizzo
indebito dell’identit{ digitale,
ha un basso impatto per le
attività dell’utente
Livello 1
(LoA2 dell’ISO-
IEC 29115) Garantisce con un alto grado
di affidabilità l'identità
accertata nel corso dell’attivit{
di autenticazione.
Rischio associato: ragguardevole
Sistema di autenticazione: a due
fattori non necessariamente
basato su certificati digitali
Applicabilità: tutti i servizi per i
quali un indebito utilizzo dell’
identità digitale può provocare
un danno consistente
Livello 2
(LoA3 dell’ISO-
IEC 29115)
51

Garantisce con un altissimo grado di affidabilità l'identità
accertata nel corso dell’attivit{ di autenticazione
Rischio associato: altissimo
Sistema di autenticazione: a due fattori basato su certificati
digitali e criteri di custodia delle chiavi private su dispositivi
che soddisfano i requisiti dell’Allegato 3 della Direttiva
1999/93/CE
Applicabilità: a tutti i servizi che possono subire un serio e
grave danno per cause imputabili ad abusi di identità;
questo livello è adeguato per tutti i servizi per i quali un
indebito utilizzo dell’ identità digitale può provocare un
danno serio e grave
Livello 3
(LoA4 dell’ISO-
IEC 29115)
I livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115.
52

Avviso AgID n. 4 – Indicazioni sul livello di sicurezza da adottare per alcuni servizi più diffusi
53

54

55

I fornitori di servizi, per verificare le policy di sicurezza relativi all’accesso ai servizi da essi
erogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggetti
richiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il set
minimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto e
mantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall’articolo
11 del decreto legislativo n. 196 del 2003.
Art. 27, Modalità attuative SPID - Uso degli attributi SPID
La privacy in SPID
Principi e regole imposte dal Garante per la protezione dei dati personali
Pareri all’AgiD del 23 aprile 2015 - 4 giugno 2015 - 17 dicembre 2015
PRINCIPIO DI PROPORZIONALITÀ
(Art. 11, comma 1, lett. d), Codice Privacy)
I dati personali oggetto di trattamento
devono essere pertinenti, completi e non
eccedenti rispetto alle finalità per le quali
sono raccolti o successivamente trattati
PRINCIPIO DI NECESSITÀ (Art. 3 Codice Privacy)
I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l’utilizzazione dei dati
personali e dei dati identificativi, in modo da escluderne il
trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati
anonimi od opportune modalità che permettano di
identificare l’interessato solo in caso di necessità.
56

Minacce nel processo di registrazione
Furto/usurpazione di
identità
Un richiedente dichiara una
identità non corretta (ad es.
usando un documento d'identità
contraffatto)
Ripudio/disconoscimento
della registrazione
Un cittadino/impresa nega la
registrazione affermando che non
ha mai richiesto la registrazione
SICUREZZA
Rischi associati alle identità digitali
57

Divulgazione/
rivelazione
Una chiave generata dal
gestore delle identità
digitali è copiata da un
aggressore informatico.
Emissione delle credenziali di
persona, spedizione in buste
sigillate con posta raccomandata,
uso di una sessione protetta per la
spedizione elettronica
Manomissione Una nuova password
generata dal sottoscrittore
viene modificata da un
aggressore informatico.
Stesse strategie di mitigazione di
sopra, uso di protocolli di
comunicazione che proteggono la
sessione dati.
Emissione non
autorizzata
Rilascio delle credenziale
ad una persona che
afferma di essere il
sottoscrittore (e in effetti
non lo è)
Procedura che assicura che la
persona destinataria delle
credenziali sia la stessa persona
che ha partecipato nel processo di
registrazione
Minacce nel processo di emissione delle credenziali/ Strategie di mitigazione
58

Un token per la sicurezza (chiamato anche token hardware, token per
l'autenticazione, token crittografico, o semplicemente token) è un dispositivo
fisico (non sempre) necessario per effettuare un'autenticazione (tipicamente
una autenticazione a due fattori).
Un token può anche essere di tipo software, ove le informazioni necessarie
risiedono direttamente nel computer dell'utente, e non in un oggetto esterno.
(fonte wikipedia)
Minacce associate ai token
59

Tipo token Esempi di minacce
Something we have Può essere perso, danneggiato, rubato o clonato. Ad esempio un
aggressore malevolo potrebbe prendere possesso del computer e
copiare un token software. Analogamente un token hardware
potrebbe essere rubato, manomesso o duplicato.
Something we know L'aggressore potrebbe provare ad indovinare la password o il PIN o
installare del software maligno (ad es. keyboard logger) per
catturare la password, in alternativa possono essere adottate
catture del traffico dalla rete o attraverso tecniche di social
engineering
Something we are Può essere replicato, ad esempio un aggressore potrebbe ottenere
una copia delle impronte digitali e costruirne una replica
assumendo che il sistema biometrico non utilizzi robuste, e
consigliate, tecniche di rilevazione
Minacce associate ai token
60

Minaccia/
Attacco token
Descrizione Esempi
Furto Un token fisico viene rubato Furto di un cellulare,
dispositivo fisico ecc.
Scoperta Le risposte a domande di
suggerimento per riconoscere
l'utente sono facilmente deducibili
o ricavabili da diverse sorgenti
disponibili.
Ad es. la domanda "Quale
liceo hai frequentato ?" è
facilmente ottenibile dai siti
web di tipo social.
Duplicazione Il token è stato copiato senza, o con,
l’assenso dell'utente.
Password scritta su post-it o
memorizzato su un file che
viene successivamente
copiato da un aggressore.
Le minacce e gli attacchi più comuni in riferimento ai token 1/3
61

Minaccia/
Attacco token
Descrizione Esempi
Intercettazione Il token viene rilevato nel
momento dell'immissione.
La password viene dedotta
osservando l'immissione da
tastiera, o con l'ausilio di
keylogger software.
Offline cracking Sono usate tecniche analitiche
offline ed esterne ai meccanismi di
autenticazione.
Una chiave viene estratta
utilizzando tecniche di analisi
differenziale su token
hardware rubati.
Phishing o
pharming
L'utente viene ingannato e crede
che l'aggressore sia il fornitore di
servizi o di identità (sito civetta).
DNS re-routing. Una password
viene rivelata ad un sito civetta
che simula l'originale.
62

Minaccia/
Attacco token
Descrizione Esempi
Ingegneria sociale L'aggressore stabilisce un livello di
sicurezza con l'utente in modo da
convincerlo a rivelargli il
contenuto del token.
Una password viene
rivelata durante una
telefonata ad un
aggressore che finge di
essere l'amministratore di
sistema.
Provare a indovinare
(online)
L'aggressore si connette al sito del
gestore di identità online e prova
ad indovinare il token valido.
Attacchi online basati su
dizionari o password note.
63

Strategie di mitigazione delle minacce ai token 1/2
Minaccia/Attacco token Tecnica di mitigazione della minaccia
Furto Usare token multi-fattore che devono essere
attivati attraverso un PIN o elementi biometrici.
Scoperta Usare metodologie tali da rendere complessa la
deduzione di una risposta
Duplicazione Usare token difficilmente duplicabili come token
crittografici hardware
Intercettazione Usare tecniche di autenticazione dinamica tali che
la conoscenza di una parola non fornisca alcuna
informazione in successive autenticazioni.
64

Strategie di mitigazione delle minacce ai token 2/2
Minaccia/Attacco token Tecnica di mitigazione della minaccia
Offline cracking e
provare ad indovinare
(online)
Usare token con elevata entropia. Usare token che
causino il blocco dopo un numero limitato di
tentativi.
Phishing o pharming Usare tecniche di autenticazione dinamica tali che
informazione in successive autenticazioni.
Ingegneria sociale Usare tecniche di autenticazione dinamica tali che
informazione in successive autenticazioni
65

1. Nel caso in cui l'utente ritenga, […], che la propria identità digitale sia stata utilizzata
abusivamente o fraudolentemente da un terzo, può chiedere, […], la sospensione
immediata dell'identità digitale al gestore della stessa e, se conosciuto, al fornitore di
servizi presso il quale essa risulta essere stata utilizzata. Salvo il caso in cui la richiesta sia
inviata tramite posta elettronica certificata, o sottoscritta con firma digitale o firma
elettronica qualificata, il gestore dell'identità digitale e il fornitore di servizi eventualmente
contattato verificano, anche attraverso uno o più attributi secondari, la provenienza della
richiesta di sospensione da parte del soggetto titolare dell'identità digitale e forniscono la
conferma della ricezione della medesima richiesta.
2. […] il gestore dell'identità digitale sospende tempestivamente l'identità digitale per un
periodo massimo di trenta giorni informandone il richiedente. Scaduto tale periodo,
l'identità digitale è ripristinata o revocata ai sensi del comma 3.
3. Il gestore revoca l'identità digitale se, nei termini previsti dal comma 2, riceve
dall'interessato copia della denuncia presentata all'autorità giudiziaria per gli stessi fatti
su cui è basata la richiesta di sospensione.
Uso illecito delle identità digitali SPID
66

Art. 640-ter c.p.
Frode informatica
Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico
o telematico o intervenendo senza diritto con qualsiasi modalità su dati,
informazioni o programmi contenuti in un sistema informatico o telematico o ad
esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è
punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro
1.032.
[…] La pena è della reclusione da due a sei anni e della multa da euro 600 a euro
3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in
danno di uno o più soggetti.
Il delitto è punibile a querela della persona offesa salvo che ricorra taluna delle
circostanze di cui al secondo e terzo comma o un'altra circostanza aggravante.
Gli illeciti penali legati alle identità digitali
67

Grazie per l’attenzione
www.gianlucasatta.it
gianluca@gianlucasatta.it
http://www.diricto.it
http:// ict4forensics.diee.unica.it
http:// www.marcafoto.it
Gianluca Satta
www.massimofarina.it
massimo@massimofarina.it
Massimo Farina
Web …

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o
recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni:
 Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha
dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi
l’opera.
 Non commerciale. Non puoi usare quest’opera per fini commerciali.
 Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra, puoi
distribuire l’opera risultante solo con una licenza identica o equivalente a questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di
quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra.
Licenza

SPID: le nuove identità digitali dopo la riforma del CAD

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Viewers also liked

Viewers also liked (20)

Similar to SPID: le nuove identità digitali dopo la riforma del CAD

Similar to SPID: le nuove identità digitali dopo la riforma del CAD (20)

More from Gianluca Satta

More from Gianluca Satta (7)

SPID: le nuove identità digitali dopo la riforma del CAD