Ormai tutti, o quasi, abbiamo SPID, o la Carta d’Identità Elettronica (CIE), e utilizziamo uno di questi due sistemi per connetterci ai principali servizi digitali pubblici, ma sappiamo davvero come funzionano?
Verifica dell’Identità Digitale
La verifica dell’Identità è un processo in cui il fornitore di servizi raccoglie e convalida le informazioni relative ad un utente che richiede di utilizzare un servizio e verifica che le informazioni raccolte appartengano effettivamente a lui. La verifica dell’Identità digitale offre il vantaggio di permettere l’identificazione della persona a distanza, eliminando la necessità della presenza fisica, facilitando l’accesso ai servizi e migliorando in questo modo l’esperienza utente. |
Durante la crisi pandemica del COVID-19, in particolare la possibilità di identificare una persona senza richiederne la presenza fisica è diventata ancora più cruciale. Infatti, possiamo vedere dal grafico come l’adozione del Sistema Pubblico di Identità Digitale (SPID) abbia subito una netta crescita a partire dal 2020, arrivando oggi a coprire oltre 38 milioni di utenti (i dati possono essere consultati sul sito dell’agenzia per l’Italia digitale).
Identificazione iniziale
Per poter accedere al servizio di identità digitale il richiedente deve fornire una prova sicura della sua identità; nel caso dell’identificazione da remoto, l’utente deve produrre:
- una prova che il richiedente sia fisicamente presente con il proprio dispositivo elettronico e il documento d’identità, per esempio tramite una foto o un video;
- un documento d’identità rilasciato dal governo che attesti la sua identità e che deve essere convalidato dal fornitore del servizio;
- una corrispondenza ad alta affidabilità tra la prova (foto o video) e il volto mostrato sul documento d’identità o nel chip NFC del documento.
Identity Provider e Service Provider
L’Identity Provider (IdP) è quell’ente verificato e sottoposto a controlli che si occupa dell’identificazione iniziale dell’utente e delle successive procedure di autenticazione ai servizi. Il Service Provider (SP) è l’ente invece che deve fornire all’utente un servizio è si affida all’Identity Provider per accertarsi che l’utente sia legittimamente chi dice di essere. SPID segue un processo informatico chiamato “autenticazione federata”, nel quale i Service Provider sono federati con uno o più Identity Provider. Nel caso di SPID, quando un utente registrato richiede di accedere ad un certo servizio pubblico (uno degli oltre 18mila disponibili, come INPS, siti universitari etc…) il provider del servizio (SP) chiede di selezionare l’IdP a cui l’utente è registrato (PosteID, InfoCert…).
A questo punto il Service Provider ridireziona la richiesta dell’utente verso il suo Identity Provider presso il quale è registrato. L’IdP autentica quindi l’utente con un certo livello di sicurezza: per esempio richiedendo username e password, pin OTP o un altro fattore di autenticazione. Una volta autenticato l’utente, il suo Identity Provider e gli invierà un messaggio chiamato asserzione che il browser passa direttamente al Service Provider; da quel momento l’utente è autenticato, nell’asserzione potrebbero essere inoltre presenti alcuni dati dell’utente noti all’Identity Provider ma non al fornitore del servizio.
Vantaggi
Il principale vantaggio di questo meccanismo di sicurezza è che l’utente con una unica coppia di credenziali, nota ad un unico ente sicuro, l’identity Provider, può accedere a tutti i servizi federati, pubblici o privati, italiani o europei, che si sono registrati al servizio e rispettano i suoi standard di sicurezza.
In questo modo l’utente si deve registrare in maniera sicura una sola volta e i suoi dati vengono mantenuti da un unico ente certificato, riducendo quindi i rischi di sicurezza collegati al furto di dati (data breach). In aggiunta l’utente può accedere ad un qualsiasi nuovo servizio senza necessità di effettuare un’ulteriore registrazione o doversi ricordare una nuova password.
Approfondimenti
L’Unione Europea ha promulgato un regolamento, eIDAS, che definisce uno standard europeo per l’Identità digitale e fa sì che ci sia interoperabilità tra Identity e Service provider dei diversi paesi dell’unione con l’obiettivo di rendere l’esperienza utente del cittadino uniforme su tutto il territorio.
Inoltre l’UE promuove la realizzazione e diffusione di un Digital Wallet Europeo, con l’obiettivo di fare un ulteriore passo in avanti nella semplificazione dell’accesso ai servizi per il cittadino. Il Digital Wallet consentirebbe, oltre alla dimostrazione della propria identità, come fanno SPID e CIE, di conservare e dare prova di certificazioni digitali quali la patente (che sarà disponibile a breve in IO, l’app dei servizi pubblici italiana), ma anche certificati di proprietà, il diploma, la laurea, il passaporto e così via, permettendo di utilizzare uno smartphone per velocizzare i processi di riconoscimento.