Novità SPID: i quattro regolamenti

L’art. 4 del DPCM 24 ottobre 2014 recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese”, pubblicato sulla G.U. Serie Generale n. 285 del 9 dicembre 2014, prevede espressamente l’obbligo in capo all’Agenzia per l’Italia Digitale (AgID) di stilare, entro 60 giorni dalla pubblicazione del suddetto decreto, appositi regolamenti di attuazione dello SPID in accordo con il Garante per la protezione dei dati personali.

Il 28 luglio scorso quindi l’AgID ha emanato, anche se con un leggero ritardo (ben 180 gg!), le suddette regole rendendolo finalmente operativo il tanto atteso SPID. In particolare, dalla suddetta data sono divenuti validi i seguenti regolamenti che riguardano:

• le regole tecniche e le modalità attuative per la realizzazione dello SPID (cfr. art. 4 comma 2 del DPCM 24 ottobre 2014);
• le modalità di accreditamento. Lo stesso entrerà in vigore il prossimo 15 settembre ed a partire da tale data soggetti interessati possono presentare domanda di accreditamento all’AgID (cfr. art. 4 comma 3 del DPCM 24 ottobre 2014);
• le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale (cfr. art. 4 comma 4 del DPCM 24 ottobre 2014).

Sono, quindi, finalmente operative le regole per lo SPID, ovvero il sistema che permette l’uso per ogni cittadino di una password unica, il c.d. ‘Pin unico’, ed utile ad accedere online via web, tramite pc, tablet o smartphone a tutti i servizi siano essi pubblici (dal fisco alla sanità) che privati.

Le suddette regole sono state emanate solo dopo un attento ragguaglio da parte del Garante della privacy, il quale ha prestato particolare attenzione proprio sulla sicurezza del pin unico e sulle misure di sicurezza che devono essere adottate dallo SPID al fine di eliminare ogni eventuale falla del sistema dal punto di vista privacy e poter permettere allo stesso di assicurare la massima riservatezza dei dati personali degli utenti utilizzatori.

A tal proposito, il regolamento disegna tre livelli di sicurezza che possono essere individuati ed adottati in relazione al servizio da rendere. In particolare, per l’accesso ad un servizio con un livello di sicurezza “base” il regolamento permette l’uso di un solo Pin, appunto il “Pin unico”, senza obbligare il sistema ad adottare ulteriori misure di sicurezza che potrebbero essere considerate eccedenti rispetto alla finalità di utilizzo del servizio da parte degli utenti. Si pensi ad esempio al semplice servizio di posta elettronica, tale ultimo potrebbe essere protetto con una semplice combinazione di UserID e Password (appunto il Pin Unico).

Per accedere invece ad un servizio protetto con una misura di sicurezza di “secondo livello”, l’utente deve affiancare al “pin unico” anzidetto una «one time password» ovvero una password usa e getta. Infine, il regolamento propone di impostare un livello di sicurezza maggiore per controllare l’accesso ai servizi che presentano maggiori criticità. In tale caso, per raggiungere il livello più alto di sicurezza ai primi due sistemi sopra indicati occorre prevedere anche una apposita «smart card» con un supporto magnetico.

Sicuramente, come già sopra detto, il livello di protezione varia a seconda del servizio cui l’utente vuole accedere, infatti la smart card sarà senz’altro prevista nel caso di operazioni particolari come lo scambio di documenti con dati sensibili (p.e. Fascicolo Sanitario Elettronico – FSE).

In ogni modo, la password, sottolinea il Garante della privacy riprendendo l’Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza al D.lgs. 196 del 2003 e s.m.i. (Codice in materia di protezione dei dati personali), deve essere composta da minimo otto caratteri, con almeno un numero e un simbolo speciale (%, #, $). Non deve mai riportare segni uguali consecutivi, sia lettere minuscole che maiuscole. Non deve contenere nomi comuni, nomi di persona o riferimenti agevolmente riconducibili all’utente e va aggiornata ogni sei mesi.

Una maggiore sicurezza per i dati personali è data anche dal fatto che l’identità digitale dei cittadini viene affidata solo a gestori ad hoc, ovvero operatori dedicati, selezionati dalla Pubblica Amministrazione ed iscritti ad un apposito albo.

Secondo il regolamento appena pubblicato, tali operatori, per adesso, non sono ancora individuabili perché solo dal 15 settembre è data la possibilità per i soggetti, sia pubblici che privati, di chiedere l’accreditamento necessario all’AgID. In ogni caso, esclusivamente gli stessi gestiranno i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni. L’identità digitale, quindi, potrà essere richiesta solo ai suddetti gestori ed arriverà per raccomanda o per mail.

Considerato quanto sopra, il confronto tra AgID e il Garante della privacy ha permesso di assicurare l’allineamento dei regolamenti e delle soluzioni tecniche con le esigenze di sicurezza e garanzia di protezione dei dati. Sicuramente, data l’importanza dello Spid, è ovvia la collaborazione tra l’AgID e il Garante della privacy ancora anche nelle successive fasi legate alla realizzazione, allo sviluppo e all’implementazione del sistema SPID.