Novità SPID: i quattro regolamenti

07/09/2015
di Leonardo

security_26644847_xxlL’art. 4 del DPCM 24 ottobre 2014 recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese”, pubblicato sulla G.U. Serie Generale n. 285 del 9 dicembre 2014, prevede espressamente l’obbligo in capo all’Agenzia per l’Italia Digitale (AgID) di stilare, entro 60 giorni dalla pubblicazione del suddetto decreto, appositi regolamenti di attuazione dello SPID in accordo con il Garante per la protezione dei dati personali.

Il 28 luglio scorso quindi l’AgID ha emanato, anche se con un leggero ritardo (ben 180 gg!), le suddette regole rendendolo finalmente operativo il tanto atteso SPID. In particolare, dalla suddetta data sono divenuti validi i seguenti regolamenti che riguardano:

  • le regole tecniche e le modalità attuative per la realizzazione dello SPID (cfr. art. 4 comma 2 del DPCM 24 ottobre 2014);
  • le modalità di accreditamento. Lo stesso entrerà in vigore il prossimo 15 settembre ed a partire da tale data soggetti interessati possono presentare domanda di accreditamento all’AgID (cfr. art. 4 comma 3 del DPCM 24 ottobre 2014);
  • le procedure necessarie a consentire ai gestori dell’identità digitale, tramite l’utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell’identità digitale (cfr. art. 4 comma 4 del DPCM 24 ottobre 2014).

Sono, quindi, finalmente operative le regole per lo SPID, ovvero il sistema che permette l’uso per ogni cittadino di una password unica, il c.d. ‘Pin unico’, ed utile ad accedere online via web, tramite pc, tablet o smartphone a tutti i servizi siano essi pubblici (dal fisco alla sanità) che privati.

Le suddette regole sono state emanate solo dopo un attento ragguaglio da parte del Garante della privacy, il quale ha prestato particolare attenzione proprio sulla sicurezza del pin unico e sulle misure di sicurezza che devono essere adottate dallo SPID al fine di eliminare ogni eventuale falla del sistema dal punto di vista privacy e poter permettere allo stesso di assicurare la massima riservatezza dei dati personali degli utenti utilizzatori.

A tal proposito, il regolamento disegna tre livelli di sicurezza che possono essere individuati ed adottati in relazione al servizio da rendere. In particolare, per l’accesso ad un servizio con un livello di sicurezza “base” il regolamento permette l’uso di un solo Pin, appunto il “Pin unico”, senza obbligare il sistema ad adottare ulteriori misure di sicurezza che potrebbero essere considerate eccedenti rispetto alla finalità di utilizzo del servizio da parte degli utenti. Si pensi ad esempio al semplice servizio di posta elettronica, tale ultimo potrebbe essere protetto con una semplice combinazione di UserID e Password (appunto il Pin Unico).

Per accedere invece ad un servizio protetto con una misura di sicurezza di “secondo livello”, l’utente deve affiancare al “pin unico” anzidetto una «one time password» ovvero una password usa e getta. Infine, il regolamento propone di impostare un livello di sicurezza maggiore per controllare l’accesso ai servizi che presentano maggiori criticità. In tale caso, per raggiungere il livello più alto di sicurezza ai primi due sistemi sopra indicati occorre prevedere anche una apposita «smart card» con un supporto magnetico.

Sicuramente, come già sopra detto, il livello di protezione varia a seconda del servizio cui l’utente vuole accedere, infatti la smart card sarà senz’altro prevista nel caso di operazioni particolari come lo scambio di documenti con dati sensibili (p.e. Fascicolo Sanitario Elettronico – FSE).

In ogni modo, la password, sottolinea il Garante della privacy riprendendo l’Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza al D.lgs. 196 del 2003 e s.m.i. (Codice in materia di protezione dei dati personali), deve essere composta da minimo otto caratteri, con almeno un numero e un simbolo speciale (%, #, $). Non deve mai riportare segni uguali consecutivi, sia lettere minuscole che maiuscole. Non deve contenere nomi comuni, nomi di persona o riferimenti agevolmente riconducibili all’utente e va aggiornata ogni sei mesi.

Una maggiore sicurezza per i dati personali è data anche dal fatto che l’identità digitale dei cittadini viene affidata solo a gestori ad hoc, ovvero operatori dedicati, selezionati dalla Pubblica Amministrazione ed iscritti ad un apposito albo.

Secondo il regolamento appena pubblicato, tali operatori, per adesso, non sono ancora individuabili perché solo dal 15 settembre è data la possibilità per i soggetti, sia pubblici che privati, di chiedere l’accreditamento necessario all’AgID. In ogni caso, esclusivamente gli stessi gestiranno i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni. L’identità digitale, quindi, potrà essere richiesta solo ai suddetti gestori ed arriverà per raccomanda o per mail.

Considerato quanto sopra, il confronto tra AgID e il Garante della privacy ha permesso di assicurare l’allineamento dei regolamenti e delle soluzioni tecniche con le esigenze di sicurezza e garanzia di protezione dei dati. Sicuramente, data l’importanza dello Spid, è ovvia la collaborazione tra l’AgID e il Garante della privacy ancora anche nelle successive fasi legate alla realizzazione, allo sviluppo e all’implementazione del sistema SPID.

Riproduzione riservata ©

ALTRE NEWS

Duplicare un cd musicale per uso personale è reato?

La normativa a tutela del diritto d’autore è molto chiara in relazione al diritto dell’acquirente un programma per elaboratore di effettuare la cosiddetta copia di… Leggi Tutto

Videosorveglianza sul luogo di lavoro: il Garante “bacchetta” un’importante società

Un accertamento ispettivo effettuato a Genova ha fornito al Garante la possibilità di sottolineare nuovamente l’importanza delle finalità effettive dell’attività di videosorveglianza. Nel caso in… Leggi Tutto

Le nuove regole del Garante della Privacy per i pagamenti con smartphone e tablet

La rivoluzione sul fronte dei pagamenti è alle porte. Dopo un 2014 dinamico e determinante per lo sviluppo della tecnologia e della normativa in materia… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.