smau bologna 2015 - francesco tortorelli, agid
TRANSCRIPT
/13
Presidenza del Consiglio dei Ministri
1
Il sistema pubblico di identità
digitale (SPID)
SMAU Bologna 2015
Francesco Tortorelli
/13
Perchè
2
• Incrementare l’utilizzo dei servizi on line specialmente quelli dispositivi e il commercio elettronico, in maniera da risalire le posizioni nello scenario EU e beneficiare dell’utilizzo di internet e delle nuove tecnologie in tutti i settori economici;
• Semplificare l’accesso ai servizi digitali senza penalizzare la sicurezza e la privacy;• Proteggere il consumatore.
/13
Perchè
3
• Incrementare l’utilizzo dei servizi on line specialmente quelli dispositivi e il commercio elettronico, in maniera da risalire le posizioni nello scenario EU e beneficiare dell’utilizzo di internet e delle nuove tecnologie in tutti i settori economici;
• Semplificare l’accesso ai servizi digitali senza penalizzare la sicurezza e la privacy;• Proteggere il consumatore.
L’indicatore è calcolato :60% su 1) Ent. Info Share 2) RFID 3) Social M 4) e-Invoice 5) Cloud
40% su 1) vendite on line 2) e-commerce 3) vendite online trasfrontaliere
/13
Cosa
4
• SPID è un sistema che consente agli utenti che siano stati riconosciuti ed ai quali siano state fornite credenziali, di accedere con le medesime a tutti i servizi pubblici e privati il cui livello di accesso sia compatibile con quello della credenziale presentata (livelli 1, 2, 3);
• In SPID i fornitori di attributi qualificati, su richiesta del fornitore di servizi, attestano in rete il possesso degli attributi o qualifiche necessari per accedere ad un determinato servizio.
/13
Chi
5
• Service Provider: i soggetti pubblici e privati che utilizzano SPID per il controllo delle credenziali di accesso ai propri servizi
• Identity provider: I soggetti che, previo accreditamento da parte AgID e seguendo i regolamenti, attribuiscono identità digitali ai soggetti che la richiedono, con le relative
credenziali fornendo ai service provider la verifica delle credenziali medesime.• Attribute provider: i soggetti titolati che, previo accreditamento AgID e seguendo i
relativi regolamenti forniscono prova del possesso di determinati attributi e qualifiche• AgID : svolge il ruolo di vigilanza sui soggetti accreditati ed il ruolo di garante della
federazione, gestendo il registro che rappresenta l’insieme dei soggetti in trust
/13
Quando
6
• L’11 giugno pv il Garante completerà il parere sui restanti provvedimenti;• Ricevuto il parere AgID emanerà i provvedimenti apportando le eventuali
correzioni indicate nel parere medesimo;• Da tale data sarà aperto l’accreditamento;• Le domande di accreditamento degli idP si considerano accolte entro 90
giorni dalla presentazione.
/13
I regolamenti : le regole tecniche
7
Descrivono:Per Identity provider, attribute provider e service provider• il modello generale, •lo scenario di interazione•La specifica delle interfacce•Il protocollo•Le asserzioni•Il binding•La sicurezza di canale•I metadati
/13
I regolamenti : le modalità attuative
8
Descrivono:Per Identity provider, attribute provider e service provider•Accreditamento e vigilanza, •Registrazione identità digitale e riscontro dei dati identificativi•Esame e verifica dell’identità dichiarata•Conservazione e registrazione dei documenti•Emissione identità•Rilascio e consegna delle credenziali•Gestione del ciclo di vita dell’identità digitale•Autenticazione•Monitoraggio AgID•Usabilità e accessibilità•Disciplina di utilizzo degli elementi identificativi SPID
/13
I regolamenti : accreditamento e vigilanza
9
Descrive:• Fase di accreditamento • Presentazione domanda• Elenco dei documenti necessari• Iter istruttorio• Stipula convenzione• Richiesta di approvazione soluzioni tecnologiche• Vigilanza• Fase transitoria
/13
I regolamenti : riutilizzo identità pregresse
10
Descrive:• Presentazione domanda e documentazione• Definizione del riuso di credenziali• Iter istruttorio
/13
Verifica Identità SPID
12
a) identificazione tramite esibizione a vista di un valido documento d’identità da parte del soggetto richiedente, il quale sottoscrive il modulo di adesione allo SPID;
b) identificazione informatica tramite documenti digitali di identità, validi ai sensi di legge, che prevedono il riconoscimento a vista del richiedente all’atto dell’attivazione (TS-CNS, CNS, CRS, ATe,..);
c) identificazione informatica tramite altra identità digitale SPID di livello di sicurezza pari o superiore a quella oggetto della richiesta;
d) acquisizione del modulo di adesione allo SPID sottoscritto con firma elettronica qualificata o con firma digitale;
e) identificazione informatica per mezzo di sistemi informatici preesistenti all’introduzione dello SPID che risultino aver adottato, a seguito di apposita istruttoria dell’Agenzia, regole di identificazione informatica caratterizzate da livelli di sicurezza uguali o superiori a quelli definiti nel presente decreto.
verifica dell’identità dei soggetti ai quali fornire credenziali SPID attraverso la normativa MEF prevista dal sistema pubblico di prevenzione del furto di identità nel settore del credito, istituito con Dlgs 141/2010 ed attuato con regolamento MEF n. 95/2014
/13
Attributi SPID
13
attributi identificativi: nome, cognome, luogo e data di nascita, sesso, ovvero ragione o denominazione sociale, sede legale, nonché il codice fiscale e gli estremi del documento d’identità utilizzato ai fini dell’identificazione;
attributi non identificativi: il numero di telefonia mobile, l’indirizzo di posta elettronica, il domicilio fisico e digitale, nonché eventuali altri attributi individuati dall’Agenzia;
attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati.
/13
Livelli di sicurezza SPID
14
Primo livello: corrispondente al Level of Assurance LoA2 dello standard ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a un fattore un fattore (per esempio la password), secondo quanto previsto dal presente decreto e dai regolamenti di cui all’articolo 4.
Secondo livello: corrispondente al Level of Assurance LoA3 dello standard ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattoridue fattori, non basati necessariamente su certificati digitali le cui chiavi private siano custodite su dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo, secondo quanto previsto dal presente decreto e dai regolamenti di cui all’articolo 4.
Terzo livello: corrispondente al Level of Assurance LoA4 dello standard ISO/IEC DIS 29115, il gestore dell’identità digitale rende disponibili sistemi di autenticazione informatica a due fattori basati su due fattori basati su certificati digitalicertificati digitali, le cui chiavi private siano custodite su dispositivi che dispositivi che soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del soddisfano i requisiti di cui all’Allegato 3 della Direttiva 1999/93/CE del Parlamento europeo.Parlamento europeo.
/13
Livelli di sicurezza SPID - 2
15
INDIVIDUAZIONE DEL LIVELLO DI SICUREZZA DEGLI STRUMENTI
L’Agenzia valuta e autorizza l’uso degli strumenti e delle tecnologie di
autenticazione informatica consentiti per ciascun livello, nonché i criteri per la
valutazione dei sistemi di autenticazione informatica e la loro assegnazione al
relativo livello di sicurezza.
Per tale attività i laboratori accreditati forniranno una
valutazione preventiva che sarà presentata ad AgID
I gestori dell’identità digitale rendono pubbliche le decisioni
dell’Agenzia.
/13
Sistema pubblico di identità digitale
16
SPID
User
Identity Provider
Service Provider
1
2
3
4
5
Attribute Provider
6
7
Registro SPIDRegistro SPID