SPID IDENTITÀ DIGITALE E FIRMA ELETTRONICA QUALIFICATA - VIVIANA DE PAOLA ICT SENIOR CONSULTANT AGID - ODCEC ...

Pagina creata da Christian Lanza
 
CONTINUA A LEGGERE
SPID IDENTITÀ DIGITALE E FIRMA ELETTRONICA QUALIFICATA - VIVIANA DE PAOLA ICT SENIOR CONSULTANT AGID - ODCEC ...
SPID identità digitale
e firma elettronica qualificata

                     Viviana De Paola
                ICT Senior Consultant AgID
SPID IDENTITÀ DIGITALE E FIRMA ELETTRONICA QUALIFICATA - VIVIANA DE PAOLA ICT SENIOR CONSULTANT AGID - ODCEC ...
IDENTIFICAZIONE ELETTRONICA

Il processo per cui si fa uso di dati di identificazione personale in forma elettronica che
rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che
rappresenta una persona giuridica;

«mezzi di identificazione elettronica», un’unità materiale e/o immateriale contenente dati
di identificazione personale e utilizzata per l’autenticazione per un servizio online.

                        Articolo 3, Regolamento eIDAS UE 2014/910
SPID IDENTITÀ DIGITALE E FIRMA ELETTRONICA QUALIFICATA - VIVIANA DE PAOLA ICT SENIOR CONSULTANT AGID - ODCEC ...
DIRITTI

L'accesso ai servizi in rete erogati dalle pubbliche amministrazioni, che richiedono
identificazione informatica avviene, dal 28/2/2021, esclusivamente tramite SPID, CIE e
CNS.

Con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per
l’innovazione tecnologica e la digitalizzazione è stabilita la data a decorrere dalla quale le
PA utilizzano esclusivamente le identità digitali per consentire l'accesso delle imprese e
dei professionisti ai propri servizi in rete.

Art. 64, co. 2 quater, 2 nonies e 3 bis, del d.lgs. 82/2005 (CAD)
SPID IDENTITÀ DIGITALE E FIRMA ELETTRONICA QUALIFICATA - VIVIANA DE PAOLA ICT SENIOR CONSULTANT AGID - ODCEC ...
Fondo per l'innovazione tecnologica e la digitalizzazione di euro 50.000.000,00

La prima somma di euro 37.500.000,00, quale quota relativa ai primi tre trimestri del 2020, è così
ripartita:

euro 31.100.000,00: realizzazione ed erogazione di servizi in rete nonché l’accesso ai servizi
medesimi tramite le piattaforme abilitanti pagoPA, ANPR, SPID e App IO
(articoli 5, 62, 64 e 64-bis CAD);

euro 6.400.000,00: favorire la diffusione delle competenze digitali

DM 5/10/2020 Ministro per l’Innovazione Tecnologica e la Digitalizzazione
(Dipartimento per la trasformazione digitale, Amministrazioni Pubbliche, Enti pubblici o società a
partecipazione pubblica)
DOVERI

I privati devono rispettare il CAD e le relative Linee guida concernenti il documento
informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e
conservazione dei documenti di cui agli articoli 43 e 44, il domicilio digitale e le
comunicazioni elettroniche di cui all'articolo 3-bis e al Capo IV, l'identità digitale di cui
agli articoli 3-bis e 64.

Art. 2, co.3, CAD
SISTEMA PUBBLICO DI IDENTITA’ DIGITALE

                                     Si può ottenere SPID a distanza usando la CIE, la
                                     CNS e la firma digitale.

                                     Da ottobre 2020 è prevista anche un’altra
                                     modalità di riconoscimento on line senza
                                     operatore

                                     (video, per mostrare il proprio documento di
                                     identità e codice ricevuto; bonifico da un proprio
                                     conto corrente italiano intestato o cointestato,
                                     indicando nella causale un codice specifico
   https://www.spid.gov.it/servizi
                                     ricevuto da un identity provider scelto.
https://avanzamentodigitale.italia.it/it/progetto/spi
d
https://avanzamentodigitale.italia.it/it/progetto/spid
Linee guida per il rilascio dell’identità digitale per uso professionale

Persona fisica: l’identità digitale che contiene gli attributi della persona fisica cui sono state
rilasciate le credenziali di autenticazione;

Modalità di rilascio:

il gestore dell’identità deve verificare l’identità personale della persona fisica richiedente.
La verifica dell’identità è assolvibile anche attraverso un servizio in rete accessibile con l’uso di
identità digitale SPID della medesima persona fisica, a condizione che le credenziali utilizzate
per l’autenticazione siano state rilasciate dallo stesso IdP al quale vengono richieste le
credenziali per uso professionale e siano di livello pari o superiore a quelle richieste.
Tale limitazione non si applica nel caso in cui siano intervenuti specifici accordi di natura privata
fra gli IdP.
Linee guida per il rilascio dell’identità digitale per uso professionale

Persona giuridica: l’identità digitale che contiene gli attributi della persona giuridica e della
persona fisica cui sono state rilasciate le credenziali di autenticazione;

Modalità di rilascio

il gestore dell’identità deve:
a) verificare l’identità personale della persona fisica richiedente;
b) verificare che il richiedente abbia titolo per richiedere l’identità digitale per la persona
giuridica.
SPID uso professionale

«Tali identità digitali sono quelle utili a provare l’appartenenza di una persona fisica
all’organizzazione di una persona giuridica e/o la sua qualità di professionista.

Le identità in questione, al contrario, non costituiscono prova dei poteri di
rappresentanza di una persona giuridica dei quali una persona fisica è
eventualmente in possesso né l’appartenenza di un professionista a un determinato
ordine professionale o altro elenco qualificato.» Art. 1
https://www.spid.gov.it/domande-frequenti   https://www.agid.gov.it/it/piattaforme/spid

Namirial persona giuridica (attualmente una sola identità digitale ad uso
professionale per la persona giuridica a persona giuridica. Tale limite sarà presto
eliminato)

Register persona giuridica, liberi professionisti e ditte individuali
SPID nel mondo

Austria, Belgio, Cipro, Croazia, Danimarca, Estonia, Finlandia, Germania, Grecia, Irlanda,
Lettonia, Lituania, Lussemburgo, Malta, Norvegia, Olanda, Portogallo, Regno Unito,
Repubblica Ceca, Slovacchia, Slovenia, Spagna, Svezia.

https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/06/25/eidas-
servizi-pubblici-accessibili-spid-cie-23-paesi
Linee Guida per la sottoscrizione elettronica di
documenti informatici ai sensi dell'art. 20 del CAD

Adottate con determinazione n.157 del 23/03/2020; pubblicate in G.U.R.I. serie generale n.
90 del 4 aprile 2020.
Disposizioni e regole tecniche di riferimento

 La sottoscrizione elettronica è un processo informatico che
permette di associare i dati utili a identificare il sottoscrittore al
         documento informatico. («firma con SPID»)

 Il titolare della firma che intende disconoscerla ha solo due
                           alternative:
     - dichiarare di non aver mai richiesto la firma digitale al
certificatore accreditato (che conserva elementi utili a provare di
                aver rilasciato la firma al soggetto);
    - dimostrare che è stato vittima di furto o sottrazione
temporanea del dispositivo e dei relativi codici per il suo utilizzo.
Disposizioni e regole tecniche di riferimento
Firma elettronica ex art. 20 – una firma elettronica apposta su un documento informatico
formato previa identificazione informatica del suo autore attraverso un processo avente i
requisiti fissati da AgID, con modalità tali da garantire la sicurezza, l’integrità e
l’immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità
all’autore.

Sicurezza: dispositivi sicuri per la generazione della firma;
Immodificabilità: caratteristica che rende il contenuto del documento informatico non
alterabile nella forma e nel contenuto durante l’intero ciclo di gestione e ne garantisce la
staticità nella conservazione del documento stesso.
Integrità: insieme delle caratteristiche di un documento informatico che ne dichiarano la
qualità di essere completo ed inalterato.

regole tecniche per firme elettroniche qualificate, certificati, sigilli e validazioni temporali
Firme e Sigilli Elettronici AgID
Firma elettronica:
dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e
utilizzati dal firmatario per firmare (prova valutabile liberamente in giudizio);

Firma elettronica avanzata:
- connessa unicamente al firmatario;
- idonea a identificare il firmatario;
- creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello
di sicurezza, utilizzare sotto il proprio esclusivo controllo;
collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati.

Firma elettronica qualificata:
 - dispositivo qualificato per la creazione di una firma elettronica;
- basata su un certificato qualificato per firme elettroniche;

FEA, FEQ o firma digitale hanno lo stesso valore giuridico della firma autografa e costituiscono in giudizio
una prova salvo che il titolare della firma dia prova contraria.
software di verifica
Firma digitale: un particolare tipo di firma qualificata basata su un sistema di
chiavi crittografiche, una pubblica e una privata, correlate tra loro, che
consente al titolare di firma elettronica tramite la chiave privata e a un
soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere
manifesta e di verificare la provenienza e l'integrità di un documento
informatico o di un insieme di documenti informatici; (art. 1 lettera s)

La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al
documento o all'insieme di documenti cui è apposta o associata. (art. 24)
Documenti informatici da sottoscrivere

Gli atti di cui all'articolo 1350 codice civile redatti su documento informatico o formati
attraverso procedimenti informatici devono essere sottoscritti, a pena di nullità, con firma
elettronica avanzata, qualificata o digitale ovvero «firma SPID».
Art. 21, co. 2-bis, CAD

Il servizio di sottoscrizione è realizzato per permettere al medesimo utente di sottoscrivere
un documento (anche in più punti), attraverso un’unica sessione di autenticazione SPID e, al
contempo, a utenti distinti di sottoscrivere il medesimo documento, in tempi e con sessioni
di autenticazione SPID distinte.
E’ consentita la modifica del documento esclusivamente per quanto concerne l’apposizione
dei previsti sigilli elettronici PAdES; né il contenuto del documento né i suoi metadati sono
cifrati.

Qualora un Identity o un Service Provider offra il servizio di firma SPID, il relativo metadata
pubblicato nel registro SPID contiene l’estensione  (namespace spid)

Documento AgID aprile 2014 L’apposizione di firme e informazioni su documenti firmati
Service Provider

Predispone il documento apponendovi il proprio sigillo elettronico qualificato QSeal
mediante sigillo elettronico di tipo PAdES,
non visibile (senza alcuna componente grafica) in formato PDF/A-2a,
secondo lo standard ISO/IEC 32000-1 con nome file usID_dataTora[_num].tmp.pdf;

presso la propria piattaforma lo sottopone, all’utente affinché possa essere visionato,
eventualmente scaricato e conservato.

Ad esempio il documento predisposto per la firma dall’Agenzia per l’Italia Digitale
(abbreviativo unico: “AgID”), il 21 marzo 2019 all’ora locale 08:34:10:

“AgID_20190321T083410.tmp.pdf”.
Il SP invia il documento predisposto per la firma all’IdP e, avuta evidenza del
successo dell’invio, inoltra la sessione dell’utente al relativo IDP con una richiesta di
autenticazione speciale (di livello pari almeno a 2), denominata “firma con SPID“, conforme
alle caratteristiche tecniche e alle modalità descritte nel capitolo 5 delle linee guida.

Tale richiesta contiene il codice fiscale del soggetto che deve apporre la firma, acquisito al
punto 1.

L’identificativo unico della sessione di autenticazione (session ID), sempre presente in ogni
richiesta e risposta di autenticazione, associa in modo univoco il documento informatico
scambiato tra SP, IDP e viceversa, ad un’unica autenticazione di firma con SPID.
Identity Provider

Acquisisce il consenso dell’utente ad apporre la firma e appone il proprio QSeal (o di
più sigilli nel caso siano previste più firme), nel documento che è, per ciascuna firma,
graficamente localizzato nello spazio previsto dal SP e indicato nella richiesta di
autenticazione.

Si forma così il documento firmato con SPID, che contiene il seguente testo:
Il %data% alle %ora%, %firmatario% ha confermato la volontà di apporre qui la propria
sottoscrizione ai sensi dell'art. 20, comma 1‐bis del CAD.

A seconda che si usi SPID uso professionale o meno la variabile è %firmatario% :
es. uso professionale: “Mario Rossi/Agenzia per
l'Italia Digitale/CF:IT‐97735020584” altrimenti vi sarà Mario Rossi senza AgID
Sistema di trasferimento sicuro dei documenti

 1. SP e IdP controllano che ogni file creato presso il proprio storage soddisfi quanto
    prescritto nelle convenzioni di nomenclatura dei documenti (§4.2 );

 2. L’IdP rimuove dallo storage i file ricevuti per i quali non sia pervenuta, entro un tempo
 limite di 10 secondi, una richiesta di autenticazione proveniente dal SP;

 3. IdP e SP verificano l’integrità dei documenti ricevuti ricalcolandone l’impronta e
 confrontandola con quella contenuta, rispettivamente, nella richiesta e nella risposta di
 autenticazione che le accompagnano;

 4. IdP e SP verificano l’autenticità dei QSeal della controparte e l’integrità del documento
 ricevuto.
Obblighi in capo agli Identity e ai Service Provider
Gli IdP si impegnano a:

- rendere disponibile ai SP il proprio servizio e garantirne tutte le caratteristiche di
confidenzialità, integrità e disponibilità;

- non conservare i documenti oggetto della firma con SPID che sono depositati presso i
propri sistemi, rimuovendoli in modo sicuro al termine del trattamento, salvo che l’utente
non abbia scelto di avvalersi dei servizi di conservazione dei documenti firmati. (§9)

I SP si impegnano a:

consentire agli utenti la sottoscrizione con firma elettronica qualificata.
Sta lavorando per abilitare anche il Gateway FedERa
http://federazione.lepida.it/federa/cos-e-federa alla firma con SPID in modo da agevolare
gli Enti nell’utilizzo della nuova opportunità anche per i servizi online integrati con FedERa.

Gli Enti interessati possono contattare Lepida (piattaformecittadini@lepida.it) per
approfondimenti.

https://www.lepida.net/news/2020-09/lepidaid-pronto-firma-spid
Il Paese che cambia passa da qui.

                                       www.agid.gov.it

Questa presentazione, nelle sue parti originali, è coperta da licenza Creative Commons Attribuzione, Condividi
allo stesso modo 4.0 Italia https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode.it
Puoi anche leggere