SPID IDENTITÀ DIGITALE E FIRMA ELETTRONICA QUALIFICATA - VIVIANA DE PAOLA ICT SENIOR CONSULTANT AGID - ODCEC ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
SPID identità digitale
e firma elettronica qualificata
Viviana De Paola
ICT Senior Consultant AgID
IDENTIFICAZIONE ELETTRONICA
Il processo per cui si fa uso di dati di identificazione personale in forma elettronica che
rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che
rappresenta una persona giuridica;
«mezzi di identificazione elettronica», un’unità materiale e/o immateriale contenente dati
di identificazione personale e utilizzata per l’autenticazione per un servizio online.
Articolo 3, Regolamento eIDAS UE 2014/910
DIRITTI L'accesso ai servizi in rete erogati dalle pubbliche amministrazioni, che richiedono identificazione informatica avviene, dal 28/2/2021, esclusivamente tramite SPID, CIE e CNS. Con decreto del Presidente del Consiglio dei Ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione è stabilita la data a decorrere dalla quale le PA utilizzano esclusivamente le identità digitali per consentire l'accesso delle imprese e dei professionisti ai propri servizi in rete. Art. 64, co. 2 quater, 2 nonies e 3 bis, del d.lgs. 82/2005 (CAD)
Fondo per l'innovazione tecnologica e la digitalizzazione di euro 50.000.000,00 La prima somma di euro 37.500.000,00, quale quota relativa ai primi tre trimestri del 2020, è così ripartita: euro 31.100.000,00: realizzazione ed erogazione di servizi in rete nonché l’accesso ai servizi medesimi tramite le piattaforme abilitanti pagoPA, ANPR, SPID e App IO (articoli 5, 62, 64 e 64-bis CAD); euro 6.400.000,00: favorire la diffusione delle competenze digitali DM 5/10/2020 Ministro per l’Innovazione Tecnologica e la Digitalizzazione (Dipartimento per la trasformazione digitale, Amministrazioni Pubbliche, Enti pubblici o società a partecipazione pubblica)
DOVERI I privati devono rispettare il CAD e le relative Linee guida concernenti il documento informatico, le firme elettroniche e i servizi fiduciari di cui al Capo II, la riproduzione e conservazione dei documenti di cui agli articoli 43 e 44, il domicilio digitale e le comunicazioni elettroniche di cui all'articolo 3-bis e al Capo IV, l'identità digitale di cui agli articoli 3-bis e 64. Art. 2, co.3, CAD
SISTEMA PUBBLICO DI IDENTITA’ DIGITALE
Si può ottenere SPID a distanza usando la CIE, la
CNS e la firma digitale.
Da ottobre 2020 è prevista anche un’altra
modalità di riconoscimento on line senza
operatore
(video, per mostrare il proprio documento di
identità e codice ricevuto; bonifico da un proprio
conto corrente italiano intestato o cointestato,
indicando nella causale un codice specifico
https://www.spid.gov.it/servizi
ricevuto da un identity provider scelto.https://avanzamentodigitale.italia.it/it/progetto/spi d
https://avanzamentodigitale.italia.it/it/progetto/spid
Linee guida per il rilascio dell’identità digitale per uso professionale Persona fisica: l’identità digitale che contiene gli attributi della persona fisica cui sono state rilasciate le credenziali di autenticazione; Modalità di rilascio: il gestore dell’identità deve verificare l’identità personale della persona fisica richiedente. La verifica dell’identità è assolvibile anche attraverso un servizio in rete accessibile con l’uso di identità digitale SPID della medesima persona fisica, a condizione che le credenziali utilizzate per l’autenticazione siano state rilasciate dallo stesso IdP al quale vengono richieste le credenziali per uso professionale e siano di livello pari o superiore a quelle richieste. Tale limitazione non si applica nel caso in cui siano intervenuti specifici accordi di natura privata fra gli IdP.
Linee guida per il rilascio dell’identità digitale per uso professionale Persona giuridica: l’identità digitale che contiene gli attributi della persona giuridica e della persona fisica cui sono state rilasciate le credenziali di autenticazione; Modalità di rilascio il gestore dell’identità deve: a) verificare l’identità personale della persona fisica richiedente; b) verificare che il richiedente abbia titolo per richiedere l’identità digitale per la persona giuridica.
SPID uso professionale «Tali identità digitali sono quelle utili a provare l’appartenenza di una persona fisica all’organizzazione di una persona giuridica e/o la sua qualità di professionista. Le identità in questione, al contrario, non costituiscono prova dei poteri di rappresentanza di una persona giuridica dei quali una persona fisica è eventualmente in possesso né l’appartenenza di un professionista a un determinato ordine professionale o altro elenco qualificato.» Art. 1
https://www.spid.gov.it/domande-frequenti https://www.agid.gov.it/it/piattaforme/spid Namirial persona giuridica (attualmente una sola identità digitale ad uso professionale per la persona giuridica a persona giuridica. Tale limite sarà presto eliminato) Register persona giuridica, liberi professionisti e ditte individuali
SPID nel mondo Austria, Belgio, Cipro, Croazia, Danimarca, Estonia, Finlandia, Germania, Grecia, Irlanda, Lettonia, Lituania, Lussemburgo, Malta, Norvegia, Olanda, Portogallo, Regno Unito, Repubblica Ceca, Slovacchia, Slovenia, Spagna, Svezia. https://www.agid.gov.it/it/agenzia/stampa-e-comunicazione/notizie/2020/06/25/eidas- servizi-pubblici-accessibili-spid-cie-23-paesi
Linee Guida per la sottoscrizione elettronica di documenti informatici ai sensi dell'art. 20 del CAD Adottate con determinazione n.157 del 23/03/2020; pubblicate in G.U.R.I. serie generale n. 90 del 4 aprile 2020.
Disposizioni e regole tecniche di riferimento
La sottoscrizione elettronica è un processo informatico che
permette di associare i dati utili a identificare il sottoscrittore al
documento informatico. («firma con SPID»)
Il titolare della firma che intende disconoscerla ha solo due
alternative:
- dichiarare di non aver mai richiesto la firma digitale al
certificatore accreditato (che conserva elementi utili a provare di
aver rilasciato la firma al soggetto);
- dimostrare che è stato vittima di furto o sottrazione
temporanea del dispositivo e dei relativi codici per il suo utilizzo.Disposizioni e regole tecniche di riferimento Firma elettronica ex art. 20 – una firma elettronica apposta su un documento informatico formato previa identificazione informatica del suo autore attraverso un processo avente i requisiti fissati da AgID, con modalità tali da garantire la sicurezza, l’integrità e l’immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore. Sicurezza: dispositivi sicuri per la generazione della firma; Immodificabilità: caratteristica che rende il contenuto del documento informatico non alterabile nella forma e nel contenuto durante l’intero ciclo di gestione e ne garantisce la staticità nella conservazione del documento stesso. Integrità: insieme delle caratteristiche di un documento informatico che ne dichiarano la qualità di essere completo ed inalterato. regole tecniche per firme elettroniche qualificate, certificati, sigilli e validazioni temporali
Firme e Sigilli Elettronici AgID Firma elettronica: dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare (prova valutabile liberamente in giudizio); Firma elettronica avanzata: - connessa unicamente al firmatario; - idonea a identificare il firmatario; - creata mediante dati per la creazione di una firma elettronica che il firmatario può, con un elevato livello di sicurezza, utilizzare sotto il proprio esclusivo controllo; collegata ai dati sottoscritti in modo da consentire l’identificazione di ogni successiva modifica di tali dati. Firma elettronica qualificata: - dispositivo qualificato per la creazione di una firma elettronica; - basata su un certificato qualificato per firme elettroniche; FEA, FEQ o firma digitale hanno lo stesso valore giuridico della firma autografa e costituiscono in giudizio una prova salvo che il titolare della firma dia prova contraria. software di verifica
Firma digitale: un particolare tipo di firma qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare di firma elettronica tramite la chiave privata e a un soggetto terzo tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici; (art. 1 lettera s) La firma digitale deve riferirsi in maniera univoca ad un solo soggetto ed al documento o all'insieme di documenti cui è apposta o associata. (art. 24)
Documenti informatici da sottoscrivere Gli atti di cui all'articolo 1350 codice civile redatti su documento informatico o formati attraverso procedimenti informatici devono essere sottoscritti, a pena di nullità, con firma elettronica avanzata, qualificata o digitale ovvero «firma SPID». Art. 21, co. 2-bis, CAD Il servizio di sottoscrizione è realizzato per permettere al medesimo utente di sottoscrivere un documento (anche in più punti), attraverso un’unica sessione di autenticazione SPID e, al contempo, a utenti distinti di sottoscrivere il medesimo documento, in tempi e con sessioni di autenticazione SPID distinte.
E’ consentita la modifica del documento esclusivamente per quanto concerne l’apposizione dei previsti sigilli elettronici PAdES; né il contenuto del documento né i suoi metadati sono cifrati. Qualora un Identity o un Service Provider offra il servizio di firma SPID, il relativo metadata pubblicato nel registro SPID contiene l’estensione (namespace spid) Documento AgID aprile 2014 L’apposizione di firme e informazioni su documenti firmati
Service Provider Predispone il documento apponendovi il proprio sigillo elettronico qualificato QSeal mediante sigillo elettronico di tipo PAdES, non visibile (senza alcuna componente grafica) in formato PDF/A-2a, secondo lo standard ISO/IEC 32000-1 con nome file usID_dataTora[_num].tmp.pdf; presso la propria piattaforma lo sottopone, all’utente affinché possa essere visionato, eventualmente scaricato e conservato. Ad esempio il documento predisposto per la firma dall’Agenzia per l’Italia Digitale (abbreviativo unico: “AgID”), il 21 marzo 2019 all’ora locale 08:34:10: “AgID_20190321T083410.tmp.pdf”.
Il SP invia il documento predisposto per la firma all’IdP e, avuta evidenza del successo dell’invio, inoltra la sessione dell’utente al relativo IDP con una richiesta di autenticazione speciale (di livello pari almeno a 2), denominata “firma con SPID“, conforme alle caratteristiche tecniche e alle modalità descritte nel capitolo 5 delle linee guida. Tale richiesta contiene il codice fiscale del soggetto che deve apporre la firma, acquisito al punto 1. L’identificativo unico della sessione di autenticazione (session ID), sempre presente in ogni richiesta e risposta di autenticazione, associa in modo univoco il documento informatico scambiato tra SP, IDP e viceversa, ad un’unica autenticazione di firma con SPID.
Identity Provider Acquisisce il consenso dell’utente ad apporre la firma e appone il proprio QSeal (o di più sigilli nel caso siano previste più firme), nel documento che è, per ciascuna firma, graficamente localizzato nello spazio previsto dal SP e indicato nella richiesta di autenticazione. Si forma così il documento firmato con SPID, che contiene il seguente testo: Il %data% alle %ora%, %firmatario% ha confermato la volontà di apporre qui la propria sottoscrizione ai sensi dell'art. 20, comma 1‐bis del CAD. A seconda che si usi SPID uso professionale o meno la variabile è %firmatario% : es. uso professionale: “Mario Rossi/Agenzia per l'Italia Digitale/CF:IT‐97735020584” altrimenti vi sarà Mario Rossi senza AgID
Sistema di trasferimento sicuro dei documenti
1. SP e IdP controllano che ogni file creato presso il proprio storage soddisfi quanto
prescritto nelle convenzioni di nomenclatura dei documenti (§4.2 );
2. L’IdP rimuove dallo storage i file ricevuti per i quali non sia pervenuta, entro un tempo
limite di 10 secondi, una richiesta di autenticazione proveniente dal SP;
3. IdP e SP verificano l’integrità dei documenti ricevuti ricalcolandone l’impronta e
confrontandola con quella contenuta, rispettivamente, nella richiesta e nella risposta di
autenticazione che le accompagnano;
4. IdP e SP verificano l’autenticità dei QSeal della controparte e l’integrità del documento
ricevuto.Obblighi in capo agli Identity e ai Service Provider Gli IdP si impegnano a: - rendere disponibile ai SP il proprio servizio e garantirne tutte le caratteristiche di confidenzialità, integrità e disponibilità; - non conservare i documenti oggetto della firma con SPID che sono depositati presso i propri sistemi, rimuovendoli in modo sicuro al termine del trattamento, salvo che l’utente non abbia scelto di avvalersi dei servizi di conservazione dei documenti firmati. (§9) I SP si impegnano a: consentire agli utenti la sottoscrizione con firma elettronica qualificata.
Sta lavorando per abilitare anche il Gateway FedERa http://federazione.lepida.it/federa/cos-e-federa alla firma con SPID in modo da agevolare gli Enti nell’utilizzo della nuova opportunità anche per i servizi online integrati con FedERa. Gli Enti interessati possono contattare Lepida (piattaformecittadini@lepida.it) per approfondimenti. https://www.lepida.net/news/2020-09/lepidaid-pronto-firma-spid
Il Paese che cambia passa da qui.
www.agid.gov.it
Questa presentazione, nelle sue parti originali, è coperta da licenza Creative Commons Attribuzione, Condividi
allo stesso modo 4.0 Italia https://creativecommons.org/licenses/by-nc-sa/4.0/legalcode.itPuoi anche leggere
