L’identità digitale SPID: driver per l’innovazione digitale dei servizi erogati dalle aziende
I servizi erogati dalle aziende e in generale dalle organizzazioni private devono essere sempre più comodi e funzionali per gli utenti che li fruiscono. Già da anni era in corso una rivoluzione digitale dei servizi e dei processi aziendali per la competitività e l’efficientamento del business delle imprese italiane, ma ora, dopo la crisi pandemica, sono gli utenti stessi a pretendere sempre più un servizio digitale completo e smart, che possa permettere di essere soddisfatti, avendo risparmiato tempo e costi personali.
È indubbio che la pandemia abbia reso “popolare” la relazione digitale negli scenari B2B e B2C, ad esempio per accettare un contratto, per acquistare e pagare beni e servizi, per condividere documenti, per ricevere notifiche e comunicazioni. Ormai il tempo sprecato con una gestione cartacea e analogica viene reputato negativamente dall’utente, che è maturato e desidera sfruttare quel tempo per svolgere attività personali, familiari o in generale attività a più alto valore, al fine di migliorare la propria qualità della vita.
La recente indagine “Italiani e digitale” di Fondazione Italia Digitale dimostra come la digitalizzazione sia diventata per gli italiani un’opportunità affidabile e sicura.
La diffidenza degli italiani nei confronti della digitalizzazione dei servizi è stata sconfitta: ora spetta alle imprese italiane innovare e trasformare i propri servizi, sfruttando i benefici generati dalle identità digitali.
Le identità digitali SPID rilasciante ad uso personale hanno ormai raggiunto i 27 milioni di identità, andamento che può essere monitorato sul portale web Avanzamento trasformazione digitale Italia dell’Agenzia per l’Italia Digitale.
I risultati dell’Osservatorio Digital Identity della School of Management del Politecnico di Milano, presentati il 19 novembre 2021, hanno confermato che più della metà degli italiani è in possesso di un’identità digitale. Guardando all’età emerge che la penetrazione dell’identità digitale è maggiore tra i più giovani: questa raggiunge l’87% nella popolazione di età compresa tra 18 e 24 anni, il 34% nella fascia 65-74 e solo il 14% per gli utenti over 75.
L’adozione e l’integrazione con l’ecosistema SPID da parte dei fornitori privati di servizi è l’occasione per semplificare, rinnovare e rendere più sicuri e robusti i propri servizi.
Ma vediamo che cos’è lo SPID e quali sono le sue caratteristiche e le opportunità.
Un’identità digitale è la rappresentazione informatica della corrispondenza tra un utente (persona fisica o giuridica) e i suoi attributi identificativi, verificata attraverso l’insieme dei dati raccolti e registrati in forma digitale.
Un’identità digitale serve per accedere ad un servizio digitale o ad un sistema informatico o per la sottoscrizione di documenti informatici se integrata in un processo di firma elettronica.
In Italia il sistema di identità digitale più noto è il sistema SPID (Sistema Pubblico di Identità Digitale), una soluzione che consente agli utenti maggiorenni di essere identificati in modo certo e di accedere ai servizi online delle pubbliche amministrazioni e delle organizzazioni private con un’unica credenziale sicura, utilizzabile da computer, tablet e smartphone.
Il sistema SPID è un ecosistema di servizi per l’identità digitale costituito da un insieme aperto, federato e cooperante di diversi soggetti pubblici e privati che colloquiano applicativamente tra di loro. Gli attori di questo ecosistema sono i seguenti:
- Utenti Titolari di identità SPID: sono gli utenti che richiedono all’Identity Provider il rilascio dell’identità ad uso personale e/o professionale, previa loro identificazione, per compiere delle attività e accedere ai servizi in rete eterogenei di fornitori di servizi pubblici e privati.
- Gestori delle identità (Identity Provider o IdP): soggetti accreditati da AgID che gestiscono tutto il ciclo di vita delle identità ad uso personale e professionale per gli utenti che le richiedono e la loro procedura di autenticazione per l’accesso e la fruizione ai servizi e transazioni online.
- Fornitore di servizi (Service Provider o SP): organizzazioni pubbliche o private integrate applicativamente con il sistema SPID che, dopo aver richiesto l’autenticazione dell’utente all’Identity Provider, ne gestiscono l’autorizzazione sulla base degli attributi restituiti dal Gestore dell’identità ed erogano il servizio online richiesto agli utenti identificati.
- Aggregatore di servizi pubblici e privati SPID: soggetti facilitatori, pubblici o privati, che offrono ai Fornitori di servizi terzi (soggetti aggregati) servizi facoltativi di integrazione applicativa per rendere accessibili i rispettivi servizi online tramite lo SPID. Si è in attesa della Convenzione AgID per gli Aggregatori dei servizi privati.
- Gestore di attributi qualificati (Attribute Authority o AA): soggetti pubblici o privati accreditati da AgID che forniscono attributi qualificati su richiesta dei fornitori di servizi e sulla base dell’utente autenticato. Si è in attesa delle Linee Guida AgID per poter rendere tali soggetti effettivi.
Uno dei vantaggi più rilevanti dell’integrazione delle identità digitali con i servizi e i sistemi online gestiti dalle aziende sta nel fatto che le identità digitali permettono di identificare in modo certo e opponibile a terzi i clienti, i fornitori e più in generale gli utenti che accedono e utilizzano un servizio, gli utenti che accettano le condizioni e interagiscono con il servizio, etc.
L’ecosistema SPID permette la verifica erga omnes dell’identità digitale e mette a disposizione dei fornitori di servizi pubblici e privati la prova; l’elemento probante della verifica eseguita che non è altro che un file XML cosiddetto <Response> che andrà conservato per il periodo di conservazione necessario.
Da questo punto di vista, molti non sanno che il Decreto Semplificazioni 2020 ha modificato i Codice dell’Amministrazione Digitale (CAD) introducendo l’art. 64, comma 2-duodecies, del CAD secondo cui la verifica dell’identità digitale con livello di garanzia almeno significativo (quindi in Italia i livelli 2 e 3 di SPID e il livello 3 CIE) produce, in tutte le transazioni elettroniche o per l’accesso ai servizi in rete, gli effetti del documento di riconoscimento equipollente, di cui all’art. 35 D.P.R. n. 445/2000, quindi produce il riconoscimento digitale e automatico certo dell’utente titolare di quella identità.
Il livello 2 (significativo) dell’identità SPID permette un alto grado di affidabilità in quanto è basata su un’autenticazione a doppio fattore, ovvero tramite l’inserimento della mail + password e poi la generazione di una One Time Password «usa e getta» inviata all’utente. L’invio dell’OTP generalmente avviene tramite l’app dell’IdP installata sullo smartphone dell’utente o tramite sms o tramite notifica push che richiede un’autenticazione biometrica (impronta del pollice) dell’utente sul proprio smartphone.
Oltre alle identità ad uso personale da cittadino esistono anche le identità digitali ad uso professionale disciplinate dalle apposite linee guida AgID, ossia le identità digitali da utilizzare per l’uso lavorativo e che quindi contengono un attributo che dichiara tale caratteristica. Sono utili a provare l’appartenenza di una persona fisica all’organizzazione di una persona giuridica e/o a sua qualità di professionista.
Tali linee guida prevedono che il rilascio di queste identità ad uso professionale sia a pagamento e che il soggetto persona fisica che richiede questa identità possa qualificarsi:
- come professionista o lavoratore autonomo e, in tal caso, si parla di “ID ad uso professionale per la persona fisica”;
- come soggetto che opera in nome e per conto di un’organizzazione di un soggetto giuridico; in questo caso si parla di “ID ad uso professionale per la persona giuridica”. In tale contesto, l’organizzazione è la persona giuridica che stipula un accordo con un Identity Provider al fine del rilascio delle identità digitali in favore di soggetti che agiscono in qualità di dipendenti o, comunque, a nome o per conto dell’organizzazione stessa.
Oggi in molti scenari operativi dei servizi online erogati dalle pubbliche amministrazioni (INPS, INAIL, Agenzia delle Entrate, ecc.) è permesso l’accesso delle identità digitali SPID rilasciate ad uso personale anche per l’uso e le attività con finalità lavorativa e questo il Legislatore lo dovrà rettificare nel tempo.
Le aziende, per avere un monitoraggio e un governo delle identità digitali utilizzate dai propri dipendenti e collaboratori nei vari servizi web based in nome e per conto della propria azienda di appartenenza, possono già indirizzarsi verso la richiesta di identità digitali ad uso professionale.
Per tal motivo, si diffonderanno sempre più le identità digitali ad uso lavorativo per la persona giuridica (azienda), in modo che i dipendenti correlati ad un’organizzazione (es. azienda) possano fruire dei servizi online in modo corretto e coerente con la finalità di svolgere attività lavorative a favore dell’organizzazione stessa.
Pertanto, da un lato le imprese e i loro manager devono avere come obiettivo prioritario quello di rendere l’esperienza utente dei propri servizi il più fluida possibile (seamless) e ciò può avvenire sicuramente sfruttando anche i benefici e le utilità fornite dall’ecosistema delle identità digitali; dall’altro lato, è arrivata l’ora di far utilizzare in modo opportuno e corretto ai propri dipendenti i servizi online pubblici e privati mediante le identità digitali ad uso professionale, in quegli scenari operativi in cui l’acceso e l’utilizzo del servizio hanno una finalità lavorativa correlata all’organizzazione di appartenenza.
Il prossimo biennio sarà sicuramente strategico per i privati in quanto:
- sarà avviato operativamente il sistema di gestione deleghe per permettere ai cittadini che ne hanno bisogno di autorizzare altri soggetti (cd. delegati), muniti di SPID o CIE, ad accedere ai servizi online per loro conto;
- sarà avviata l’operatività delle Attribute Authority;
- sarà possibile rilasciare gli SPID per i minori previa richiesta e controllo da parte di chi esercita la responsabilità genitoriale;
- si inizieranno a diffondere le identità digitali in ambito lavorativo sia per le aziende che per i professionisti.
In ultimo, con l’avvio operativo delle Attribute Authority (Gestori degli Attributi Qualificati), quando un fornitore di servizi verificherà automaticamente le identità digitali con livello di sicurezza almeno significativo (per SPID almeno il livello 2), potrà attestare gli attributi qualificati dell’utente, ivi compresi i dati relativi al possesso di abilitazioni o autorizzazioni richieste dalla legge, ovvero stati, qualità personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche, secondo le modalità stabilite dalle tanto attese Linee Guida AgID in materia.