Lo SPID: nuovo strumento di identificazione digitale a disposizione dei professionisti
Le soluzioni di identità elettronica, come lo SPID in Italia, rappresentano uno scenario innovativo, sicuro e affidabile per l’accesso e la fruizione dei servizi pubblici e privati da parte delle persone fisiche e giuridiche e per la trasformazione digitale di processi che richiedono un riconoscimento certo degli utenti.
Lo SPID, riconosciuto dall’ordinamento nazionale e notificato alla Commissione europea in ottemperanza al Regolamento UE eIDAS, è un ecosistema in grado di soddisfare anche quei processi e servizi con esigenze settoriali specifiche per le quali l’identificazione è sensibile e richiede un grado elevato di certezza.
Come dichiarato dalla Commissione europea a giugno 2021 nella Proposta di revisione del regolamento UE eIDAS n. 910/2014, tanto nel settore privato quanto in quello pubblico si registra una crescente domanda di soluzioni di identità elettronica in grado di assicurare l’identificazione e l’autenticazione degli utenti con un livello elevato di garanzia, con guadagni in termini di efficienza e un grado elevato di fiducia e certezza probatoria.
Il Sistema Pubblico di Identità Digitale (SPID) per l’uso personale e lavorativo
Lo SPID è un sistema federato che rilascia e gestisce l’utilizzo delle identità digitali, con le quali è possibile accedere ai servizi online della pubblica amministrazione e dei fornitori di servizi privati aderenti al sistema.
Il livello 1 di SPID permette di accedere ai servizi online attraverso semplici credenziali SPID (nome utente/mail + password).
Il livello 2 o significativo, utilizzato da tutti per accedere ai servizi che richiedono un grado di sicurezza maggiore, permette l’accesso attraverso le credenziali SPID (nome utente/mail + password) e la generazione e inserimento di un codice temporaneo di accesso OTP (one time password) attraverso l’uso di autenticazione biometrica (impronta) mediante app fruibili tramite lo smartphone o il tablet.
Il livello 3, ad oggi praticamente inutilizzato nello SPID, prevede, oltre alle credenziali SPID, l’utilizzo di ulteriori soluzioni di sicurezza e di eventuali dispositivi fisici (es. smart card) che vengono erogati dal gestore dell’identità.
L’ecosistema SPID è definito federato perché si compone di diversi attori che cooperano tra di loro:
- i gestori dell’identità digitale(identity provider o IdP), soggetti privati accreditati da AgID per la creazione e la gestione delle identità digitali degli utenti, a cui gli utenti stessi si rivolgono per ottenere le identità SPID;
- i fornitori di servizi (service provider o SP), organizzazioni pubbliche o private che, abilitando l’accesso ai propri servizi online tramite l’identità digitale, consentono una fruizione veloce, sicura e protetta ai propri servizi digitali;
- gli utenti (cittadini e imprese) che dispongono della propria identità digitale, certificata da uno o più gestori, per accedere ai servizi online della Pubblica Amministrazione e dei fornitori privati aderenti (imprese, professionisti, ecc.).
Qualsiasi utente maggiorenne può richiedere gratuitamente uno o più SPID ad uso personale (del cittadino); è poi disponibile lo SPID ad uso professionale a pagamento da utilizzare per quei servizi che hanno una finalità lavorativa.
Le identità digitali ad uso professionale (o lavorativo) sono utili a comprovare la qualità di professionista o l’appartenenza di una persona fisica (dipendente-collaboratore) all’organizzazione di una persona giuridica (azienda, ente pubblico, ecc.). Tuttavia, queste identità non costituiscono prova dell’appartenenza di un professionista a un determinato ordine professionale o altro elenco qualificato o dei poteri di rappresentanza di una persona giuridica dei quali una persona fisica è eventualmente in possesso.
L’esigenza espressa dal mercato di servizi online
Gli utenti chiedono sempre più di poter fruire di servizi online in modo semplice e rapido, soprattutto dopo l’esperienza del distanziamento sociale durante la pandemia, che di fatto ha eliminato la diffidenza verso il digitale aprendo la strada ad una condivisione digitale di dati e documenti, ad una relazione digitale che sta impattando su tutta la popolazione, su tutti i mercati B2B e B2C e che sta coinvolgendo in modo diretto i professionisti, che con il loro ruolo di “guida” devono saper indirizzare verso scelte di innovazione digitale la propria organizzazione e quella dei propri clienti imprese.
Digitalizzare i servizi delle pubbliche amministrazioni, delle imprese e dei professionisti, sfruttando anche i benefici offerti dalle identità digitali, permette di semplificare e rendere più fluidi i servizi agli utenti con un accesso a distanza tramite computer o smartphone.
I fornitori di servizi (Service Provider SP) privati, ad esempio imprese e studi professionali, sono sempre più interessati ad offrire servizi innovativi, più efficaci e che riducano i loro costi operativi.
Inoltre, se ci si riferisce ai servizi pubblici, dal 1° ottobre 2021 i cittadini possono accedere ai servizi online delle pubbliche amministrazioni soltanto attraverso le identità digitali SPID, Carta d’identità elettronica (CIE) e Carta Nazionale dei Servizi (CNS).
Fruizione dei servizi pubblici e privati tramite le identità ad uso professionale
Oggi molti portali di servizi pubblici permettono alle identità digitali ad uso personale di accedere anche per le finalità lavorative o presentano problemi nelle PROCEDURE DI deleghe o nelle sub-deleghe. Questo accesso tramite l’identità personale ma con una finalità di trattamento e di fruizione diversa (lavorativa) dovrà essere corretto per tanti motivi; per tal motivo dal 2022 in poi è da prevedere una crescita sostenuta delle identità ad uso professionale, sia per le persone fisiche (come i professionisti) che per le persone giuridiche (imprese e loro dipendenti/collaboratori).
Il ruolo dello studio come autorità di registrazione
Il professionista e in generale lo studio professionale, oltre a poter ricoprire un ruolo di guida e indirizzo normativo a favore dei propri clienti per la richiesta e l’utilizzo delle identità digitali ed in particolar modo di quelle ad uso lavorativo, può eseguire attività di ufficio di registrazione che identifica e registra i dati identificativi delle persone fisiche e giuridiche al fine di permettere all’Identity Provider di rilasciare le identità.
Il valore dello strumento di identificazione digitale
Un fattore abilitante per l’utilizzo diffuso delle identità digitali SPID sta nel beneficiare non solo della loro caratteristica di strumento di autenticazione forte, sicuro e federato per gli utenti, ma soprattutto del loro valore di riconoscimento digitale certo, automatico, a distanza e in mobilità, generando una rivoluzione dei modelli di business e in generale dei processi con l’erogazione di moltissimi servizi a valore aggiunto nei riguardi di utenti (clienti, fornitori, dipendenti/collaboratori, fruitori, ecc.) e con la possibile integrazione nelle soluzioni di firma elettronica online.
A tal riguardo, molti non sanno che il Decreto Semplificazioni 16 luglio 2020 n. 76 ha introdotto il comma 2-duodecies all’art. 64 del Codice dell’Amministrazione Digitale (CAD) stabilendo che la verifica dell’identità digitale con livello di garanzia «almeno significativo» produce nelle transazioni elettroniche o per l’accesso ai servizi in rete, gli effetti del documento di riconoscimento equipollente, di cui all’art. 35 del d.p.r. n. 445/2000.
Inoltre, il comma 2-quinquies dell’art. 64 del CAD prevede che un fornitore di servizi privato che aderisce al sistema SPID per la verifica dell’accesso degli utenti ai propri servizi erogati in rete per i quali è richiesto il riconoscimento dell’utente sia esonerato dall’obbligo generale di sorveglianza delle attività sui propri siti web, previsto dall’art. 17 del decreto legislativo 9 aprile 2003, n. 70, che ha recepito la direttiva europea sul commercio elettronico.
L’applicazione di queste disposizioni del CAD nei servizi web-based erogati da parte degli studi professionali e dei loro clienti imprese è molto interessante e di concreta semplificazione, in quanto riduce rischi e costi di conformità, facilita l’accesso degli utenti ai servizi digitali di qualsiasi organizzazione e offre loro maggiori tutele di confidenzialità e sicurezza.
Elementi di prova della verifica dell’identità
Operativamente la richiesta di autenticazione e identificazione elettronica dell’utente titolare di SPID viene avviata dal servizio erogato dal fornitore di servizi (Service Provider, ad esempio l’impresa o lo studio professionale) dopo che l’utente richiede l’accesso online al servizio con SPID di livello di sicurezza significativo (minimo 2).
Il processo di verifica dell’identità prevede un colloquio applicativo e automatico del fornitore di servizi (SP) con il Gestore dell’identità digitale (IdP) che verifica l’identità su richiesta del SP. In questo scenario l’elemento probatorio dell’avvenuta verifica dell’identità digitale SPID è data dall’esito positivo contenuto nel file asserzione Response nel formato XML firmato elettronicamente dall’Identity Provider, messo a disposizione del fornitore dei servizi, il quale è obbligato a conservare per 24 mesi il registro delle transazioni SPID con tutte le asserzioni.
Poi ci possono essere scenari, come ad esempio quello dell’adeguata verifica della clientela o dell’identificazione per l’utilizzo di una firma elettronica, dove è assolutamente necessaria la conservazione digitale del file XML asserzione secondo le Linee Guida AgID ex art 71 del CAD, al fine di dimostrare ed esibire nel periodo prescritto la verifica dell’identità digitale.
Servizi che saranno gestiti tramite l’identità digitale SPID
Le identità digitali scommettono di rivoluzionare i paradigmi tradizionali di relazione B2C e B2B dal 2022-2023 in poi, anche nei settori privati.
Per portare un esempio concreto, si pensi all’adempimento che interessa il settore dei professionisti dell’adeguata verifica della clientela, di cui al Decreto Legislativo n. 231/2007 relativo agli obblighi di antiriciclaggio e antiterrorismo internazionale.
Nella recente revisione del Decreto, modificato dal D.L. Semplificazioni n. 76/2020 e dal Decreto Legislativo n. 125 del 4 ottobre 2019 di recepimento della quinta direttiva antiriciclaggio dell’Unione europea, l’art. 18 stabilisce che gli obblighi di adeguata verifica della clientela si attuano attraverso l’identificazione del cliente e la verifica della sua identità sulla base di documenti, dati o informazioni ottenuti da una fonte affidabile e indipendente.
L’art. 19 prevede, altresì, che gli obblighi di adeguata verifica possono essere assolti per i clienti in possesso di un’identità digitale, con livello di garanzia almeno significativo SPID o CIE.
Il non utilizzo dell’autenticazione e identificazione con SPID e CIE per riconoscere la clientela diventa uno dei fattori di rischio relativi al cliente di cui il soggetto obbligato all’adempimento della 231 deve tener conto nella scelta della modalità di adeguata verifica da effettuare. Infatti, l’art. 23 dispone che sono richiesti obblighi di adeguata verifica rafforzata della clientela per rapporti continuativi, prestazioni professionali od operazioni occasionali a distanza, non assistiti da procedure di identificazione elettronica sicure riconosciute dall’AgID.
Infine, l’art. 31 afferma che i documenti, i dati e le informazioni acquisiti nell’ambito delle procedure di adeguata verifica sono conservati per un periodo di 10 anni dalla cessazione del rapporto continuativo, della prestazione professionale o dall’esecuzione dell’operazione occasionale; di conseguenza la prova della verifica dell’identità digitale del cliente (file XML Response) andrà conservata digitalmente a norma dal soggetto obbligato per tale periodo