Questo browser non supporta Javascript RIOS Academy
utente: guest tipo: utente livello: 0
status: navigazione

L'opportunità del Sistema Pubblico di Identità Digitale (SPID)

Entrare nel sistema pubblico di identità digitale. RIOS ci sta pensando seriamente. D'altronde le opportunità in gioco sono davvero ghiotte. 

Lo scorso 28 luglio L'Agenzia per l'Italia Digitale ha pubblicato il "regolamento recante le modalità per l'accreditamento e la vigilanza dei gestori dell'identità digitale", emanando le regole per l'accreditamento e l'attività di poche decine di aziende ICT, possibili Identity Providers. 
Non ha provveduto, però, a regolamentare l'attività di centinaia di ordini professionali, associazioni legalmente riconosciute e organizzazioni dello Stato, che sono Attribute Providers con  il diritto di attribuire qualifiche professionali o incarichi a valore legale all'interno di procedimenti pubblici. 

Quindi esistono regole amministrative e tecniche per i soggetti privati che vogliono fare gli Identity Providers e un vuoto legislativo per gli Attribute Providers. 

Facciamo ora un passo indietro e vediamo di comprendere i ruoli in campo: 

  • un Service Provider (SP) è un soggetto che espone un servizio on-line che necessita di qualche forma di autenticazione o autorizzazione per usufruire del servizio stesso, per esempio: Ospedali, Banche, Comuni, Poste, Assicurazioni e siti di commercio elettronico. 
     
  • Gli Identity Provider (IdP), invece, sono tutti i soggetti che rilasciano credenziali digitali costruite secondo regole opportune a soggetti riconosciuti con una modalità opportuna, solitamente con la presentazione di documenti di identità validi. Oggi lo fanno molti Comuni, diverse Regioni, la maggioranza delle banche, le Poste Italiane ed altri attori della nostra vita quotidiana digitale. 
     
  • Gli IdP, di solito, conservano anche una serie di informazioni collegate all'identità che vengono chiamati Attributi Elementari (o non qualificati). E qui entrano in gioco i PoQA, detti anche Gestori di Attributi Qualificati (GAQ), che sono tutti quei soggetti autorizzati dalla legge a certificare una qualifica; per esempio gli ordini professionali.

La categoria dei PoQA è più ampia di quel che sembra. Infatti, qualunque organizzazione possa attribuire incarichi di un qualche rilievo è un Gestore di Attributi Qualificati, per esempio: un'Amministrazione che nomina un suo dirigente "Responsabile Unico di un Procedimento"; un ospedale che nomina un "Primario".

L'assenza di norme per i soggetti che fungono da Attribute Providers e un eventuale accesso a un sistema SPID, lasciano comunque intravedere alcune importanti opportunità:

  • per aderire al modello SPID i Service Provider dovranno modificare le loro applicazioni web secondo specifiche. Chi prepara dei template e/o sviluppa delle esperienze ha un ampio mercato in questo senso. 
     
  • gli Identity Provider dovranno sviluppare porzioni di sistemi informativi ad-hoc per gestire le identità digitali. 
     
  • molti soggetti che fino ad oggi gestivano identità digitali a uso e consumo dei propri servizi, come banche, catene di distribuzione, ospedali, comuni, non vorranno consegnarle nelle mani degli IdP ma preferiranno diventare IdP essi stessi. Saranno quindi forzati ad essere IdP e PoQA contemporaneamente aprendo un mercato per consulenze specializzate e soluzioni agili per gestire entrambi le funzioni di IdP e PoQA.
     
  • i "tipici" PoQA, come gli ordini professionali, sono un mercato poco presidiato. Sono privi di cultura informatica e potrebbero vedere come troppo difficile o costoso dotarsi di soluzioni proprietarie. Probabilmente saranno bersagli di IdP che si offriranno di gestire "in conto terzi" gli attributi di pertinenza.
     
  • per favorire l'utilizzo di SAML è partito da diversi anni un progetto OSS che mette a disposizione una suite potente e solida per adeguare/sviluppare le applicazioni di tutti gli attori coinvolti: il progetto Shibboleth. Il progetto è privo di un prodotto specializzato per i PoQA. Ipotizzando che siano gli IdP a gestire gli attributi per conto dei PoQA oppure che i PoQA diventino, essi stessi, degli IdP. 

Il business di un IdP è rispondere alle interrogazioni sull'identità di un utente ed essere pagato per farlo. Perciò, di solito, l'utente (cliente) paga un canone di servizio. In alcuni casi c'è un costo "one-shot" al momento del rilascio delle credenziali e un canone annuale più basso.
 

Un'organizzazione che sia legalmente vincolata ad essere PoQA si trova oggi di fronte a due alternative:

  1. diventare un IdP (distribuendo ai propri iscritti identità digitali) cui sarà (ovviamente) associato l'attributo con la qualifica del caso.
  2. accordarsi con un IdP in modo che risponda anche con gli attributi qualificati.

In entrambe i casi, il nostro Attribute Provider, ha il costo (diretto o indiretto) di curare la distribuzione delle credenziali e di garantire la verifica dell'identità anche per tutti gli usi che l'utente possa fare della propria identità non connessi con la qualifica professionale di cui è responsabile. Inoltre, volendo diventare IdP, l'onere di sottoporsi alle verifiche di AgID.

Per l'Attribute Provider sarebbe molto più conveniente potersi limitare a comunicare ad AgID la propria esistenza di PoQA (come da regolamento) e dotarsi, magari come servizio, di una soluzione informatica per rispondere solo alle richieste di verifica degli attributi qualificati che gestisce. Cioè usare la soluzione per "Attrbute Provider" descritta sopra.

La disponibilità di una soluzione per Attribute Provider, quindi, favorisce l'adezione al modello SPID di tutta una classe di attori che altrimenti avrebbero buone ragioni per essere recalcitranti. Quindi favorisce il progetto di maggiore evidenza dell'Agenda Digitale Italiana.

Stante il vuoto normativo sulla sorveglianza degli Attribute Providers (i Gestori di Attributi Qualificati) cittadini o imprese potrebbero bloccare il progetto con ricorsi di vario genere; la disponibilità –per gli Attribute Providers– di una soluzione OSS, progettata nel rispetto di tutte le regole tecniche che AgID ha posto agli IdP con il regolamento in essere, permetterebbe di mettere il progetto "al riparo" semplicemente cambiando il titolo del DPCM ed equiparando la sorveglianza di IdP e PoQA, senza rilevanti conseguenze.