Pubblicato su LeggiOggi.it il 24 aprile 2016 –
Lo scorso 15 marzo il Sistema Pubblico di Identità Digitale (SPID) è diventato una realtà tangibile, con la possibilità per cittadini e imprese di farsi rilasciare, dai gestori accreditati presso AgID, le identità digitali per la fruizione di servizi pubblici e privati tramite un’unica e diffusa infrastruttura di identificazione. Ma cosa significa ciò e quali saranno le future evoluzioni per il mondo pubblico e privato? Lo abbiamo chiesto a Fabio Martelli di Tirasa, società italiana che si occupa da anni di sistemi di identità digitale a livello internazionale.
Tecnicamente parlando, la connessione a SPID per le PA è un onere particolarmente complesso e gravoso?
Non c’è nulla di tecnicamente gravoso in termini di connessione a SPID: il protocollo usato è SAML, uno standard per lo scambio di dati di autenticazione e autorizzazione tra domini distinti. SAML, oggi alla versione 2.0, è estremamente diffuso: basti pensare che la prima versione delle specifiche del protocollo sono state rilasciate nel 2002.
Gran parte degli enti pubblici è attualmente dotata di un’infrastruttura di sicurezza idonea a instaurare meccanismi di interfacciamento al Sistema Pubblico di Identità Digitale. In particolare, per offrire servizi sarà sufficiente configurare e registrare un Service Provider che implementi adeguatamente le specifiche SAML previste da SPID stesso.
Queste tematiche dovranno essere analizzate alla fonte, nella fase di progettazione dei servizi on line stessi: infatti, l’adesione a SPID comporta per le PA la stipula di una convenzione con AgID (Agenzia per l’Italia Digitale) che prevede anche di fornire l’elenco dei servizi qualificati messi a disposizione di cittadini e imprese che utilizzeranno SPID.
Ci sono casi similari in altri paesi europei o la scelta italiana è in controtendenza?
La realtà italiana non è affatto in controtendenza: diverse soluzioni simili o assimilabili sono nate negli altri paesi europei ed extra-europei.
Abbiamo ad esempio Federal Cloud Credential Exchange (FCCX) per gli USA, Identity Assurance (IDA) per la Gran Bretagna e Realme per la Nuova Zelanda.
Ci sono evidenti vantaggi nel mettere in piedi una soluzione di Circle-Of-Trust così come ideata da SPID: la tendenza non potrebbe essere diversa.
L’utilizzo delle identità digitali per riconoscere e abilitare i propri utenti è di puro appannaggio delle PA o può interessare anche le imprese? In che modo?
L’utilizzo delle identità digitali è molto interessante anche per i privati. Tendenzialmente, un’organizzazione che ha necessità di autorizzare l’accesso ai propri servizi (WEB) dispone di una propria piattaforma di controllo degli accessi che gestisce e certifica le credenziali e le informazioni generali o specifiche di ciascun fruitore dei servizi offerti. Purtroppo però, gestire in maniera sicura i dati degli utenti finali è una pratica costosa. Di conseguenza, a discapito della sicurezza e riservatezza del dato stesso, spesso si tende a risparmiare proprio su quegli aspetti per i quali è richiesta una maggiore accortezza.
Ovviamente questo è male in generale e malissimo in casi particolari. Si pensi ad enti o organizzazioni che trattano dati molto sensibili come ad esempio la sanità.
La tendenza ad operare in ambienti sempre più interconnessi ha contribuito, in maniera definitiva, a far nascere l’esigenza specifica per tutte le aziende, pubbliche o private, di gestire in modo adeguato le identità digitali dei propri utenti. Tuttavia, come già detto, è una pratica costosa: questa gestione è tanto più onerosa quanto più alto è il numero di sistemi, permessi e utenti gestiti.
In questi casi diventa indispensabile dotarsi di processi e soluzioni software in grado di strutturare opportunamente la gestione delle identità digitali aziendali.
Questo significa fare “Identity Management”.
SPID fa proprio questo, controllo degli accessi e gestione delle identità digitali, e lo fa in maniera distribuita. In diversi casi, soprattutto quelli che prevedono servizi offerti al cittadino, è un’ottima soluzione atta a sgravare il Service Provider di tutto l’onere derivante dalla gestione delle proprie utenze.
Ovviamente, ci sono casi in cui SPID potrebbe non essere applicabile o comunque non sufficiente: i servizi offerti dalle aziende richiedono spesso una profilatura interna delle utenze, obbligando l’azienda stessa ad una gestione autonoma (magari affiancata a quella fornita da SPID) dei propri utenti.
Fortunatamente esistono soluzioni software eccellenti che permettono una gestione efficace ed efficiente delle proprie identità digitali. Sono soluzioni open source che, poiché non prevedono alcun costo di licenza d’uso, ne permettono l’adozione anche in casi di budget limitati.
La nostra attività sul web, la nostra vita “virtuale”, sta assumendo contorni sempre più marcati. In questo contesto, l’identità digitale è un concetto destinato a rimanere nell’ambito dei servizi pubblici o si estenderà anche ad altri aspetti della nostra vita?
In realtà, l’identità digitale non è mai stata limitata all’ambito dei servizi pubblici e oggi men che meno. La visione tradizionale collegata alle identità era assolutamente incentrata sul concetto di utente. Utente che usufruiva di servizi web, più che altro.
Ora la visione è cambiata: un’identità può essere qualunque cosa, così come qualsiasi può essere il servizio o lo strumento con cui si può andare ad interagire.
Oggi si sente molto parlare di Internet-of-Things (IoT) o “Bring Your Own Device” (BYOD): questa è la direzione verso cui si sta muovendo il concetto di gestione dell’identità digitale. La figura dell’utente (e la sua identificazione) non perde sicuramente di importanza, ma si arricchisce di informazioni e privilegi che i sistemi moderni sono chiamati a gestire, applicandosi a realtà fra loro molto diverse come PC, smartphones, tablet, sensori, servizi e quant’altro.
Leave a Reply