Ideato per favorire la digitalizzazione del Paese e permettere ai cittadini di usufruire dei servizi messi in rete dalla Pubblica Amministrazione, lo SPID è l’identità digitale rilasciata a chi ne fa richiesta, e quindi strettamente personale, ideata per accedere agli stessi servizi adoperando una coppia di credenziali.
Nell’ultimo anno, complici le restrizioni per il Coronavirus, lo SPID si è diffuso in maniera capillare tra la popolazione, tanto da triplicare i suoi numeri. Stando alla nota ufficiale diramata lo scorso aprile, l’identità digitale ha superato quota 20 milioni, quasi 14 milioni in più rispetto a quelle presenti nei 12 mesi precedenti.
Con il rilascio dell’identità, è aumentato anche l’utilizzo. Se nel 2020 erano state 144 milioni le autentificazioni ai servizi online di siti e app pubbliche, nel primo trimestre del nuovo anno lo SPID è già stato usato più di 100 milioni di volte.
SPID e trattamento dei dati personali: cosa sapere? Le parole dell’AgID
Una delle prime domande che si pongono gli italiani in fase di attivazione dell’identità digitale riguarda il trattamento dei dati personali. Per chiarire la situazione è intervenuta la stessa Agenzia per l’Italia Digitale (AgID) che, nella sezione domande frequenti, riporta: “I dati personali che comunicherai i gestori di identità non verranno utilizzati a scopo commerciale. Gli Identity Provider non possono utilizzare i dati personali dell’utente né cederli a terze parti senza autorizzazione da parte dell’utente stesso.
Al momento della registrazione dovranno essere esplicitamente distinti i dati necessari all’ottenimento dell’identità digitale SPID dalle ulteriori informazioni – non obbligatorie – che il gestore di identità potrà eventualmente richiedere. La tua privacy è garantita e il rispetto delle regole di trattamento dei dati è vigilato da AgID e dal Garante per la protezione dei dati personali”.
I 3 livelli di sicurezza e il grado di affidabilità
Entrando nello specifico, al momento il Sistema Pubblico per l’Identità Digitale definisce 3 livelli di sicurezza per lo SPID, ciascuno dei quali corrispondente ai livelli specificati nella norma internazionale ISO-IEC 29115.
Eccoli spiegati nel dettaglio:
- Primo livello dello SPID: pur essendo il più basso, il primo livello già garantisce un buon grado di affidabilità al momento dell’autentificazione. Per accedere ai servizi online è necessario un singolo fattore, cioè la password che compone le credenziali dello SPID. Corrisponde al Level of Assurance LoA2 dello standard ISO/IEC DIS 29115.
- Secondo livello dello SPID: utilizzato, insieme al primo, dallo SPID di Infocert, garantisce un grado di protezione ancora maggiore. In questo livello, infatti, il sistema di autentificazione informatica è a due fattori: alla password personale si aggiunge la generazione di un codice temporaneo di accesso OTP o l’utilizzo di un’app fruibile da un dispositivo personale come lo smartphone. Corrisponde al Level of Assurance LoA3 dello standard ISO/IEC DIS 29115;
- Terzo livello dello SPID: corrisponde al Level of Assurance LoA4 dello standard ISO/IEC DIS 29115. Si tratta del livello più alto ed è, quindi, quello più affidabile. Oltre alle credenziali SPID, il terzo livello prevede l’utilizzo di ulteriori soluzioni di sicurezza e di eventuali dispositivi fisici (come le smart card) che vengono erogati dal provider da cui si acquista l’identità digitale.
