SPID è l’acronimo di Sistema Pubblico di Identità Digitale. Si stratta di un sistema di autenticazione a due fattori, certificato da enti terzi, ideato dalla pubblica amministrazione italiana, per velocizzare e semplificare l’accesso a numerosi servizi online.
Il sistema SPID è disponibile sia per privati che per imprese e in questa guida vedremo nel dettaglio cos’è lo SPID, come funziona e come averne uno, mettendo a confronto i principali fornitori delle credenziali di identità digitale.
Prima di parlare dello SPID però è opportuno aprire una parentesi a proposito di credenziali e autenticazione a due fattori.
Autenticazione a due fattori
L’autenticazione a due fattori è un sistema di sicurezza, introdotto negli ultimi anni da numerosi fornitori di servizi on-line, per tutelare l’utenza da eventuali violazioni e furti di password.
Con l’autenticazione a due fattori l’utente oltre alle classiche credenziali, quali nome utente e password, fornisce al servizio anche un canale privato dove riceverà un codice di verifica da inserire al momento del login, per fare in modo che il sistema sia certo che l’utente ad aver effettuato l’accesso sia effettivamente il proprietario di quell’account.
Questo canale può essere una comune e-mail, un numero di telefono, o, come nel caso dello SPID, un codice OTP univoco.
Nel primo caso, l’utente che avrà scelto l’autenticazione a due fattori tramite e-mail, al momento del login, riceverà una mail contenente un codice alfanumerico, generato randomicamente, che dovrà essere inserito nella schermata di login, per confermare ed ultimare l’autenticazione. Solo dopo l’inserimento del codice l’utente potrà effettivamente accedere al servizio.
Nel secondo caso, l’utente che avrà scelto l’autenticazione a due fattori tramite numero di telefono, riceverà, al momento del login, un SMS gratuito, contenente il codice alfanumerico generato randomicamente da inserire per confermare l’autenticazione.
Nel terzo caso, l’utente riceverà una notifica (o un SMS) sulla propria app o servizio di autenticazione e, come nei casi precedenti, dovrà inserire il codice OTP per verificare la propria identità e quindi effettuare l’accesso.
Questo tipo di autenticazione risulta essere estremamente sicura, ma, ha un enorme limite legato ad account e dispositivi.
Nello specifico l’autenticazione a due fattori via mail, qualora l’utente dovesse perdere l’accesso al proprio indirizzo mail o nel caso in cui un pirata informatico, magari tramite l’utilizzo di tecniche di phishing, dovesse sottrargli l’account. Vedrebbe fortemente compromessa la propria sicurezza poiché, chiunque ha accesso a quella mail, avrebbe accesso a ai codici di autenticazione temporanei.
L’autenticazione tramite numero di telefono appare più sicura, tuttavia, nel caso in cui l’utente dovesse cambiare numero di telefono, perderebbe la possibilità di accedere tramite questo tipo di autenticazione.
Cos’è un codice OTP?
Il Codice OTP, acronimo per indicare One Time Password, è una password usa e getta temporanea che solitamente è generata sulla base di complessi calcoli matematici in relazione all’ultima password temporanea utilizzata ed ha validità per un arco di tempo estremamente limitato, dai pochi secondi a qualche minuto al massimo.
Questo codice cambia di continuo partendo da un valore iniziale a cui viene applicata ripetutamente una funzione di hash grazie alla quale si ottiene un nuovo valore. Questo valore viene comunicato al sistema di destinazione, ovvero la piattaforma su cui si sta effettuando il login. A questo punto l’utente ha un arco di tempo limitato per inserire il codice prima che cambi, se in questa finestra temporale l’utente inserisce il codice corretto, che gli è stato comunicato, la piattaforma consente all’utente di accedere ai propri servizi.
Il codice per l’autenticazione sostituisce quindi il valore iniziale e diventa il punto di partenza della nuova sequenza di hash che verrà eseguita al successivo tentativo di accesso.
Cos’è lo SPID?
Torniamo ora al topic di questa guida, ovvero il sistema SPID. Come anticipato nell’introduzione lo spid o identità digitale è un sistema di autenticazione a due fattori che sfrutta la tecnologia OTP al fine di garantire un sistema di autenticazione OTP, legato alla persona e la sua identità, certificata da enti terzi e svincolato da mail e numeri di telefono.
Per essere più precisi, il sistema SPID richiede la creazione, attraverso uno dei servizi certificati a fornire sistemi di identità digitale, di un account verificato, ovvero un account in cui, l’utente, oltre alle proprie credenziali, è tenuto ad inserire anche gli estremi di documenti di identità, quali possono essere la propria carta di identità, patente di guida, tessera sanitaria o passaporto.
Una volta creato l’account, e inseriti tutti i dati di identificazione, l’utente è chiamato a verificare la propria identità passando per sistemi di autenticazione automatici o manuale, nel primo caso dovrà svolgere una serie di azioni in videochiamata, durante la quale è richiesto che il volto dell’utente sia ben visibile. In questo modo il sistema di identità avrà modo di associare un volto ed una voce, all’identità digitale.
Questa verifica può essere effettuata automaticamente o manualmente, nel primo caso l’utente dovrà pronunciare una serie di affermazioni richieste dal sistema, nel secondo caso invece, dovrà effettuare una videochiamata con un operatore o recarsi presso uno sportello fisico del fornitore di servizi di identità digitale, come ad esempio uno sportello postale qualora l’utente volesse utilizzare il sistema PosteID, ovvero il sistema SPID certificato da poste italiane.
Come ottenere uno SPID
Per ottenere il proprio SPID, è sufficiente effettuare la propria iscrizione ad un identity provider, ovvero uno dei servizi che forniscono sistemi di identità digitale.
Attualmente la pubblica amministrazione italiana riconosce solo 9 identity provider, che sono TimID, Spiditalia, sielteid, posteid (abilitato spid), NamiralID, LepIDa, intesaID, InfocertID, e ArubaSpid.
Tutti gli identity provider offrono sistemi di riconoscimento di persona, tramite CIE (carta di identità elettronica) e CNS (carta nazionale dei servizi) o da remoto. Solitamente il riconoscimento di persona, così come il riconoscimento tramite CIE e CNS è gratuito mentre il riconoscimento da remoto potrebbe essere a pagamento.
Nel caso di LepIDa ad esempio, una volta effettuata l’iscrizione al servizio, inseriti tutti i dati richiesti, se si sceglie di utilizzare il riconoscimento da remoto, l’utente dovrà sostenere una videochiamata con un operatore o utilizzare un sistema di autenticazione via webcam, per poi effettuare un bonifico (dal valore minimo di 0,01€) dal proprio conto corrente bancario. In questo modo il sistema di autenticazione può incrociare i dati forniti, con i dati presenti sul documento ai dati bancari ottenuti dal bonifico in ingresso e quindi verificare e certificare l’identità dell’utente.
Namiral ID, grazie ad una partnership con FinecoBank, permette agli utenti Fineco, di ottenere gratuitamente il proprio spid, certificato da Namiral, grazie ai dati del proprio conto corrente. Analogamente, Intesa ID, l’identity provider fornito dal gruppo intesa, permette ai propri clienti di ottenere uno SPID gratuitamente.
Come si usa lo SPID?
Una volta ottenuto uno SPID, si potrà accedere a tutti i servizi della pubblica amministrazione che consentono l’accesso tramite spid, cliccando, nella pagina di login, sul pulsante “Entra con SPID”.
Facendo clic su quel pulsante, l’utente sarà chiamato a scegliere il proprio identity provider e inserire le proprie credenziali di accesso all’identity provider, quindi il nome utente che solitamente coincide con il proprio codice fiscale, e la password scelta. Una volta effettuato il login, il sistema di autenticazione offrirà all’utente la possibilità di scegliere se verificare la propria identità tramite applicazione, codice OTP o sms, nel primo caso, se si ha installata l’app dell’identity provider sul proprio smartphone o tablet, si riceverà una notifica e sarà sufficiente confermare la propria identità tramite smartphone, nel secondo caso, sarà necessario accedere all’app o recarsi sul sito dell’identity provider, per prendere nota del codice OTP e inserirlo nel sistema di autenticazione, in fine, ma non meno importante, nel terzo caso si riceverà un sms contenente un codice OTP che l’utente dovrà inserire, come per una comune autenticazione a due fattori tramite SMS, per ultimare l’autenticazione.
Differenze tra SPID e PosteID
Da qualche anno Poste Italiane ha introdotto il Poste ID, si tratta di un codice di un account, certificato da Poste Italiane, che consente di accedere digitalmente a numerosi servizi postali. Con l’introduzione, da parte della pubblica amministrazione italiana, del sistema SPID, Poste Italiane ha potenziato il proprio PosteID, abilitandolo a SPID, permettendo così agli utenti, in possesso di un PosteID, di poter accedere ai servizi per i quali è richiesto uno SPID.
PosteID abilitato a SPID è dunque lo SPID certificato da Poste Italiane, tuttavia, è anche un servizio offerto da poste italiane che quindi consente all’utente di accedere ad una rosa di servizi digitali, di poste italiane, ai quali non è possibile accedere tramite SPID
COMMENTI