L’identificazione digitale, equiparata all’esibizione di un documento d’identità, è fondamentale per l’accesso ai servizi dei concessionari pubblici e delle società a partecipazione pubblica, ma anche i privati possono abilitare l’accesso ai propri servizi con SPID. Cosa è necessario sapere per diventare fornitore di servizi SPID.
Il Decreto Semplificazione e Innovazione digitale, ovvero il d. l. n. 76/2020, al Titolo III, contiene le previsioni normative per velocizzare il processo di trasformazione digitale del Paese.
Con la pubblicazione in Gazzetta ufficiale della legge di conversione del d.l. n. 76/2020, ovvero la l. n. 120/2020, diviene operativo l’insieme di norme che si prefigge di ridisegnare la governance del digitale, accelerare la digitalizzazione dei servizi pubblici e semplificare i rapporti tra cittadini e pubblica amministrazione, diffondendo la cultura dell’innovazione e favorendo il superamento del digital divide.
Tutte le amministrazioni devono rendere accessibili i propri servizi online tramite SPID e CIE, così come gli enti privati possono abilitare l’accesso con SPID ai propri servizi.
Indice
Come si diventa fornitore di servizi SPID
Per diventare fornitori di servizi SPID è necessario:
- seguire le regole tecniche definite da AgID per attivare lo SPID
- seguire le indicazioni per rendere riconoscibile l’accesso agli utenti
- effettuare i test necessari di implementazione della piattaforma e individuare un referente tecnico per le interlocuzioni con AgID
- predisporre e rendere disponibile per i controlli di AgID il metadata che consentirà ai gestori di identità (identity provider – IDP) di configurare l’accesso ai servizi con SPID. Dopo i controlli, il collaudo del servizio e la firma della convenzione, AgID comunica il metadata ai gestori
- implementare anche il nodo italiano eIDAS, che consente l’accesso ai servizi pubblici italiani dei cittadini dell’UE, se l’accesso con SPID ai servizi prevede il secondo o il terzo livello di sicurezza
- terminati i processi tecnici, dopo il riscontro positivo di AgID, sottoscrivere la convenzione SPID tramite un referente amministrativo. Firmata la convenzione, AgID informa i gestori e successivamente i servizi diventeranno accessibili con SPID.
Se si è un privato, sul sito di AgID, è possibile trovare la tabella che definisce le tariffe applicabili ai fornitori di servizi privati per ogni periodo di fatturazione.
L’attivazione di SPID richiede, quindi, una procedura tecnica e una procedura amministrativa ed è disponibile un supporto tecnico.
I principali interventi tecnici richiesti consistono:
- in interventi di implementazione del sistema SPID, utilizzando lo standard informatico Security Assertion Markup Language 2.0 SAML2, nei propri applicativi web;
- nella consegna di un metadata per la configurazione dei propri servizi presso i gestori di identità.
Le figure di riferimento necessarie per concludere il processo di adesione sono:
- un referente tecnico per tutte le attività di implementazione del sistema di autenticazione SPID
- un rappresentante legale (o soggetto delegato) per la firma della convenzione.
Procedura tecnica
Il sistema SPID si basa sul protocollo SAML2. Per implementare SPID nei propri servizi online è necessario:
- consultare le regole tecniche, gli avvisi SPID e la tabella anomalie, con le indicazioni necessarie per essere guidati durante l’implementazione di SPID e le linee guida interfacce e informazioni per rendere riconoscibile agli utenti l’accesso con SPID ai tuoi servizi.
- implementare l’autenticazione con SPID ai propri servizi. Su Developers Italia sono disponibili librerie per i diversi linguaggi di programmazione e risorse utili per l’integrazione ai quali puoi fare riferimento.
Procedura amministrativa
Completata la procedura tecnica, AgID invierà al referente amministrativo un’e-mail di conferma con la copia della “Convenzione per l’adesione delle Pubbliche Amministrazioni al Sistema Pubblico per le Identità Digitali” se si tratta di un ente pubblico, oppure copia della “Convenzione per l’adesione dei fornitori di servizi privati“, se si tratta di un privato.
La Convenzione deve essere restituita, compilata in tutte le sue parti e firmata digitalmente da un legale rappresentante dell’Ente presente nell’Indice dei domicili digitali della Pubblica Amministrazione e dei Gestori di Pubblici Servizi (IPA), ed inviata dalla PEC istituzionale presente in IPA, all’indirizzo protocollo@pec.agid.gov.it e per CC a spid.tech@agid.gov.it, insieme al file “ODS” per la comunicazione dei servizi, indicando nell’oggetto delle email esclusivamente la seguente dicitura: “00030 – Convenzione di adesione a SPID per SP pubblici – <Nome Ente>”.
La convenzione deve essere restituita entro 30 giorni solari dalla ricezione della suddetta e-mail di conferma.
La convenzione verrà restituita controfirmata dal Direttore Generale di AgID nel più breve tempo possibile.
Si ricorda che esiste un sistema di supporto della community, un servizio di help desk dedicato al cittadino, mentre il supporto dedicato al collaudo dei fornitori di servizi può essere richiesto tramite l’e-mail spid.tech@agid.gov.it .
Il login eIDAS per i fornitori di servizi pubblici aderenti a SPID
Dal 29 settembre 2018 tutte le pubbliche amministrazioni che offrono servizi digitali tramite SPID o CIE rendono accessibili tali servizi ai cittadini europei dotati di identità digitale (eID) riconosciuta in ambito eIDAS.
Con il fine di indicare le principali informazioni che consentono di accettare le identità digitali eIDAS tramite l’interconnessione al nodo eIDAS italiano gestito da AGID, vi è da precisare che le procedure da completare sono sia tecniche che amministrative ed ogni comunicazione avviene attraverso il sistema di supporto dedicato e tramite email.
Il nodo italiano eIDAS opera come un IDP SPID virtuale, pertanto, l’impatto sulle attività di configurazione del service provider che aderisce al sistema SPID sono minime. Per attivare il login eIDAS:
- è necessario consultare le regole tecniche relative a SPID e l’ Avviso eIDAS 01-2018.
- estendere l’attuale metadata SPID seguendo le specifiche riportate nella sezione 4 dell’ Avviso eIDAS 01-2018
- dopo aver esteso il metadata, è necessario renderlo disponibile online e richiedere la federazione in ambiente di Quality Assurance
- una volta completata la federazione in ambiente di Quality Assurance è possibile richiedere la federazione in ambiente di Produzione
Oltre alle regole tecniche è importante seguire anche le regole di design prodotte da AgID.
Tutte le componenti grafiche e le indicazioni per adottarle sono presenti nel documento Avviso eIDAS 01-2018, al paragrafo 3.