SPIDI GONZALES 2

Cos'è esattamente lo SPID nell'ordinamento italiano?. Una carta di credito prepagata fornita dallo Stato per pagare i servizi pubblici. Il Sistema Pubblico di Identità Digitale, ovvero un set di credenziali uniche (username e password) che permette di accedere ai servizi online della Pubblica Amministrazione e dei privati aderenti. Un software antivirus obbligatorio per navigare sui siti del Governo. Un abbonamento mensile a pagamento per ottenere sconti sui mezzi pubblici.

Quali sono i documenti e i requisiti minimi e indispensabili che un cittadino maggiorenne deve avere a portata di mano per richiedere lo SPID?. Un documento di identità italiano valido, la tessera sanitaria (o codice fiscale), un indirizzo e-mail personale e un numero di cellulare. La patente di guida, un conto corrente bancario con almeno 1000 euro e la fedina penale pulita. Un computer fisso di ultima generazione e una casella di Posta Elettronica Certificata (PEC). Il certificato di nascita cartaceo e due foto tessera firmate dal Sindaco.

A chi deve rivolgersi un cittadino per richiedere e attivare le proprie credenziali SPID?. Esclusivamente alla Stazione dei Carabinieri più vicina. Al proprio medico di base o all'ASL. A uno degli Identity Provider (Gestori di Identità Digitale) privati o pubblici accreditati dall'AgID, come Poste Italiane, InfoCert, Sielte, Aruba, ecc. Direttamente all'Agenzia delle Entrate compilando un modulo cartaceo.

Quanto costa attivare le credenziali SPID per un cittadino privato?. È prevista una tassa fissa di 50 euro all'anno per tutti. L'attivazione dello SPID per uso personale è di base gratuita presso tutti i provider, sebbene alcuni possano richiedere un pagamento per specifiche modalità di riconoscimento a distanza (es. riconoscimento via webcam con operatore). È gratuito solo se il cittadino è disoccupato, altrimenti costa 10 euro al mese. Si paga in base a quante volte lo si utilizza per fare il login sui siti pubblici.

Che cos'è lo SPID Livello 2, che è quello richiesto per accedere alla stragrande maggioranza dei servizi pubblici (es. fascicolo sanitario, INPS)?. Un livello che richiede l'autenticazione a due fattori: oltre a username e password, serve un codice temporaneo (OTP) inviato via SMS o generato tramite l'app del provider sul proprio smartphone. Un livello riservato solo a chi possiede una laurea di secondo livello. Un profilo che permette di usare lo SPID solo su due siti web a scelta dell'utente. Un livello base dove basta inserire solo il proprio nome e cognome senza alcuna password.

Se un cittadino dimentica la password del proprio SPID, come deve procedere?. Deve andare in Comune e farsi rilasciare un nuovo documento di identità. Deve fare una denuncia per furto alla Polizia Postale. Deve usare la funzione "Recupero password" sul sito o sull'app del proprio Identity Provider (es. PosteID, MyInfoCert), seguendo la procedura di reset via email o SMS. Non può più recuperarlo e perde il diritto di accedere ai servizi pubblici a vita.

Posso attivare più di uno SPID utilizzando provider diversi, ad esempio uno con Poste Italiane e uno con Aruba?. No, la legge vieta severamente di avere più di un'identità digitale. Sì, è consentito attivare più credenziali SPID anche con Identity Provider differenti, utilizzando gli stessi documenti d'identità. Sì, ma solo se si usano nomi e cognomi diversi. Sì, ma bisogna pagare una multa per l'attivazione del secondo SPID.

Per utilizzare l'App del provider SPID (es. PosteID, InfoCert ID) per autorizzare gli accessi tramite notifica push o QR Code, cosa deve fare l'utente sul proprio smartphone?. Tenere sempre il GPS spento per motivi di privacy. Collegare lo smartphone tramite cavo USB al computer a ogni accesso. Scaricare l'App ufficiale del provider, associarla alle proprie credenziali e abilitare un sistema di sblocco di sicurezza, come un codice PIN o l'impronta digitale/riconoscimento facciale. Disinstallare tutti i social network presenti sul telefono.

Cosa si intende per "Riconoscimento de visu" o in presenza quando si attiva lo SPID?. Inviare un selfie su Facebook taggando il Ministro dell'Innovazione. Il cittadino si reca fisicamente presso uno sportello, es. Ufficio Postale o ufficio del provider, dove un operatore in carne ed ossa verifica la sua identità confrontando il suo volto con i documenti originali. Il provider usa un algoritmo per cercare foto della persona su Internet. Il cittadino deve farsi riconoscere dal portinaio del proprio condominio.

Se un cittadino italiano non risiede in Italia (iscritto all'AIRE), può comunque richiedere lo SPID?. Sì, purché sia in possesso di un documento d'identità italiano valido (carta d'identità, passaporto) e di un tesserino del codice fiscale o certificato di attribuzione rilasciato dall'Agenzia delle Entrate. No, lo SPID è riservato esclusivamente a chi ha una residenza fisica sul territorio nazionale. Sì, ma deve usare il documento del paese straniero in cui risiede. Sì, ma può accedere solo al sito del Ministero degli Esteri e a nessun altro.

Per evitare di recarsi di persona allo sportello o pagare per il riconoscimento via webcam, qual è il metodo gratuito e immediato offerto da quasi tutti i provider per completare l'identificazione online?. Inviare un messaggio vocale su WhatsApp al supporto tecnico. Fare il riconoscimento tramite una Carta d'Identità Elettronica (CIE) 3.0, un passaporto elettronico o una CNS (Carta Nazionale dei Servizi), utilizzando uno smartphone dotato di lettore NFC o un lettore di smart card per PC. Farsi raccomandare via e-mail da un amico che ha già lo SPID. Rispondere a un quiz sulla storia d'Italia di 50 domande.

In cosa consiste il "Riconoscimento tramite registrazione audio-video" (spesso chiamato selfie-video) previsto dalle linee guida AgID per l'emissione dello SPID?. Il cittadino registra un video in cui legge un codice monouso, mostra il proprio documento e la tessera sanitaria; per confermare l'identità a fini normativi (antiriciclaggio), di solito deve anche effettuare un bonifico simbolico da un IBAN a lui intestato. Il cittadino deve videochiamare un parente e farsi confermare l'identità in diretta. L'utente deve inviare un video di 10 minuti in cui spiega perché vuole lo SPID. Il cittadino deve pubblicare un video su YouTube e aspettare che raggiunga 100 visualizzazioni.

Se cambi il tuo numero di telefono cellulare principale, cosa devi fare per continuare a usare il tuo SPID di Livello 2?. Richiedere l'annullamento dell'identità e fare tutta la procedura di registrazione da capo. Non devi fare nulla, i provider SPID sanno automaticamente quando cambi numero. Accedere alla tua area personale sul sito del tuo Identity Provider usando le vecchie credenziali (o i codici di emergenza) e aggiornare il numero di cellulare certificato nella sezione dei dati personali. Inviare una raccomandata cartacea all'AgID a Roma con la fotocopia del nuovo contratto telefonico.

Cosa si intende per "SPID Professionale" e in cosa differisce dallo SPID personale?. È uno SPID colorato diversamente sull'app del telefono. È un'identità digitale che racchiude, oltre ai dati anagrafici della persona fisica (che deve essere identificata), anche i dati della persona giuridica o della libera professione (es. Partita IVA o Ragione Sociale), permettendo di operare online per conto dell'azienda. È lo SPID riservato solo agli insegnanti e ai medici. È uno SPID che non richiede password ma funziona solo se ci si collega dalla rete Wi-Fi del proprio ufficio.

Alcuni Comuni italiani offrono il servizio "RAO Pubblico" (Registration Authority Officer). Quale ruolo svolgono in relazione allo SPID?. Sostituiscono l'AgID stampando materialmente le carte d'identità. Emettono direttamente lo SPID completando tutto il processo sui server del Comune. Fanno solo il riconoscimento de visu gratuito del cittadino, consegnandogli un documento con un codice (o la prima parte delle credenziali) che l'utente userà poi a casa per completare la procedura online con un provider abilitato a sua scelta. Obbligano il cittadino a usare un provider di proprietà del Comune.

Sei su un portale di un ente pubblico e clicchi su "Entra con SPID". Appare una schermata con una decina di loghi diversi (Poste, Aruba, InfoCert, ecc.). Quale pulsante devi cliccare per proseguire?. Quello del Ministero dell'Interno, perché lo SPID è governativo. Qualsiasi logo, perché sono tutti interconnessi e la password funziona ovunque. Devi cliccare rigorosamente sul logo del provider (Identity Provider) presso il quale hai effettuato la registrazione iniziale e ottenuto le tue credenziali. Devi cliccare sul pulsante "Crea nuovo account" ogni singola volta.

Se subisci il furto dello smartphone su cui era installata l'app del tuo provider per generare i codici OTP, qual è l'azione di sicurezza immediata da compiere?. Buttare anche il computer per evitare che i virus si diffondano. Cambiare gestore telefonico. Contattare tempestivamente il servizio clienti (call center) del proprio Identity Provider per chiedere la sospensione o la revoca delle credenziali SPID, per poi riattivarle su un nuovo dispositivo. Nessuna, senza il riconoscimento facciale nessuno potrà mai fare nulla col telefono rubato.

Lo SPID di Livello 3 (LoA High) è richiesto per servizi che necessitano di un altissimo livello di sicurezza. Qual è il requisito tecnico aggiuntivo per usare questo livello?. Scrivere una password di almeno 50 caratteri. L'utilizzo di un dispositivo fisico (hardware) crittografico aggiuntivo, come una smart card o un token di firma digitale, fornito dal provider, combinato con la password. Farsi accompagnare fisicamente da un poliziotto allo sportello pubblico. Pagare un canone di 100 euro per ogni singolo accesso effettuato.

Per quale motivo, in fase di registrazione via webcam o audio-video, l'operatore o il sistema chiede al cittadino di muovere la testa, inclinare il documento o leggere un codice casuale?. Per creare una GIF animata per il profilo SPID. Per verificare la qualità della connessione internet dell'utente. Come misura anti-frode per garantire la "Liveness Detection" (rilevamento della vitalità), assicurandosi che non si stia usando una foto fissa, una maschera o un video pre-registrato per compiere un furto di identità (Spoofing). Per testare la risoluzione della webcam del computer.

Mio padre anziano non ha lo smartphone né un indirizzo email, ma ha bisogno di accedere all'INPS. Posso "prestargli" il mio SPID personale o creargliene uno collegato al mio numero di cellulare?. Sì, lo SPID può essere prestato tra parenti di primo grado. No. Lo SPID è strettamente personale e richiede email e cellulare univoci (non associati ad altri SPID). Per questi casi, è necessario utilizzare lo strumento istituzionale della "Delega dell'Identità Digitale" (es. delega INPS), con cui l'anziano autorizza il figlio ad accedere ai servizi per suo conto usando il proprio SPID. Sì, l'importante è che il padre conosca la password a memoria. No, gli anziani senza smartphone non possono in alcun modo ricevere assistenza pubblica.

Grazie al Regolamento europeo eIDAS (electronic IDentification Authentication and Signature), quali confini geografici digitali ha lo SPID?. Può essere utilizzato solo sui siti governativi con dominio ".it". Funziona esclusivamente in Italia e nello Stato della Città del Vaticano. Essendo un'identità digitale notificata in Europa, lo SPID permette l'autenticazione transfrontaliera (Cross-border) e garantisce l'accesso ai servizi in rete delle Pubbliche Amministrazioni di tutti gli Stati membri dell'Unione Europea. Può essere usato per superare i controlli doganali fisici aeroportuali al posto del passaporto.

Nel marzo 2022 sono state emanate le linee guida AgID per il rilascio dello SPID ai minorenni. Qual è la procedura architetturale corretta per ottenerlo per un bambino dai 5 ai 17 anni?. Il minore deve recarsi da solo in Posta con il permesso scritto della scuola. Lo SPID per minori viene richiesto dal genitore (che deve già possedere uno SPID) accedendo alla propria area riservata sul sito del provider, autorizzando la creazione di un'identità "figlia" associata al proprio profilo per scopi specifici (es. accesso al registro elettronico o servizi scolastici). I minori non possono assolutamente avere uno SPID fino al compimento dei 18 anni, senza eccezioni. Viene rilasciato automaticamente dall'ospedale al momento della nascita del bambino.

Qual è il ruolo del "nodo eIDAS" italiano gestito dall'AgID nel contesto dell'autenticazione europea?. Traduce automaticamente i siti web stranieri in italiano. Funge da proxy architetturale (gateway) che fa dialogare i Service Provider stranieri con gli Identity Provider italiani, certificando che le credenziali SPID rispettino i livelli di garanzia (LoA) richiesti dal regolamento europeo. Intercetta i pagamenti bancari internazionali per addebitare le tasse. È un cavo sottomarino che collega i server dell'AgID a Bruxelles.

A quale livello di sicurezza (Level of Assurance - LoA) della direttiva eIDAS europea corrisponde lo SPID di Livello 2 (credenziali + OTP)?. Livello "Basso" (Low). Livello "Significativo" (Substantial), che richiede due fattori di autenticazione per ridurre sostanzialmente il rischio di uso improprio o alterazione dell'identità. Livello "Elevato" (High). Livello "Militare" (Military).

Alcuni provider consentono di rinnovare e recuperare le credenziali tramite "Codici di Emergenza" (Emergency Codes o PUK). Quando e come vengono forniti all'utente?. Vengono forniti dall'impiegato dell'INPS solo se si prende un appuntamento. Sono inviati tramite lettera raccomandata a casa del cittadino ogni due anni. Vengono generati, solitamente come un file PDF da scaricare o stampare, al termine del primo processo di attivazione sul sito dell'Identity Provider e devono essere conservati al sicuro dall'utente per recuperare l'accesso in caso di perdita dello smartphone o del numero di telefono. Si ottengono inserendo per tre volte una password sbagliata nel sistema.

Cosa significa che gli Identity Provider accreditati da AgID operano in un regime di "Federazione"?. Che i profitti dei provider vengono divisi in parti uguali tra tutte le aziende. Che formano un ecosistema chiuso (Trust Framework) in cui tutte le parti (IdP, Service Provider, AgID) condividono regole tecniche e giuridiche rigorose, ad esempio scambio di Metadata firmati, fidandosi delle reciproche validazioni di identità. Che il cittadino deve registrarsi presso tutti i provider per far funzionare lo SPID. Che i provider possono modificare liberamente le password degli utenti senza preavviso.

Nel caso di uno SPID per uso professionale di tipo "giuridico", l'Attribute Authority riveste un ruolo fondamentale. Cos'è un Attribute Authority nell'ecosistema dell'identità digitale?. È l'autorità di polizia che arresta chi fa truffe con lo SPID. È un ente terzo accreditato, ad esempio Ordine dei Medici, Ordine degli Avvocati, Registro Imprese, che fornisce e certifica gli attributi qualificati aggiuntivi dell'utente, es. l'iscrizione a un albo professionale o i poteri di firma, che vengono agganciati alla sua identità digitale base fornita dall'IdP. È l'ufficio del Comune che emette i certificati di residenza. È il responsabile marketing dell'Identity Provider.

Qual è il vantaggio tecnico di utilizzare la CIE 3.0, tramite App cieID o lettore, rispetto allo SPID per il login sui portali della PA?. La CIE fornisce nativamente un'autenticazione di livello 3 (LoA High) grazie al microchip hardware sicuro a bordo della carta fisica, mentre lo SPID base si ferma al livello 2 (Substantial). La CIE non richiede connessione internet per funzionare. La CIE bypassa i sistemi di sicurezza del Comune, permettendo di modificare i propri dati anagrafici a piacimento. Nessuno, la CIE ha un livello di sicurezza inferiore allo SPID.

Stai aiutando un parente a cambiare il suo Identity Provider (vuole passare da InfoCert a Poste, ad esempio). Qual è la procedura amministrativa da seguire?. Bisogna per forza revocare (cancellare) il primo SPID prima di poterne chiedere uno nuovo, perdendo temporaneamente l'accesso. Si deve chiedere al vecchio provider di "trasferire i dati" al nuovo provider tramite un modulo di migrazione. Non c'è un limite di identità per cittadino: si può semplicemente avviare una nuova registrazione con il nuovo provider e avere due SPID attivi, oppure revocare il primo e mantenere solo il nuovo, senza conflitti sui database di AgID. Si deve pagare una "tassa di portabilità" come per i numeri di telefono cellulare.

Perché, a differenza dei servizi di login social come "Accedi con Google" o "Accedi con Facebook", lo SPID garantisce la "Minimizzazione dei dati" nel rapporto con i Service Provider?. Perché oscura il nome del cittadino sostituendolo con un numero casuale per tutti i servizi. Perché la piattaforma di gestione SPID invia al Service Provider, es. INPS o Comune, solo ed esclusivamente gli specifici attributi anagrafici strettamente necessari per erogare quel servizio, senza profilare le abitudini di navigazione commerciale dell'utente. Perché impedisce all'utente di scaricare documenti più grandi di 5 Megabyte. Perché salva tutti i dati su un server fisico chiuso a chiave dentro l'ufficio anagrafe.

L'architettura logica di SPID si basa su un protocollo standardizzato per lo scambio dei dati di autenticazione e autorizzazione. Storicamente e principalmente, su quale standard di federazione si basa SPID per la comunicazione tra Identity Provider e Service Provider?. Protocollo FTP (File Transfer Protocol). Protocollo SAML 2.0 (Security Assertion Markup Language), basato su scambi di messaggi in formato XML firmati digitalmente. Protocollo SMTP (Simple Mail Transfer Protocol). Protocollo Blockchain Ethereum.

AgID ha introdotto di recente le specifiche per supportare anche il protocollo OIDC (OpenID Connect) nell'ecosistema SPID. Qual è il principale vantaggio ingegneristico di OIDC rispetto al vecchio standard SAML?. OIDC usa file XML molto più lunghi e pesanti per garantire maggiore sicurezza. OIDC non richiede alcuna password per funzionare. OIDC si basa su tecnologie web moderne come REST e token JWT (JSON Web Tokens), risultando molto più leggero, rapido e adatto per lo sviluppo di applicazioni mobile native e Single Page Applications (SPA). OIDC nasconde l'indirizzo IP del cittadino ai server del Governo.

Durante un'autenticazione SPID, cosa contiene e a cosa serve la "SAML Assertion" inviata dall'Identity Provider (IdP) al Service Provider (SP)?. È un bollettino di pagamento per l'utilizzo del servizio cloud. È un token XML di sicurezza, firmato crittograficamente dall'IdP, che attesta formalmente al SP che l'utente si è autenticato con successo e contiene gli attributi anagrafici, es. nome, codice fiscale, richiesti dal SP stesso. È un virus che serve a testare le vulnerabilità del sito della Pubblica Amministrazione. È un file di testo, cookie, che traccia la navigazione futura dell'utente per finalità pubblicitarie.

Come viene stabilita la cosiddetta "Trust" (Fiducia) tra tutti i Service Provider della PA e gli Identity Provider privati all'interno dell'ecosistema SPID?. Tramite una telefonata quotidiana tra i tecnici dei vari ministeri e i provider privati. Attraverso il Registro SPID (Registry) gestito dall'AgID, la Trust Anchor: ogni ente carica i propri Metadata, certificati digitali e chiavi pubbliche, nel registro centrale. Solo leggendo e verificando questi Metadata firmati dall'AgID, un IdP sa che l'ente pubblico è reale e legittimato a richiedere i dati. Affidando la gestione delle password a un'azienda americana di cybersecurity esterna. Utilizzando una singola password universale uguale per tutti i server italiani.

Quando un cittadino si autentica sul sito dell'Agenzia delle Entrate tramite SPID, chi conosce e verifica fisicamente la password inserita dall'utente?. L'Agenzia delle Entrate, che la confronta con i propri archivi fiscali. L'AgID (Agenzia per l'Italia Digitale), che fa da supervisore in tempo reale. Solo ed esclusivamente l'Identity Provider (IdP) scelto dall'utente, es. Poste, Aruba. Il Service Provider (Agenzia Entrate) non vede mai la password, ma riceve solo il certificato di via libera (Assertion) generato dall'IdP dopo la verifica. Un comitato europeo per la privacy residente a Bruxelles.

Da un punto di vista della Data Retention (conservazione dei dati), gli Identity Provider SPID hanno l'obbligo di conservare i log di tracciamento delle autenticazioni, es. indirizzo IP, data e ora, esito. Per quanto tempo e a quale scopo?. Per 24 mesi, a disposizione esclusiva dell'Autorità Giudiziaria per eventuali finalità di indagine e accertamento di reati informatici, es. furto di identità. Per 100 anni, al fine di creare un archivio storico nazionale della navigazione web. Per soli 7 giorni, per risparmiare spazio sui dischi rigidi, dopodiché vengono cancellati per sempre. Per 6 mesi, allo scopo di rivenderli alle aziende pubblicitarie per il marketing mirato.

Quale vulnerabilità o rischio viene mitigato dall'uso dello SPID di Livello 3 rispetto al Livello 2 nel modello di minaccia informatica (Threat Modeling)?. Mitiga gli attacchi di tipo DDoS (Denial of Service) contro i server della Pubblica Amministrazione. Mitiga le frodi fiscali compiute dagli evasori. Mitiga radicalmente il rischio di attacchi di ingegneria sociale, phishing avanzato o furto remoto di credenziali/SIM swap, poiché l'attaccante dovrebbe rubare fisicamente sia la password sia l'oggetto hardware crittografico dedicato (smart card) in possesso dell'utente. Impedisce ai virus ransomware di cifrare il disco rigido del computer dell'utente.

Se un Service Provider (SP) privato desidera aderire al sistema SPID per permettere ai propri clienti di fare il login, es. una banca o un'assicurazione, deve sottostare a delle regole tecniche ed economiche. Quale tra queste è un'affermazione corretta sull'architettura privata di SPID?. Le aziende private non possono in nessun caso usare SPID; è un servizio riservato solo allo Stato. Le aziende private possono implementare il pulsante "Entra con SPID" stipulando apposite convenzioni con l'AgID e remunerando gli Identity Provider per ogni autenticazione o per l'accesso ai dati verificati, fungendo da vero e proprio mercato di attributi di identità verificata. I privati possono usare SPID gratis ma solo se donano il 10% degli utili allo Stato. I Service Provider privati devono creare il proprio Identity Provider e rilasciare SPID ai clienti in completa autonomia.

Nella transizione dallo SPID tradizionale verso il nuovo IT Wallet, e la European Digital Identity Wallet - EUDI, qual è il cambiamento di paradigma architetturale fondamentale che verrà introdotto per il cittadino?. Le password dovranno essere composte solo da numeri e cambiate ogni 10 giorni. Il cittadino non dovrà più avere un provider, ma l'identità dipenderà direttamente dall'impronta digitale salvata sui server della polizia. Si passerà da un'identità gestita interamente nel cloud dal provider, in cui il provider vede ogni singola transazione, a un modello Self-Sovereign Identity (SSI) basato su un Wallet sul telefono del cittadino, che conserva localmente le credenziali verificabili (Verifiable Credentials) e permette di mostrarle agli enti senza che l'ente emettitore centrale sia coinvolto e tracci l'operazione in tempo reale. Non ci sarà più bisogno di internet; l'identità sarà validata telepaticamente.

Per quanto riguarda la sicurezza e la privacy by design, qual è il ruolo del Codice Fiscale all'interno degli attributi trasmessi durante un login SPID?. È un campo visibile a chiunque su Internet digitando il nome dell'utente. È l'identificatore univoco e certo (Unique Identifier) che la Pubblica Amministrazione italiana utilizza nei propri database interni per ricollegare con sicurezza matematica l'identità digitale (SPID) alla persona fisica reale e al suo fascicolo amministrativo/sanitario. Viene generato casualmente dal provider a ogni nuovo accesso per confondere i tracciatori commerciali. Non è mai presente tra gli attributi SPID, in quanto è coperto da segreto di Stato.