SPID: (mal)funzionamento e protocollo dell'identità digitale

Il 3 Novembre è partito il click day per poter “accaparrarsi” il famoso bonus monopottino, o dal nome ufficiale bonus mobilità. Come già accaduto nei mesi scorsi, però, questa modalità di elargire bonus fino ad esaurimento scorte ha creato non pochi problemi. Dall’inaccessibilità del sito all’attesa infinita in coda, tante sono state le segnalazioni di ritardi nella richiesta di procedura. Nella maggior parte dei casi il problema è stato riscontrato nel momento in cui veniva chiesto l’accesso allo SPID.

La procedura per richiedere il bonus

La piattaforma messa a disposizione per la richiesta del bonus, raggiungibile al link buonomobilita.it, è stata sviluppata dalla società Ict del Tesoro Sogei. Una volta effettuato il login, ciascun utente viene inserito in una coda in attesa di inserimento delle proprie credenziali SPID. Solo dopo aver inserito tali credenziali la procedura può avere inizio. In particolare gli utenti hanno a disposizione 20 minuti per poter completare l’intera procedura. Allo scadere del timer l’utente è costretto a ripetere tutto daccapo.

Purtroppo però molti utenti hanno riscontrato, oltre al rallentamento iniziale, anche ulteriori problemi durante l’inserimento dello SPID. Nel tempo stabilito non vi era modo di completare l’inserimento dei propri dati. Inoltre, poiché l’identità digitale è valida anche per tutte le altre piattaforme della Pubblica Amministrazione, anche queste ultime hanno riscontrato problemi nell’erogazione dei propri servizi.

Uno dei sistemi SPID più utilizzato è quello di Poste non ha consentito l’accesso a tutti coloro che ne necessitavano a causa delle numerose richieste. Sul proprio account Twitter, Poste ha twittato un messaggio di scuse per il mancato funzionamento, così come accade spesso in casi di tali problematiche.

Il post Twitter pubblicato da Poste Italiane per scusarsi con i propri utenti per il mancato accesso alla propria identità digitale mediante SPID, nonostante il proprio protocollo — Il post Twitter pubblicato da Poste Italiane per scusarsi con i propri utenti per il mancato accesso allo SPID.

Ma cos’è esattamente questo Spid, come funziona l’identità digitale e qual è il protocollo utilizzato?

Cos’è lo SPID e come funziona

Lo SPID (Sistema Pubblico di Identità Digitale) è lo strumento utilizzato per poter garantire la propria identità online. Utilizzando questa modalità di riconoscimento è possibile accedere a qualsiasi piattaforma di Pubblica Amministrazione utilizzando un’unica modalità di accesso. I punti di forza di questo strumento sono quindi

la semplicità di utilizzo,
la sicurezza in termini di protezione dei dati personali,
la versatilità garantita dall’accesso multipiattaforma.

Il rilascio SPID è garantito dall’identity provider, ovvero soggetti privati accreditati da AgID che, inseguito all’indicazione di specifiche linee guida ottengono l’abilitazione necessaria. La normativa prevede che l’identity provider debba rispettare sia requisiti di sicurezza che di user experience così da rispettare i tre principi indicati sopra.

Un provider di identità non è altro che un’entità di sistema che crea, conserva e gestisce le informazioni sull’identità per i principali e fornisce anche servizi di autenticazione.

Richiedere lo SPID è gratuito anche se alcuni provider richiedono una quota per il riconoscimento dell’identità mediante webcam.

SAML 2, il protocollo di sicurezza dello SPID

Il protocollo di sicurezza su cui si basa l’identità digitale SPID è il SAML 2. SAML (Security Assertion Markup Language) è nato nel 2001 nella sua prima versione e sviluppato dalla Security Services Technical Committee dell’OASIS (Organisation for the Advancement of Structured Information Standards).

Si tratta di un framework open source basato su XML che permette lo scambio di informazioni di autenticazione e autorizzazione. Le singole componenti SAML, tra cui una banca dati utente centrale e sei diversi protocolli, mettono a disposizione tutte le funzioni rilevanti per la descrizione e la trasmissione delle funzioni di sicurezza.

La verifica dell’identità di un utente avviene tramite lo scambio di dati, dette asserzioni. Ogni asserzione consente quindi di accertare che l’autenticazione sia avvenuta correttamente in un dato istante temporale e con una modalità di autenticazione corretta. Lo scambio di tali informazioni avviene tra un identity (entità che fornisce informazioni di identità) e un service (entità che fornisce servizi).

Lo scambio di asserzioni avviene tra l'identity provider che detiene le informazioni dell'utente ed il service provider che le verifica all'interno del suo database. — Lo scambio di asserzioni avviene tra l’identity provider che detiene le informazioni dell’utente ed il service provider che le verifica all’interno del suo database.

L’obiettivo principale della versione 2.0 di questo framework è quello di associare lìalto livello di sicurezza con la migliore esperienza utente possibile.

Lo SPID è dunque uno strumento digitale dal protocollo sicuro e ormai necessario da possedere, quanto un documento d’identità vero e proprio.