Attributi qualificati per Spid, la svolta con le linee guida Agid
AgID (agenzia Italia digitale) ha adottato le “Linee guida recanti le regole tecniche dei gestori di attributi qualificati” per identità digitali, spid. Ecco a cosa serviranno
Avanti tutta per gli attributi qualificati da agganciare alle identità digitali.
Con la Determinazione n. 215/2022 AgID ha adottato le “Linee guida recanti le regole tecniche dei gestori di attributi qualificati”, a conclusione dell’iter previsto dall’art. 71 del CAD.
Le Linee guida hanno lo scopo di definire i requisiti per la realizzazione dell’architettura dei gestori di attributi qualificati ai sensi dell’art. 1, comma 1, lett. m) del DPCM 24 ottobre 2014.
Attributi qualificati per SPID, identità digitale: a che servono
Gli attributi qualificati arricchiranno le identità digitali SPID con informazioni certificate, permettendo così all’utente un accesso ancora più semplice ai sempre più numerosi servizi online.
Lo scopo è di definire i requisiti per la realizzazione dell’architettura dei gestori di attributi qualificati ex art.1, comma 1, lettera m) del DPCM 24 ottobre 2014 (GU n.285 del 9122014), nel seguito Attribute Authority.
Le linee guida Agid per attributi qualificati
Le Linee Guida contengono anche degli allegati tecnici:
- Allegato tecnico OAS3
- Allegato tecnico SAML (riservato alla AA Gestore delle deleghe, amministrazioni di sostegno e tutele)
L’obbligo di applicazione delle Linee guida è a decorrere dal 31 ottobre 2022.
Proviamo a fare una prima analisi del contenuto e un’ipotesi di scenario di utilizzo.
Soggetti destinatari
I soggetti destinatari delle Linee Guida sono tutti i soggetti coinvolti nella federazione SPID, con primario e principale focus sui gestori di attributi qualificati.
La fruizione del servizio reso dai gestori di attributi qualificati è permesso anche ai soggetti presenti nella federazione CIE.
Gestori di attributi qualificati
Ai sensi dell’art. 1, comma 1, lett. m) del DPCM SPID, si intendono “i soggetti accreditati ai sensi dell’art. 16 che hanno il potere di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi (SP)”;
Attributi qualificati
ai sensi dell’art. 1, comma 1, lett. e) del DPCM SPID, sono “le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati”.
L’art. 64, comma 2-duodecies, ultimo periodo del CAD – come da ultimo modificato dal D.L. 30 aprile 2022, n. 36, convertito, con modificazioni, dalla L. 29 giugno 2022, n. 79 – concorre a chiarire tale definizione, specificando che:
“L’identità digitale, verificata ai sensi del presente articolo e con livello di sicurezza almeno significativo, attesta gli attributi qualificati dell’utente, ivi compresi i dati relativi al possesso di abilitazioni o autorizzazioni richieste dalla legge ovvero stati, qualità personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche, ovvero gli altri dati, fatti e informazioni funzionali alla fruizione di un servizio attestati da un gestore di attributi qualificati, secondo le modalità stabilite da AgID con Linee guida.”
Come diventare attribute autority
Può accreditarsi quale AA – Attribute Authority – qualunque soggetto che gestisca le informazioni e i dati appena descritti
Al momento dell’accreditamento, le AA indicano i dati che intendono rendere disponibili nello SPID, secondo le modalità indicate nei regolamenti attuativi adottati.
Registro delle AA
Già il DPCM SPID del 24 ottobre 2014 aveva già individuato i soggetti che, a fronte di relativa richiesta, sono accreditati di diritto quali AA:
- il Ministero dello sviluppo economico in relazione ai dati contenuti nell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti di cui all’articolo 6-bis del CAD;
- i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all’attestazione dell’iscrizione agli albi professionali;
- le camere di commercio, industria, artigianato e agricoltura per l’attestazione delle cariche e degli incarichi societari iscritti nel registro delle imprese;
- l’AgID in relazione ai dati contenuti nell’IPA di cui all’articolo 6-ter del CAD.
Spunto: tenendo presente che nell’Indice PA sono contenuti non solo i nomi delle Amministrazioni e gestori di Pubblico Servizio, ma anche i nominativi dei Responsabili dei Servizi, sarebbe estremamente utile fare in modo che questi dati possano essere utilizzati per facilitare l’accesso ai vari Portali tematici delle PA (ES: MEPA/CONSIP, ANAC, ecc.), che in questo momento prevedono invece appositi moduli di iscrizione, che allungano i tempi.
Per fare questo, occorrerebbe mappare nell’IPA anche il codice fiscale delle persone censite, eventualmente in un’area non visibile al pubblico.
In modo più generale, l’AgID inserisce nel Registro SPID – accessibile da parte dei fornitori di servizi – le tipologie di dati resi disponibili da ciascuna AA.
Presso il registro SPID, pertanto, è pubblicato un registro delle AA e degli attributi da loro trattati, e ad esse è associato il relativo documento OpenAPI.
Sarà quindi fondamentale un’attività di mappatura – a carico di AGID? – dei dati disponibili presso le principali basi dati di interesse nazionale (e tutte le AA), per la costituzione e attivazione del registro dedicato.
Accesso agli Attributi e rispetto della Privacy
L’attributo qualificato è richiesto dal SP – Service Provider – ai soli fini della fruizione di uno specifico servizio a cui l’interessato intende accedere.
Le AA devono assicurare, per impostazione predefinita, il trattamento dei soli dati personali necessari per ogni specifica finalità del trattamento, tenendo conto dell’effettivo contenuto informativo da fornire ai SP e ciò, ad esempio, privilegiando attributi di tipo booleano o comunque fornendo le informazioni minime necessarie per attestare il possesso dell’attributo richiesto, nel rispetto del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. C) del GDPR.
Tali cautele vanno apprestate, a maggior ragione e con particolare rigore, nei casi in cui il trattamento riguardi attributi qualificati appartenenti alle categorie particolari di cui all’art. 9 del GDPR o concernenti dati relativi a condanne penali e reati di cui all’art. 10 del GDPR, i quali:
- possono essere richiesti esclusivamente per la fruizione di servizi non possono essere erogati senza la conoscenza di tali attributi dell’utente (ad esempio: assenza di condanne penali per la partecipazione a un concorso pubblico o l’iscrizione in un albo professionale);
- possono essere resi conoscibili unicamente dalle AA che sono espressamente e specificamente individuate dall’ordinamento come i soggetti abilitati all’attestazione di tali categorie di attributi (ad esempio: con riferimento all’esempio di cui al punto precedente, l’attributo qualificato dell’assenza o presenza di condanne penali a carico del candidato a un concorso pubblico potrà essere attestato unicamente dal Ministero della Giustizia mediante il Casellario giudiziale), quindi il soggetto giuridico che crea e detiene il dato;
- comportano il dovere, in capo al SP che riceve tali attributi qualificati per consentire la fruizione di un servizio, della necessaria messa in atto di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, ai sensi dell’art. 32 del GDPR.
Qualora sia necessario conoscere un attributo qualificato del soggetto interessato ai fini dell’erogazione di un determinato servizio online, il SP informa di tale necessità l’utente che intende accedere al servizio, indicando, per ogni attributo qualificato, anche l’AA presso cui sarà richiesto.
Per l’ottenimento di uno o più attributi qualificati, il SP (anche per il tramite di Soggetti Aggregatori) invia una richiesta di attributi a una o più AA.
Qualora gli attributi qualificati siano attestabili dalla medesima AA, il SP invia a tale AA un’unica richiesta di attributi, a meno che alcuni di questi siano soggetti a dipendenze verificabili solo previa attestazione di altri attributi qualificati.
Ogni richiesta di attributi qualificati, indirizzata a un’AA da parte di un SP, si caratterizza per:
- l’identificazione del soggetto a cui si riferiscono gli attributi;
- la caratteristica temporale della richiesta: puntuale o continuativa.
In questo ultimo caso, si intende all’interno di una finestra temporale – non superiore a un periodo ininterrotto di 12 mesi – reciprocamente concordata tra SP, AA e utente.
L’accesso agli attributi e, di conseguenza, la loro attestazione possono essere classificati sulla base delle seguenti casistiche:
- a) “public”: il dato è open, di pubblico dominio o liberamente accessibile. In tal caso l’accesso al dato non richiede l’acquisizione dell’assenso dell’utente da parte dell’AA;
- b) “protected”: l’accesso al dato è riservato ai SP che hanno una specifica convenzione con l’AA. In tal caso, per l’accesso non è richiesta l’acquisizione dell’assenso dell’utente da parte dell’AA;
- c) “private”: l’accesso al dato è consentito solo previa acquisizione dell’assenso dell’utente da parte dell’AA.
Tale casistica si applica sempre nei casi di richiesta continuativa di attributi qualificati.
Con riferimento alla richiesta di attributi qualificati, il SP è tenuto a valutare – sin dalla progettazione e per impostazione predefinita – l’effettiva necessità di acquisire tali attributi afferenti l’interessato per le finalità del servizio erogato e ad approntare il relativo trattamento nel rispetto scrupoloso dei principi di cui all’art. 5 del GDPR, con particolare riferimento ai principi di liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati rispetto alle finalità individuate e limitazione della conservazione, essendo in grado di comprovare il rispetto di tali principi ai sensi dell’art. 5, par. 2 del GDPR
IdP, SP e AA sono tenuti ad adottare le misure tecniche e organizzative necessarie a garantire un livello di sicurezza adeguato al rischio, a sorvegliare e tracciare l’accesso e le attività dei propri utenti per il tempo strettamente necessario e al solo fine di tutelare la protezione dei dati personali secondo quanto definito dagli artt. 25, 29 e 32 del GDPR, informandosi reciprocamente e tempestivamente in caso di violazioni di sicurezza o di qualsiasi minaccia, intervenute nei processi di cui alle presenti LG, che comportino un rischio per la sicurezza e per i diritti e le libertà degli interessati, anche al fine di agevolare l’adempimento degli obblighi di cui agli artt. 33 e 34 del GDPR.
Effetti concreti e prossimi scenari
Se le Linee Guida verranno applicate al massimo delle potenzialità, si potrà arrivare ad un completo superamento delle autocertificazioni e dichiarazioni sostitutive dell’atto di notorietà previste dal DPR 445/2000 – tutte le volte in cui tali qualità, stati o altro è contenuto in un pubblico registro o il dato è detenuto da un’Autorità Pubblica, visto che il dato (ovvero Attributo) sarà verificato in tempo reale e darà la possibilità di procedere nella richiesta del servizio o meno.
Le Linee Guida rappresentano, da questo punto di vista, la completa attuazione del principio di interoperabilità e once only, in cui tutte le PA hanno accesso diretto e immediato ai dati di cui necessitano, evitando il meccanismo attuale di domanda/risposta o verifica manuale da parte degli operatori o inserimenti multipli di dati (con relativi errori, duplicazioni …).
Solo per fare qualche esempio:
- la qualità di proprietario di un immobile – certificato dall’Agenzia delle Entrate – in particolare nei registri catastali, è elemento qualificante per la presentazione della Dichiarazione IMU, e quindi viene verificato attraverso la richiesta dell’attributo al momento dell’accesso e/o compilazione della dichiarazione.
- altro caso interessante è l’attributo che attesta la qualifica di legale rappresentante, il cui gestore è il Registro delle Imprese: finalmente potrà essere possibile richiedere un servizio online anche per le persone giuridiche, evitando compilazione di moduli cartacei e/o scansionati, dal momento che l’identità SPID/CIE dell’interessato sarà “collegata” anche al ruolo che riveste nell’impresa.
- anche il dato della dichiarazione ISEE – in questo modo – viene verificata in tempo reale (con accesso al dato nella banca dati INPS), evitando anche in questo caso le verifiche successive dei dati e/o errori di compilazione da parte degli interessati.
Di conseguenza, ci sarà il completo superamento dei controlli successivi alla presentazione della richiesta, eliminando una cospicua parte di lavoro che viene svolto dagli operatori nel back office, e quindi recuperando “forza lavoro” per attività più qualificanti.
Sarà così necessaria una progettazione più accurata dei servizi online e dei requisiti necessari per presentare domanda, passando dal “modulo online” con la logica cartacea delle “crocette” al vero e proprio servizio online, in cui la richiesta è auto consistente, perché contiene fin dall’origine tutti i dati necessari per poter usufruire del servizio richiesto.
Ovviamente questo sarà possibile nella misura in cui le AA abbiano censito presso il Registro AGID i dati che hanno a disposizione e quindi siano state realizzate le integrazioni necessarie.
Altro tema che rimane un po’ in sospeso è quello della modalità di accesso all’attributo, da cui dipende la modalità di consultazione: infatti, nel caso di Attributo “protected”, le Linee Guida prevedono che l’accesso al dato è riservato ai SP che hanno una specifica convenzione con l’AA.
Nell’attesa di chiarire meglio l’effettivo contenuto della definizione, sembra che si ritorni al tema delle convenzioni tra enti, che possono in effetti rappresentare un ostacolo burocratico in grado di rallentare notevolmente l’attuazione delle Linee Guida.
Non ci resta che aspettare di capire come verrà attuato il provvedimento per valutarne appieno gli effetti e le potenzialità.
