SPID: il suo valore giuridico spiegato in termini semplici
Lo SPID, acronimo di Sistema Pubblico di Identità Digitale, è uno strumento giuridicamente riconosciuto attraverso cui i cittadini, le imprese e i professionisti possono accedere ai servizi digitali della Pubblica Amministrazione e di soggetti privati aderenti al sistema.
Nonostante sia ormai consolidato il suo uso, vige ancora poca conoscenza a riguardo, ragion per cui è necessaria una breve guida per spiegare il suo valore giuridico, anche a partire dalle sue caratteristiche tecnologiche.
Struttura giuridica dello SPID
Introdotto con il DPCM del 24 ottobre 2014 e disciplinato dall'art. 64 del Codice dell'Amministrazione Digitale (D.lgs. 82/2005), lo SPID è un’attuazione del principio di semplificazione amministrativa e del diritto all'identità digitale.
Le credenziali SPID sono rilasciate da soggetti accreditati presso l'Agenzia per l'Italia Digitale (AgID), denominati Identity Provider, e sono articolate in tre livelli di sicurezza, corrispondenti a diversi gradi di garanzia dell'identità:
1) Il primo livello consente l'accesso con un semplice nome utente e password;
2) Il secondo livello aggiunge un sistema di autenticazione a due fattori, come un codice temporaneo (OTP);
3) Il terzo livello, il più elevato, prevede strumenti di autenticazione forte, come la firma digitale o dispositivi crittografici qualificati.
Lo SPID è valido anche in Europa?
La valenza giuridica dello SPID è attestata anche dal Regolamento eIDAS (Regolamento UE n. 910/2014), che disciplina i mezzi di identificazione elettronica a livello europeo. In base a tale normativa, lo SPID può essere riconosciuto come strumento valido di identificazione anche in altri Stati membri dell'Unione, laddove previsto.
Come funziona la tecnologia dello SPID?
Lo SPID, da un punto di vista tecnologico, funziona come una identità digitale certificata che viene emessa da un soggetto autorizzato, detto identity provider, che ha l’obbligo di verificare con cura l’identità di chi fa richiesta. Una volta riconosciuta la persona – attraverso documento, codice fiscale e verifica della presenza fisica (o video identificazione) – il provider le assegna delle credenziali digitali: un nome utente e una password, a cui spesso si affianca un secondo sistema di verifica, come un codice temporaneo inviato al telefono.
Ogni volta che un cittadino accede a un servizio online con SPID (ad esempio per scaricare un certificato, inviare una pratica o firmare digitalmente), avviene una comunicazione tra tre soggetti: il portale che offre il servizio, il sistema SPID e l’identity provider che ha rilasciato le credenziali.
Il portale chiede conferma dell’identità, mentre il sistema SPID controlla che le credenziali siano corrette. Poco dopo, il provider autentica l’identità e dà il via libera all’accesso.
I dati scambiati tra questi soggetti non sono leggibili da altri, perché sono protetti da sistemi di crittografia, ossia da codici matematici che rendono le informazioni illeggibili a chi non è autorizzato. In alcuni casi si parla di crittografia end-to-end, cioè un sistema che protegge i dati da quando partono dal computer dell’utente fino a quando arrivano a destinazione, senza che nessun altro possa leggerli nel mezzo.
Quando accedi con SPID, il sistema tiene traccia dell’autenticazione e conserva un registro delle operazioni, una sorta di diario elettronico delle attività, con data, ora e soggetto coinvolto. Questo registro è importante: se un domani dovesse sorgere una contestazione, esiste una prova documentale di chi ha fatto cosa, quando e con quale identità digitale.
L'identità SPID è quindi molto più di una semplice password. È una certificazione controllabile, verificabile e legalmente valida che identifica una persona in modo certo. E proprio per questo viene oggi utilizzata sempre più spesso anche in contesti giuridici, come l’accesso a servizi fiscali, l'invio di atti, o la partecipazione a procedure telematiche pubbliche.
Contratto di servizio e responsabilità dell'utente
La richiesta dello SPID comporta la stipula di un contratto tra il richiedente e l'Identity Provider, nel quale sono disciplinate le modalità di gestione dell'identità digitale, i doveri di custodia delle credenziali e le responsabilità in caso di uso improprio. Il provider ha l'obbligo di garantire la protezione dei dati personali, conformemente al Regolamento (UE) 2016/679 (GDPR), e deve segnalare eventuali accessi anomali o violazioni di sicurezza.
Revoca, sospensione e trattamento dei dati con SPID
La revoca o la sospensione dell'identità digitale SPID può avvenire su richiesta dell'utente o d'ufficio, in caso di violazione contrattuale o utilizzo illecito. Tali operazioni sono comunicate all'utente e annotate nei registri degli Identity Provider. Inoltre, in caso di morte del titolare, l'identità digitale viene disattivata, con modalità specifiche previste nel contratto di servizio.
Ricordiamo che l’'identità SPID può essere utilizzata per accedere a servizi di terze parti, comprese piattaforme private che hanno aderito al sistema, ma solo previo consenso espresso dell'utente.
In conclusione: giuridicamente, ogni accesso o trasmissione di dati effettuata tramite SPID è subordinata a una base legale e a un'informativa chiara, secondo quanto stabilito dalla normativa sulla protezione dei dati personali.
Su questo sito usiamo cookie, anche di terze parti, per migliorare la tua esperienza di navigazione. Proseguendo la navigazione acconsenti all’uso di tutti i cookie in conformitá alla nostra cookie policy