SPID: le nuove frontiere delle identità digitali

50 %
50 %
Information about SPID: le nuove frontiere delle identità digitali

Published on July 7, 2016

Author: sattagianluca

Source: slideshare.net

1. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta SPID: le nuove frontiere delle identità digitali Gianluca Satta 1

2. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Cosa è l’identità digitale? A cosa serve un’identità digitale? Esiste un diritto all’identità digitale? L’identit{ digitale 2

3. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta “The essential and unique characteristics of an entity are what identify it.” H. Abelson e L. Lessig, Massachusetts Institute ofTechnology “A Digital Identity is a virtual representation of a real identity that can be used in electronic interactions with other machines or people.” E. Norlin e A. Durand, “Federated Identity Management”, Whitepaper on towards federated identity management Non è facile dare una definizione esaustiva Cosa è l’identit{ digitale? 3

4. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta “The value of Digital Identity is that it allows us to transpose the ease and security human interactions once had when we knew each other or did business face-to-face, to a machine environment where we are often meeting one another (virtually) for the first time in transactions which might span vast distances.” E. Norlin e A. Durand, “Federated Identity Management”, Whitepaper on towards federated identity management Identità fisica vs Identità digitale A cosa serve un’identit{ digitale? Il valore dell’Identit{ Digitale come strumento per trasporre (comodità e sicurezza) tipiche delle interazioni umane, in un ambiente di macchine dove spesso ci si incontra virtualmente per la prima volta, nell’ambito di transazioni tra soggetti fisicamente molto distanti 4

5. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta REAL LIFE Interazioni umane: - Agevoli - Sicure - Faccia a faccia VIRTUAL LIFE Interazioni tra macchine: - Distanza - Incertezza - Insicure Identità fisica vs Identità digitale A cosa serve un’identit{ digitale? 5

6. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Unica Univoca Identità fisica Distribuite (le informazioni sono dislocate in diversi punti della rete) Possono essere associate più ID a ciascuna persona fisica Identità digitale Identità fisica vs Identità digitale A cosa serve un’identit{ digitale? 6

7. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta (1) Instaurare la fiducia negli ambienti online è fondamentale per lo sviluppo economico e sociale. La mancanza di fiducia, dovuta in particolare a una percepita assenza di certezza giuridica, scoraggia i consumatori, le imprese e le autorità pubbliche dall’effettuare transazioni per via elettronica e dall’adottare nuovi servizi. La fiducia nelle transazioni elettroniche (2) Il presente regolamento mira a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea. REGOLAMENTO (UE) N. 910/2014 – eIDAS (electronic IDentification Authentication and Signature) considerando A cosa serve un’identit{ digitale? 7

8. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta All’interno dell’ordinamento giuridico sono tutelati gli elementi principali di individuazione della persona, quali il nome e l’immagine. L’identificazione della persona, infatti, presuppone sempre la sua individuazione. IL NOME trova disciplina e tutela negli articoli 6 - 9 del codice civile, nonché all’art. 22 della Costituzione. Se il codice civile all’art. 6 in positivo dispone che ogni persona ha diritto al nome, la Costituzione repubblicana all’art. 22 assicura in negativo che “nessuno può essere privato, per motivi politici, del nome”. L'IMMAGINE è invece un mezzo identificativo innato, essa descrive l'insieme delle sue fattezze in misura e maniera tale da poterla riconoscere. Ciò che circola è la sua riproduzione e, pertanto, ad essa è assicurata la tutela del legislatore all'art. 10 c.c. Esistono varie forme di tutela dell’identità personale. Dottrina e giurisprudenza sono arrivate ad affermare l’esistenza di un vero e proprio diritto all’identità personale, che trova fondamento nell’art. 2 Cost. Esiste un diritto all’identit{ digitale? 8

9. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 2, Codice Privacy (D. Lgs. 196/2003) “Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali” E l’identità digitale?...... Esiste un diritto all’identit{ digitale? 9

10. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta L’identità digitale è strettamente congiunta a quella personale, la prima descrive e rappresenta la seconda. È necessario assicurare all’identità digitale le medesime tutele e garanzie riconosciute dall’ordinamento per l’identità personale L’identit{ digitale deve essere oggetto di tutela all’interno dell’ordinamento, in quanto strettamente connessa all’identit{ reale della persona L’identit{ digitale può avere legami più o meno diretti con l’identit{ reale: dall’anonimato alla totale associazione Esiste un diritto all’identit{ digitale? 10

11. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Attraverso regole che tutelano: Identità personale in rete Tecniche di identificazione del soggetto a mezzo di strumenti informatici Esiste un diritto all’identit{ digitale? Come tutelare l’identit{ digitale 11

12. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Esiste un diritto all’identit{ digitale? Dichiarazione dei diritti in Internet Commissione per i diritti e i doveri relativi ad Internet - 14 luglio 2015 Art. 1 - Riconoscimento e garanzia dei diritti 1. Sono garantiti in Internet i diritti fondamentali di ogni persona riconosciuti dalla Dichiarazione universale dei diritti umani delle Nazioni Unite, dalla Carta dei diritti fondamentali dell’Unione Europea, dalle costituzioni nazionali e dalle dichiarazioni internazionali in materia. 2. Tali diritti devono essere interpretati in modo da assicurarne l’effettivit{ nella dimensione della Rete. 3. Il riconoscimento dei diritti in Internet deve essere fondato sul pieno rispetto della dignità, della libertà, dell’eguaglianza e della diversità di ogni persona, che costituiscono i principi in base ai quali si effettua il bilanciamento con altri diritti. 12

13. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Esiste un diritto all’identit{ digitale? Art. 9 - Diritto all’identità 1. Ogni persona ha diritto alla rappresentazione integrale e aggiornata delle proprie identità in Rete. 2. La definizione dell’identit{ riguarda la libera costruzione della personalità e non può essere sottratta all’intervento e alla conoscenza dell’interessato. 3. L’uso di algoritmi e di tecniche probabilistiche deve essere portato a conoscenza delle persone interessate, che in ogni caso possono opporsi alla costruzione e alla diffusione di profili che le riguardano. 4. Ogni persona ha diritto di fornire solo i dati strettamente necessari per l’adempimento di obblighi previsti dalla legge, per la fornitura di beni e servizi, per l’accesso alle piattaforme che operano in Internet. 5. L’attribuzione e la gestione dell'Identità digitale da parte delle Istituzioni Pubbliche devono essere accompagnate da adeguate garanzie, in particolare in termini di sicurezza. 13

14. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Facciamo chiarezza È il processo con il quale vengono associate delle credenziali ad un soggetto, per consentire l’accesso a un sistema informativo, generalmente in rete, dopo la verifica in automatico da parte di un programma dedicato delle credenziali che si intende accreditare sul sistema. Risponde alla domanda “Chi sei tu?” La funzione dell’identificazione è quella di rendere conoscibile un entità all’interno di una moltitudine di entità sconosciute. La digitazione del nome utente (username) equivale all’asserzione: “sono la persona a cui appartiene questo username” Identificazione: la determinazione che un individuo sia conosciuto o meno dal sistema Autenticazione vs Identificazione 14

15. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Autenticazione: il processo attraverso il quale viene verificata l'identità di un utente che vuole accedere ad un computer o ad una una rete. E’ il sistema che verifica, effettivamente, che un individuo è chi sostiene di essere. Una volta stabilità l’identit{ di una persona, il sistema deve essere sicuro che l’utente sia quello che dice di essere. Per questo motivo, il sistema chiede “Come puoi dimostrare la tua identità?” Con l’inserimento della password corretta, l’utente fornisce la prova che è la persona a cui appartiene quell’username. Vi sono tre tipi di informazioni che possono essere utilizzate per l’authentication: Something you know: PIN, password, o altra parola chiave. Something you have: token fisico, un generatore di OTP, una smartcard Something you are: una biometria (volto, impronte digitali, geometria della mano, venature della mano, l’iride, la retina, la firma, la voce, l’orecchio, il DNA) Autenticazione vs Identificazione Facciamo chiarezza 15

16. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Autorizzazione: il conferimento all’utente del diritto ad accedere a specifiche risorse del sistema, sulla base della sua identità. Una volta che il sistema ha identificato e autenticato l’utente, ora si tratta di stabilire “cosa puoi fare?”, “a quali risorse, a quali dati puoi accedere?” Il tutto viene garantito con un controllo agli accessi, in base alle autorizzazioni precedentemente date al profilo dell’utente. Il sistema è pertanto in grado di stabilire quali operazioni consentire e quali vietare all’utente. Autenticazione vs Identificazione Facciamo chiarezza 16

17. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta «identificazione elettronica», il processo per cui si fa uso di dati di identificazione personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o un’unica persona fisica che rappresenta una persona giuridica; «dati di identificazione personale», un insieme di dati che consente di stabilire l’identit{ di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona giuridica Art. 1 – Regolamento eIDAS «autenticazione», un processo elettronico che consente di confermare l’identificazione elettronica di una persona fisica o giuridica, oppure l’origine e l’integrit{ di dati in forma elettronica Autenticazione vs Identificazione Regolamento eIDAS (electronic IDentification Authentication and Signature) REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE 17

18. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 64 Codice dell’Amministrazione Digitale: CNS (Carta nazionale dei Servizi) I principali strumenti di identificazione informatica CIE (Carta di identità elettronica) 18

19. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta SPID: stato di avanzamento 19

20. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta CAD, art. 64, comma 2-sexies del D.lgs. 7 marzo 2005, n. 82 (Codice dell'Amministrazione Digitale) DPCM 24 ottobre 2014 Determinazione n. 44/2015, sono stati emanati i quattro regolamenti previsti dall’articolo 4, commi 2, 3 e 4, del DPCM 24 ottobre 2014 SPID: presupposti normativi 20

21. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta DECRETO-LEGGE 21 giugno 2013, n. 69 “Disposizioni urgenti per il rilancio dell'economia”, convertito con modificazioni dalla L. 9 agosto 2013, n. 98 (in S.O. n. 63, relativo alla G.U. 20/08/2013, n. 194). Art. 17-ter, comma 1 e 2: disposta la modifica dell'art. 64, comma 2, con l'introduzione dei commi 2-bis, 2-ter, 2-quater, 2-quinquies, 2-sexies. Art. 64 CAD, comma 2-bis, 2-ter È l’insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'Agenzia per l'Italia digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete, ovvero, direttamente, su richiesta degli interessati. SPID: introduzione Che cos’è il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID). Obiettivo: favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità 21

22. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta SPID e P.A. (art. 64, comma 2-quater) Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo le modalità definiti con il decreto di cui al comma 2-sexies. 2-quinquies. SPID e Soggetti privati (art. 64, comma 2-quinquies) Ai fini dell'erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell'identità digitale dei propri utenti. L'adesione al sistema SPID per la verifica dell'accesso ai propri servizi erogati in rete per i quali è richiesto il riconoscimento dell'utente esonera l'impresa da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell'articolo 17 del decreto legislativo 9 aprile 2003, n. 70. Art. 64 CAD SPID: introduzione 22

23. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 17 - Assenza dell'obbligo generale di sorveglianza Nella prestazione dei servizi di cui agli articoli 14, 15 e 16, (mere conduit, caching e hosting) il prestatore (ovvero la persona fisica o giuridica che presta un servizio della società dell'informazione) non è assoggettato ad un obbligo generale di sorveglianza sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare attivamente fatti o circostanze che indichino la presenza di attività illecite. D. Lgs. 9 aprile 2003, n. 70 (Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell'informazione nel mercato interno, con particolare riferimento al commercio elettronico) Ad impossibilia nemo tenetur Cosa significa l’esenzione dall’obbligo di sorveglianza? Sorveglianza sull’attività nel proprio sito, non in rete! SPID: introduzione 23

24. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite. Il sito web che adotta SPID non è a conoscenza dell’identità dei propri utenti o può non esserlo poiché la gestione delle identità è esterna. L’esenzione riguarda l’obbligo di riferire, alle autorità, informazioni ed identità che non possiede e che non devono più essere richieste al sito ma, eventualmente, all'identity provider. Ad impossibilia nemo tenetur Cosa significa l’esenzione dall’obbligo di sorveglianza? Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore è comunque tenuto: a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa avente funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite riguardanti un suo destinatario del servizio della società dell'informazione; Art. 17 - Assenza dell'obbligo generale di sorveglianza SPID: introduzione 24

25. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta I soggetti SPID Art. 3, DPCM 24 ottobre 2014 Utente, che potrà disporre di uno o più identità digitali, che contengono alcune informazioni identificative obbligatorie, come il codice fiscale, il nome, il cognome, il luogo di nascita, la data di nascita e il sesso; Gestore dell’identità digitale. Dovrà essere accreditato dall’Agenzia per l’Italia Digitale e ha il ruolo di creare e gestire le identità digitali; Gestore di attributi qualificati: in base alle norme vigenti, può certificare attributi qualificati, come il possesso di un titolo di studio, l’appartenenza ad un ordine professionale Fornitore di Servizi – soggetto pubblico o privato – che eroga servizi on- line, previo riconoscimento dell’utente da parte del gestore dell’identit{ digitale. Agenzia per l’Italia Digitale (AGID) 25

26. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta L'Agenzia cura l'attivazione dello SPID, svolgendo, in particolare, le seguenti attività: a) gestisce l'accreditamento dei gestori dell'identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni. b) cura l'aggiornamento del registro SPID e vigila sull'operato dei soggetti che partecipano allo SPID, anche con possibilità di conoscere, tramite il gestore dell'identità digitale, i dati identificativi dell'utente e verificare le modalità con cui le identità digitali sono state rilasciate e utilizzate; c) stipula apposite convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità. Art. 4 DPCM 24 ottobre 2014 Il ruolo dell’AgID all’interno di SPID 26

27. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Le identità digitali sono rilasciate dal gestore dell’identit{ digitale, su richiesta di un soggetto interessato. Il modulo di richiesta di adesione contiene alcune informazioni obbligatorie Rilascio delle identità digitali ATTRIBUTI SECONDARI Art. 1, comma 1 ,lett. d) DPCM funzionali alle comunicazioni il numero di telefonia fissa o mobile, l'indirizzo di posta elettronica, il domicilio fisico e digitale, eventuali altri attributi individuati dall'Agenzia PERSONE FISICHE Cognome e Nome; sesso, data e luogo di nascita; codice fiscale; estremi di un valido documento di identità PERSONE GIURIDICHE Denominazione/ragione sociale; codice fiscale o P. IVA (se uguale al codice fiscale); sede legale; visura camerale attestante lo stato di rappresentante legale del soggetto richiedente l’identit{ per conto della società (in alternativa atto notarile di procura legale); estremi del documento di identità utilizzato dal rappresentante legale ATTRIBUTI IDENTIFICATIVI DELLE IDENTITA’ DIGITALI 27

28. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Inoltre, per quanto riguarda l’indirizzo di posta elettronica, i gestori dovranno accertarsi, oltre che lo stesso sia un indirizzo corrispondente a una reale casella di posta, che sia unico in ambito SPID, ovvero che esso non sia stato precedentemente indicato dallo stesso soggetto per l’acquisizione di una identità digitale SPID presso lo stesso o un altro gestore dell’identit{ digitale. Attributi secondari Obbligo di fornire almeno un indirizzo di posta elettronica e un recapito di telefonia mobile, entrambi verificati dal gestore di identità digitale nel corso del processo di identificazione, inviando un messaggio di posta all’indirizzo dichiarato, contenente una URL per la verifica e un SMS al numero di cellulare con un codice numerico di controllo che deve essere riportato in risposta. 28

29. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Il gestore dell’identit{ digitale, per una corretta e sicura attuazione del processo: Attivit{ essenziale nel rilascio dell’identit{ digitale d) acquisisce i dati necessari alla dimostrazione di identità. a) fornisce l’informativa sul trattamento dei dati (articolo 13 del D.lgs. 196 del 2003) b) si assicura che il richiedente sia consapevole dei termini e delle condizioni associati all'utilizzo del servizio di identità digitale; c) si assicura che il richiedente sia consapevole delle raccomandazioni e delle precauzioni da adottare per l'uso delle identità digitale; 29

30. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta A vista Identificazione del soggetto richiedente che sottoscrive il modulo di adesione allo SPID, tramite esibizione a vista di un valido documento d'identità e, nel caso di persone giuridiche, della procura attestante i poteri di rappresentanza Identificazione informatica Con documenti digitali che prevedono il riconoscimento a vista del richiedente all'atto dell'attivazione, fra cui la TS‐CNS, CNS o carte ad essa conformi Con altre identità SPID Art. 7 DPCM -Verifica dell'identità del soggetto richiedente e consegna in modalità sicura delle credenziali di accesso Come avviene il rilascio dell’identit{ digitale 30

31. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 7 DPCM -Verifica dell'identità del soggetto richiedente e consegna in modalità sicura delle credenziali di accesso Richiesta firmata digitalmente acquisizione del modulo di adesione allo SPID sottoscritto con firma elettronica qualificata o con firma digitale identificazione informatica fornita da sistemi informatici preesistenti all'introduzione dello SPID che risultino aver adottato, a seguito di apposita istruttoria dell'Agenzia, regole di identificazione informatica caratterizzate da livelli di sicurezza uguali o superiori a quelli definiti nel presente decreto. Sistemi informatici preesistenti Come avviene il rilascio dell’identit{ digitale 31

32. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta I gestori dell'identità digitale, ricevuta la richiesta di adesione, effettuano la verifica degli attributi identificativi del richiedente utilizzando prioritariamente i servizi convenzionali [convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la verifica dei documenti di identità] Se non è possibile tale verifica, i gestori dell'identità digitale effettuano tali verifiche sulla base di documenti, dati o informazioni ottenibili da archivi delle amministrazioni certificanti, ai sensi dell'art. 43, comma 2, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, secondo i criteri e le modalità stabilite dall'Agenzia con i regolamenti di cui all'art. 4, fatto salvo il caso di cui al comma 2, lettera e). L’art. 43 DPR 445/2000 prevede la consultazione diretta da parte di una pubblica amministrazione o di un gestore di pubblico servizio, degli archivi dell'amministrazione certificante, finalizzata all'accertamento d'ufficio di stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive presentate dai cittadini. Come avviene il rilascio dell’identit{ digitale 32

33. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta I PASSAGGI PRINCIPALI a) richiesta di accreditamento b) accoglimento della richiesta da parte dell’AgID c) stipula apposita convenzione d) iscrizione del richiedente nel registro SPID, consultabile in via telematica. Accreditamento dei gestori dell'identità digitale Art. 10, DPCM 24 ottobre 2014 33

34. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni di euro; b) garantire il possesso dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di amministrazione, direzione e controllo presso banche, da parte dei rappresentanti legali, dei soggetti preposti all'amministrazione e dei componenti degli organi preposti al controllo; c) dimostrare la capacità organizzativa e tecnica necessaria per svolgere l'attività di gestione dell'identità digitale; d) utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi da fornire. Il gestore provvede al periodico aggiornamento professionale del personale; e) comunicare all'Agenzia i nominativi e il profilo professionale dei soggetti responsabili delle specifiche f) essere in possesso della certificazione di conformità del proprio sistema di gestione per la sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo indipendente a tal fine autorizzato secondo le norme vigenti in materia; Art. 10, DPCM 24 ottobre 2014 - Requisiti per l’accreditamento: Accreditamento dei gestori dell'identità digitale 34

35. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta g) trattare i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196; h) essere in possesso della certificazione di qualità ISO 9001, successive modifiche o norme equivalenti. Se, all'esito dei controlli, accerta la mancanza dei requisiti richiesti per l'iscrizione nel registro SPID Termine per consentire ripristino dei requisiti adottare le azioni previste dall'art. 12: sospensione o revoca dell’accreditamento AgID procede a controlli per accertare la permanenza della sussistenza dei requisiti previsti dal DPCM 24.10.2014 D’ufficio Su segnalazione motivata di soggetti pubblici o privati Accreditamento dei gestori dell'identità digitale 35

36. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta • utilizzano sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti, in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale; • adottano adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza, l'integrità e la sicurezza nella generazione delle credenziali di accesso; • effettuano un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione delle credenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensione dell'identità digitale in caso di attività sospetta; • effettuano, con cadenza almeno annuale, un'analisi dei rischi; • definiscono il piano per la sicurezza dei servizi SPID, da trasmettere all'Agenzia, e ne garantiscono l'aggiornamento; DEFINIZIONI DPCM l) gestori dell'identità digitale: le persone giuridiche accreditate allo SPID che, in qualità di gestori di servizio pubblico, previa identificazione certa dell'utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essi inoltre, forniscono i servizi necessari a gestire l'attribuzione dell'identità digitale degli utenti, la distribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite e l'autenticazione informatica degli utenti; Obblighi dei gestori dell'identità digitale Art. 11, DPCM 24 ottobre 2014 36

37. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta • allineano le procedure di sicurezza agli standard internazionali, la cui conformità è certificata da un terzo abilitato; • conducono, con cadenza almeno semestrale, il «Penetration Test»; • garantiscono la continuità operativa dei servizi afferenti allo SPID; • effettuano ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi, garantendo la gestione degli incidenti da parte di un'apposita struttura interna; • garantiscono la gestione sicura delle componenti riservate delle identità digitali degli utenti, • si sottopongono, con cadenza almeno biennale, ad una verifica di conformità alle disposizioni vigenti da parte di un organismo di valutazione • informano tempestivamente l'Agenzia e il Garante per la protezione dei dati personali su eventuali violazioni di dati personali • adeguano i propri sistemi a seguito degli aggiornamenti emanati dall'Agenzia; • inviano all'Agenzia, in forma aggregata, i dati da questa richiesti a fini statistici, che potranno essere resi pubblici. Obblighi dei gestori dell'identità digitale Art. 11, DPCM 24 ottobre 2014 37

38. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta DEFINIZIONI DPCM i) fornitore di servizi: il fornitore dei servizi della società dell'informazione definiti dall'art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un'amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di servizi inoltrano le richieste di identificazione informatica dell'utente ai gestori dell'identità digitale e ne ricevono l'esito. I fornitori di servizi, nell'accettare l'identità digitale, non discriminano gli utenti in base al gestore dell'identità digitale che l'ha fornita; Art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70 "servizi della società dell'informazione": le attività economiche svolte in linea - on line -, nonché i servizi definiti dall'articolo 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317, e successive modificazioni; PrivatiPubbliche amministrazioni Fornitori di servizi Art. 13, DPCM 24 ottobre 2014 38

39. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317 “servizio”: qualsiasi servizio della società dell'informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi. Ai fini della presente definizione si intende: per "servizio a distanza un servizio fornito senza la presenza simultanea delle parti; per "servizio per via elettronica un servizio inviato all'origine e ricevuto a destinazione mediante attrezzature elettroniche di trattamento, compresa la compressione digitale e di memorizzazione di dati e che e' interamente trasmesso, inoltrato e ricevuto mediante fili, radio, mezzi ottici od altri mezzi elettromagnetici; per "servizio a richiesta individuale di un destinatario di servizi un servizio fornito mediante trasmissione di dati su richiesta individuale; Fornitori di servizi Art. 13, DPCM 24 ottobre 2014 39

40. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Obblighi • I fornitori di servizi conservano per ventiquattro mesi le informazioni necessarie a imputare, alle singole identità digitali, le operazioni effettuate sui propri sistemi tramite SPID. • Nel caso in cui i fornitori di servizi rilevino un uso anomalo di un'identità digitale, informano immediatamente l'Agenzia e il gestore dell'identità digitale che l'ha rilasciata. • I fornitori di servizi trattano i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196. Nell'ambito dell'informativa di cui all'art. 13 del decreto legislativo n. 196 del 2003, i fornitori di servizi informano l'utente che l'identità digitale e gli eventuali attributi qualificati saranno verificati, rispettivamente, presso i gestori dell'identità digitale e i gestori degli attributi qualificati. Per aderire allo SPID devono stipulare apposita convenzione con l'Agenzia Fornitori di servizi Art. 13, DPCM 24 ottobre 2014 40

41. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta 1. Nel rispetto dell'art. 64, comma 2, del CAD, le pubbliche amministrazioni che erogano in rete servizi qualificati, direttamente o tramite altro fornitore di servizi, consentono l'identificazione informatica degli utenti attraverso l'uso dello SPID. Art. 14, DPCM 24 ottobre 2014 Adesione allo SPID da parte delle pubbliche amministrazioni in qualità di fornitori di servizi servizio per la cui erogazione è necessaria l'identificazione informatica dell'utente; Fornitori di servizi: adesione SPID-PA 2. Ai fini del comma 1, le pubbliche amministrazioni di cui all'art. 2, comma 2, del CAD aderiscono allo SPID, secondo le modalità stabilite dall'Agenzia ai sensi dell'art. 4, entro i ventiquattro mesi successivi all'accreditamento del primo gestore dell'identità digitale. Obbligo per la P.A. 41

42. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 15, DPCM 24 ottobre 2014 Adesione allo SPID da parte di soggetti privati fornitori di servizi DIVIETO 1. Non possono aderire allo SPID i soggetti privati fornitori di servizi il cui rappresentante legale, soggetto preposto all'amministrazione o componente di organo preposto al controllo risulta condannato con sentenza passata in giudicato per reati commessi a mezzo di sistemi informatici. OBBLIGO 2. Ai sensi dell'art. 64, comma 2‐quinquies, del CAD, i soggetti privati che aderiscono allo SPID per la verifica dell'accesso ai servizi erogati in rete, nel rispetto del presente decreto e dei regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4, soddisfano gli obblighi di cui all'art. 17, comma 2, del decreto legislativo 9 aprile 2003, n. 70 con la comunicazione del codice identificativo dell'identità digitale utilizzata dall'utente. Fornitori di servizi: adesione SPID-PA 42

43. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Su richiesta degli interessati, sono accreditati di diritto i seguenti gestori di attributi qualificati (non necessitano di formalizzare l’accreditamento) a) il Ministero dello sviluppo economico in relazione ai dati contenuti nell'indice nazionale degli indirizzi PEC delle imprese e dei professionisti (INI-PEC) b) i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all'attestazione dell'iscrizione agli albi professionali; c) le camere di commercio, industria, artigianato e agricoltura per l'attestazione delle cariche e degli incarichi societari iscritti nel registro delle imprese; d) l'Agenzia in relazione ai dati contenuti nell'indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi (IPA) di cui all'art. 57‐bis del CAD. Art. 16, DPCM 24 ottobre 2014 - Accreditamento dei gestori di attributi qualificati Definizione DPCM e) attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati; m) gestori di attributi qualificati: i soggetti accreditati ai sensi dell'art. 16 che hanno il potere di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi; Gestori di attributi qualificati SPID 43

44. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Il sistema SPID è basato su tre livelli di sicurezza di autenticazione informatica Art. 6, DPCM 24 ottobre 2014 - Livelli di sicurezza delle identità digitali I livelli di sicurezza SPID Processo diretto alla verifica dell’identit{ digitale associata a un soggetto ai fini della erogazione di un servizio fornito in rete. A tale verifica di identità è associato un livello di sicurezza o di garanzia (level of assurance - LoA) progressivamente crescente in termini di sicurezza. Processo di autenticazione informatica Il risultato dell’intero procedimento che sottende all’attivit{ di autenticazione. Tale processo va dalla preliminare associazione tra un soggetto e un’identit{ digitale che lo rappresenta in rete fino ai meccanismi che realizzano il protocollo di autenticazione al momento della richiesta di un servizio in rete. Livello di sicurezza 44

45. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta I livelli di sicurezza SPID I livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115. Garantisce con un buon grado di affidabilità l'identità accertata nel corso dell’attivit{ di autenticazione. Rischio associato: moderato Sistema di autenticazione: a singolo fattore (la password) Applicabilità: nei casi in cui il danno causato, da un utilizzo indebito dell’identit{ digitale, ha un basso impatto per le attività dell’utente Livello 1 (LoA2 dell’ISO- IEC 29115) Garantisce con un alto grado di affidabilità l'identità accertata nel corso dell’attivit{ di autenticazione. Rischio associato: ragguardevole Sistema di autenticazione: a due fattori non necessariamente basato su certificati digitali Applicabilità: tutti i servizi per i quali un indebito utilizzo dell’ identità digitale può provocare un danno consistente Livello 2 (LoA3 dell’ISO- IEC 29115) 45

46. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Garantisce con un altissimo grado di affidabilità l'identità accertata nel corso dell’attivit{ di autenticazione Rischio associato: altissimo Sistema di autenticazione: a due fattori basato su certificati digitali e criteri di custodia delle chiavi private su dispositivi che soddisfano i requisiti dell’Allegato 3 della Direttiva 1999/93/CE Applicabilità: a tutti i servizi che possono subire un serio e grave danno per cause imputabili ad abusi di identità; questo livello è adeguato per tutti i servizi per i quali un indebito utilizzo dell’ identità digitale può provocare un danno serio e grave Livello 3 (LoA4 dell’ISO- IEC 29115) I livelli di sicurezza SPID I livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115. 46

47. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta I livelli di sicurezza SPID Avviso AgID n. 4 – Indicazioni sul livello di sicurezza da adottare per alcuni servizi più diffusi 47

48. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta I livelli di sicurezza SPID Avviso AgID n. 4 – Indicazioni sul livello di sicurezza da adottare per alcuni servizi più diffusi 48

49. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta I livelli di sicurezza SPID Avviso AgID n. 4 – Indicazioni sul livello di sicurezza da adottare per alcuni servizi più diffusi 49

50. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Il titolare dell’identit{ digitale richiede l’accesso ad un servizio collegandosi telematicamente al portale del fornitore di servizi Il fornitore dei servizi, per poter procedere, deve individuare il gestore dell‘Identit{ digitale in grado di autenticare il soggetto richiedente. Per far ciò il gestore dell‘Identit{ digitale chiede indicazioni allo stesso utente, ad esempio, facendo scegliere il proprio gestore dell’identit{ digitale da un elenco riportante tutti i gestori di identità aderenti a SPID Il fornitore dei servizi indirizza il soggetto titolare dell’identit{ digitale presso il gestore dell’identit{ digitale, individuato al passaggio precedente, richiedendo l’autenticazione con il livello SPID associato al servizio richiesto e l’eventuale attestazione di attributi necessari per l’autorizzazione all’accesso il gestore dell’identit{ digitale verifica l’identit{ del soggetto sulla base di credenziali fornite dallo stesso. Se tale verifica ha esito positivo viene emessa, ad uso del fornitore dei servizi, una asserzione di autenticazione SAML attestante gli attributi eventualmente richiesti; Interazioni necessarie all’autenticazione SPID 50

51. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Il titolare dell’identit{ digitale viene quindi reindirizzato, portando con sé l’asserzione prodotta, verso il fornitore dei servizi Il fornitore dei servizi può, a questo punto, avere la necessità di verificare attributi qualificati riferibili all’utente qualora questi fossero richiesti dalle policy di sicurezza che regolano l’accesso al servizio. a) individuati, per il tramite del registro SPID, i gestori di attributi qualificati in grado di certificare gli attributi necessari, inoltra agli stessi una richiesta di attestazione presentando i riferimenti dell’identit{ digitale per la quale si richiede la verifica; b) il risultato della richiesta è l’emissione, da parte del gestore di attributi qualificati, di una asserzione SAML il fornitore dei servizi, raccolte tutte le necessarie asserzioni SAML, verifica le policy di accesso al servizio richiesto e decide se accettare o rigettare la richiesta Interazioni necessarie all’autenticazione SPID attributi qualificati … 51

52. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta I fornitori di servizi, per verificare le policy di sicurezza relativi all’accesso ai servizi da essi erogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggetti richiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il set minimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto e mantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall’articolo 11 del decreto legislativo n. 196 del 2003. Art. 27, Modalità attuative SPID - Uso degli attributi SPID La privacy in SPID Principi e regole imposte dal Garante per la protezione dei dati personali Pareri all’AgiD del 23 aprile 2015 - 4 giugno 2015 - 17 dicembre 2015 PRINCIPIO DI PROPORZIONALITÀ (Art. 11, comma 1, lett. d), Codice Privacy) I dati personali oggetto di trattamento devono essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati PRINCIPIO DI NECESSITÀ (Art. 3 Codice Privacy) I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione dei dati personali e dei dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità. 52

53. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Minacce nel processo di registrazione Furto/usurpazione di identità Un richiedente dichiara una identità non corretta (ad es. usando un documento d'identità contraffatto) Ripudio/disconoscimento della registrazione Un cittadino/impresa nega la registrazione affermando che non ha mai richiesto la registrazione SICUREZZA Rischi associati alle identità digitali 53

54. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Divulgazione/ rivelazione Una chiave generata dal gestore delle identità digitali è copiata da un aggressore informatico. Emissione delle credenziali di persona, spedizione in buste sigillate con posta raccomandata, uso di una sessione protetta per la spedizione elettronica Manomissione Una nuova password generata dal sottoscrittore viene modificata da un aggressore informatico. Stesse strategie di mitigazione di sopra, uso di protocolli di comunicazione che proteggono la sessione dati. Emissione non autorizzata Rilascio delle credenziale ad una persona che afferma di essere il sottoscrittore (e in effetti non lo è) Procedura che assicura che la persona destinataria delle credenziali sia la stessa persona che ha partecipato nel processo di registrazione Minacce nel processo di registrazione / Strategie di mitigazione Rischi associati alle identità digitali 54

55. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Un token per la sicurezza (chiamato anche token hardware, token per l'autenticazione, token crittografico, o semplicemente token) è un dispositivo fisico (non sempre) necessario per effettuare un'autenticazione (tipicamente una autenticazione a due fattori). Un token può anche essere di tipo software, ove le informazioni necessarie risiedono direttamente nel computer dell'utente, e non in un oggetto esterno. (fonte wikipedia) Minacce associate ai token Rischi associati alle identità digitali 55

56. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Tipo token Esempi di minacce Something we have Può essere perso, danneggiato, rubato o clonato. Ad esempio un aggressore malevolo potrebbe prendere possesso del computer e copiare un token software. Analogamente un token hardware potrebbe essere rubato, manomesso o duplicato. Something we know L'aggressore potrebbe provare ad indovinare la password o il PIN o installare del software maligno (ad es. keyboard logger) per catturare la password, in alternativa possono essere adottate catture del traffico dalla rete o attraverso tecniche di social engineering Something we are Può essere replicato, ad esempio un aggressore potrebbe ottenere una copia delle impronte digitali e costruirne una replica assumendo che il sistema biometrico non utilizzi robuste, e consigliate, tecniche di rilevazione Minacce associate ai token Rischi associati alle identità digitali 56

57. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Minaccia/ Attacco token Descrizione Esempi Furto Un token fisico viene rubato Furto di un cellulare, dispositivo fisico ecc. Scoperta Le risposte a domande di suggerimento per riconoscere l'utente sono facilmente deducibili o ricavabili da diverse sorgenti disponibili. Ad es. la domanda "Quale liceo hai frequentato ?" è facilmente ottenibile dai siti web di tipo social. Duplicazione Il token è stato copiato senza, o con, l’assenso dell'utente. Password scritta su post-it o memorizzato su un file che viene successivamente copiato da un aggressore. Le minacce e gli attacchi più comuni in riferimento ai token 1/3 Rischi associati alle identità digitali 57

58. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Minaccia/ Attacco token Descrizione Esempi Intercettazione Il token viene rilevato nel momento dell'immissione. La password viene dedotta osservando l'immissione da tastiera, o con l'ausilio di keylogger software. Offline cracking Sono usate tecniche analitiche offline ed esterne ai meccanismi di autenticazione. Una chiave viene estratta utilizzando tecniche di analisi differenziale su token hardware rubati. Phishing o pharming L'utente viene ingannato e crede che l'aggressore sia il fornitore di servizi o di identità (sito civetta). DNS re-routing. Una password viene rivelata ad un sito civetta che simula l'originale. Le minacce e gli attacchi più comuni in riferimento ai token 2/3 Rischi associati alle identità digitali 58

59. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Minaccia/ Attacco token Descrizione Esempi Ingegneria sociale L'aggressore stabilisce un livello di sicurezza con l'utente in modo da convincerlo a rivelargli il contenuto del token. Una password viene rivelata durante una telefonata ad un aggressore che finge di essere l'amministratore di sistema. Provare a indovinare (online) L'aggressore si connette al sito del gestore di identità online e prova ad indovinare il token valido. Attacchi online basati su dizionari o password note. Le minacce e gli attacchi più comuni in riferimento ai token 3/3 Rischi associati alle identità digitali 59

60. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Strategie di mitigazione delle minacce ai token 1/2 Minaccia/Attacco token Tecnica di mitigazione della minaccia Furto Usare token multi-fattore che devono essere attivati attraverso un PIN o elementi biometrici. Scoperta Usare metodologie tali da rendere complessa la deduzione di una risposta Duplicazione Usare token difficilmente duplicabili come token crittografici hardware Intercettazione Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni. Rischi associati alle identità digitali 60

61. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Strategie di mitigazione delle minacce ai token 2/2 Minaccia/Attacco token Tecnica di mitigazione della minaccia Offline cracking e provare ad indovinare (online) Usare token con elevata entropia. Usare token che causino il blocco dopo un numero limitato di tentativi. Phishing o pharming Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni. Ingegneria sociale Usare tecniche di autenticazione dinamica tali che la conoscenza di una parola non fornisca alcuna informazione in successive autenticazioni Rischi associati alle identità digitali 61

62. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta 1. Nel caso in cui l'utente ritenga, […], che la propria identità digitale sia stata utilizzata abusivamente o fraudolentemente da un terzo, può chiedere, […], la sospensione immediata dell'identità digitale al gestore della stessa e, se conosciuto, al fornitore di servizi presso il quale essa risulta essere stata utilizzata. Salvo il caso in cui la richiesta sia inviata tramite posta elettronica certificata, o sottoscritta con firma digitale o firma elettronica qualificata, il gestore dell'identità digitale e il fornitore di servizi eventualmente contattato verificano, anche attraverso uno o più attributi secondari, la provenienza della richiesta di sospensione da parte del soggetto titolare dell'identità digitale e forniscono la conferma della ricezione della medesima richiesta. 2. […] il gestore dell'identità digitale sospende tempestivamente l'identità digitale per un periodo massimo di trenta giorni informandone il richiedente. Scaduto tale periodo, l'identità digitale è ripristinata o revocata ai sensi del comma 3. 3. Il gestore revoca l'identità digitale se, nei termini previsti dal comma 2, riceve dall'interessato copia della denuncia presentata all'autorità giudiziaria per gli stessi fatti su cui è basata la richiesta di sospensione. Art. 9, DPCM 24 ottobre 2014 Uso illecito delle identità digitali SPID 62

63. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 640-quinquies c.p. Frode informatica del soggetto che presta servizi di certificazione di firma elettronica Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro Art. 1, lett. q) CAD Firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica Gli illeciti penali legati alle identità digitali 63

64. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 640-ter c.p. Frode informatica Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. […] La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in danno di uno o più soggetti. Il delitto è punibile a querela della persona offesa salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un'altra circostanza aggravante. Gli illeciti penali legati alle identità digitali 64

65. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 615-ter c.p. Accesso abusivo ad un sistema informatico o telematico Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni. La pena è della reclusione da uno a cinque anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato; […] Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni […]. Gli illeciti penali legati alle identità digitali 65

66. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 494 c.p. Sostituzione di persona Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la fede pubblica con la reclusione fino a un anno. Art. 495 c.p. Falsa attestazione o dichiarazione a un pubblico ufficiale sulla identità o su qualità personali proprie o di altri Chiunque dichiara o attesta falsamente al pubblico ufficiale l’identit{, lo stato o altre qualità della propria o dell’altrui persona è punito con la reclusione da uno a sei anni. La reclusione non è inferiore a due anni: 1) se si tratta di dichiarazioni in atti dello stato civile; 2) se la falsa dichiarazione sulla propria identità, sul proprio stato o sulle proprie qualità personali è resa all’autorit{ giudiziaria da un imputato o da una persona sottoposta ad indagini […] Gli illeciti penali legati alle identità digitali 66

67. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Art. 495-bis c.p. Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri Chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione delle firme elettroniche l’identit{ o lo stato o altre qualità della propria o dell’altrui persona è punito con la reclusione fino ad un anno. Gli illeciti penali legati alle identità digitali Art. 483 c.p. Falsità ideologica commessa dal privato in atto pubblico Chiunque attesta falsamente al pubblico ufficiale, in un atto pubblico, fatti dei quali l’atto è destinato a provare la verità, è punito con la reclusione fino a due anni. Se si tratta di false attestazioni in atti dello stato civile, la reclusione non può essere inferiore a tre mesi. 67

68. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Grazie per l’attenzione Gianluca Satta European Lawyer Esperto in diritto dell’informatica e delle Nuove Tecnologie www.gianlucasatta.it gianluca@gianlucasatta.it www.diricto.it ict4forensics.diee.unica.it www.andig.it 68

69. SPID: le nuove frontiere delle identità digitali Relatore: Gianluca Satta Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0 o Tu sei libero: • di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o recitare l'opera; • di modificare quest’opera; • Alle seguenti condizioni:  Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l’opera.  Non commerciale. Non puoi usare quest’opera per fini commerciali.  Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa. o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di quest’opera. o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste condizioni. o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra. Licenza 69

Add a comment