Domande Frequenti (FAQ) su

(A cosa serve SPID, come è fatto e perchè,
spiegato alla mia famiglia)

A cosa serve questa guida/FAQ?

Nel 2013 fui eletto in parlamento e proposi il sistema che oggi è SPID.

Mia moglie ha pensato di farsi un account SPID per accedere al fascicolo sanitario e qualche altro servizio. Mi ha chiesto di spiegarle come funziona e il perché di certe cose che le sembravano complicazioni inutili (ad esempio perché usare un generatore di codici sul cellulare – “autenticazione a due fattori”).

Dopo che le ho spiegato tutto, rispondendo alle sue domande, ho provato a vedere online se c’era una simile guida/FAQ e non ho trovato nulla che rispondesse a tutto.

E allora, di getto, ho scritto queste FAQ che ho integrato anche con qualche domanda giuntami su twitter. (se avete altre domande, scrivetele pure nei commenti).
Spero vi sia utile!

Stefano Quintarelli (vai al blog)

10 thoughts on “SPID FAQ”

  1. Buongiorno e grazie per queste FAQ

    Segnalo un minuscolo errore di battitura:
    Una *orima* ragione riguarda la tenuta del sistema (nella risposta alla domanda “Perché ci sono tanti fornitori di servizi di autenticazione? Perché anche privati?”)

  2. Un risultato impressionante considerato che nasce da una geniale intuizione di un singolo, quasi casualmente “prestato” alla politica e con uno sforzo di volontà e collaborazione di individui dotati di mentalità aperta e sincero spirito di servizio. Ispirato poi a principi costituzionali spesso ignorati o trascurati. Grazie Quinta

  3. Una cortesia, non ho trovato una risposta chiara, forse negligenza mia nel cercare.
    Nel caso di persona invalida al 100% l’amministratore di sostegno nominato può e se sì come può richiedere uno SPID o una delega sul proprio SPID a operare per conto di quella persona?
    Grazie

    1. Stefano Quintarelli

      non ho idea come si faccia, ma è un caso che va affrontato e risolto, se non è stato fatto.
      la strada giusta per questo tipo di quesiti e’ mandare una PEC all’AgiD all’attenzione del Comitato di Indirizzo

  4. Sull’origine dei principi e delle soluzioni tecniche su cui si basa SPID, avendo tu citato il prof. Osnaghi e Massimiliano Pianciamore, bisogna dare atto e ricordare che nel 2001 venne varato il progetto PEOPLE che per primo conteneva l’idea di un sistema di identità “federato” e nel 2005 venne scritta da Pianciamore e Osnaghi la specifica del sistema SIRAC (Servizi Infrastrutturali di Registrazione Autenticazione e Comunicazione) basato su SAML 1.1.
    In Regione Lombardia ne facemmo riuso e creammo il sistema IdPC, sistema di gestione delle identità “federato” per le CNS, che andò live ad aprile 2006.
    A seguire le regioni fecero il progetto “inter-regionale” ICAR in cui il layer INF3 era un IdP basato su SAML 1.1 da cui poi nacquero diversi sistemi quali Federa di Regione Emilia Romagna ed altri.
    Nel 2012 all’interno delle regioni italiane c’era una esperienza ormai di molti anni sulla gestione di sistemi per l’identità “federata” basata su SAML.
    L’idea di “accreditare” soggetti privati a cui delegare il ruolo di IdP è la vera novità dell’ìmpianto di SPID, ma dal punto di vista tecnico era quasi tutto già stato fatto.
    Un abbraccio
    Daniele Crespi

    1. Stefano Quintarelli

      non solo.
      andai a cercare Sandro proprio per questo.
      ci sono alcune differenze nei dettagli (non tecnologici) di cui discutemmo.
      imparare dal passato e da chi ne sa più di te è sempre cosa buona…
      🙂

  5. L’unico aspetto che è restato fallimentare dell’architettura SPID è quello dei gestori di attributi qualificati, non è casuale che l’accesso alla pagina di indice
    https://registry.spid.gov.it/api/attribute-authorities generi un bell’errore. La mancanza di gestori di attributi qualificati la dice lunga sulla capacità di erogare servizi delle pubbliche amministrazioni. Certificare un attributo richiede non solo capacità tecnologiche (che si possono anche comperare all’esterno) ma anche un rigoroso controllo dei processi di produzione del dato (e qui casca l’asino).
    Alla tua breve lista di possibili gestori aggiungo un’auspicabile estensione:
    * Le Camere di commercio potrebbero certificare il ruolo di un soggetto in una azienda
    * Le PA potrebbero certificare i ruoli negli organi di governo e nell’organigramma

    1. Stefano Quintarelli

      questo è un problema di uovo e gallina al cubo…
      non puoi dire che sia fallimentare l’architettura semplicemente perche’ non ci sono ancora. (e quindi le -scarsissime- risorse e l’attenzione sono concentrate su altro, soprattutto in tempi straordinari come gli anni di covid e di predisposizione al pnrr)
      sarebbe come dire che e’ fallimentare aver previsto le finestre perche’ non ci sono i serramenti.
      arriveranno…
      certamente il nocciolo della qualità del dato non mi sfugge. ma l’alternativa è non fare.
      rendere il dato disponibile all’utente (secondo me importante il wallet – secondo framework – SSI in mano all’utente, collegato all’IdP) consente di mitigare gli effetti della bassa qualità dei dati, nel contempo non alterando equilibri di potere (che sono più ostici da modificare ch enon la bonifica dei dati, che comunque nel tempo andra’ fatta; sara’ un processo lungo che convergerà verso la correttezza – sapendo che non sarà mai 100%)
      i due esempi che citi sono attribute provision, per l’appunto.

Leave a Reply

Your email address will not be published. Required fields are marked *