SPID: le nuove frontiere delle identità digitali

SPID: le nuove frontiere delle identità digitali
Relatore: Gianluca Satta
SPID: le nuove frontiere
delle identità digitali
Gianluca Satta
1

Cosa è l’identità digitale?
A cosa serve un’identità digitale?
Esiste un diritto all’identità digitale?
L’identit{ digitale
2

“The essential and unique characteristics of
an entity are what identify it.”
H. Abelson e L. Lessig, Massachusetts Institute ofTechnology
“A Digital Identity is a virtual representation of a real identity
that can be used in electronic interactions with other
machines or people.”
E. Norlin e A. Durand, “Federated Identity Management”,
Whitepaper on towards federated identity management
Non è facile dare una definizione esaustiva
Cosa è l’identit{ digitale?
3

“The value of Digital Identity is that it allows us to transpose the ease and
security human interactions once had when we knew each other or did
business face-to-face, to a machine environment where we are often
meeting one another (virtually) for the first time in transactions which
might span vast distances.”
E. Norlin e A. Durand, “Federated Identity Management”,
Whitepaper on towards federated identity management
Identità fisica vs Identità digitale
A cosa serve un’identit{ digitale?
Il valore dell’Identit{ Digitale come strumento per trasporre (comodità e
sicurezza) tipiche delle interazioni umane, in un ambiente di macchine dove
spesso ci si incontra virtualmente per la prima volta, nell’ambito di transazioni tra
soggetti fisicamente molto distanti
4

REAL LIFE
Interazioni umane:
- Agevoli
- Sicure
- Faccia a faccia
VIRTUAL LIFE
Interazioni tra
macchine:
- Distanza
- Incertezza
- Insicure
Identità fisica
vs
Identità digitale
5

Unica
Univoca
Identità
fisica Distribuite
(le informazioni sono
dislocate in diversi
punti della rete)
Possono essere
associate più ID
a ciascuna
persona fisica
Identità
digitale
Identità fisica vs Identità digitale
6

(1) Instaurare la fiducia negli ambienti online è fondamentale per lo
sviluppo economico e sociale. La mancanza di fiducia, dovuta in
particolare a una percepita assenza di certezza giuridica, scoraggia i
consumatori, le imprese e le autorità pubbliche dall’effettuare transazioni
per via elettronica e dall’adottare nuovi servizi.
La fiducia nelle transazioni elettroniche
(2) Il presente regolamento mira a rafforzare la fiducia nelle transazioni
elettroniche nel mercato interno fornendo una base comune per
interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche,
in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati,
nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.
REGOLAMENTO (UE) N. 910/2014 – eIDAS (electronic IDentification
Authentication and Signature)
considerando
7

All’interno dell’ordinamento giuridico sono tutelati gli elementi principali di
individuazione della persona, quali il nome e l’immagine.
L’identificazione della persona, infatti, presuppone sempre la sua individuazione.
IL NOME trova disciplina e tutela negli articoli 6 - 9 del codice civile, nonché all’art.
22 della Costituzione. Se il codice civile all’art. 6 in positivo dispone che ogni persona
ha diritto al nome, la Costituzione repubblicana all’art. 22 assicura in negativo che
“nessuno può essere privato, per motivi politici, del nome”.
L'IMMAGINE è invece un mezzo identificativo innato, essa descrive l'insieme delle
sue fattezze in misura e maniera tale da poterla riconoscere. Ciò che circola è la sua
riproduzione e, pertanto, ad essa è assicurata la tutela del legislatore all'art. 10 c.c.
Esistono varie forme di tutela dell’identità personale. Dottrina e giurisprudenza
sono arrivate ad affermare l’esistenza di un vero e proprio diritto all’identità
personale, che trova fondamento nell’art. 2 Cost.
Esiste un diritto all’identit{ digitale?
8

Art. 2, Codice Privacy (D. Lgs. 196/2003)
“Il presente testo unico, di seguito denominato "codice", garantisce che
il trattamento dei dati personali si svolga nel rispetto dei diritti e delle
libertà fondamentali, nonché della dignità dell'interessato, con
particolare riferimento alla riservatezza, all'identità personale e al
diritto alla protezione dei dati personali”
E l’identità digitale?......
9

L’identità digitale è strettamente congiunta a quella personale, la prima
descrive e rappresenta la seconda.
È necessario assicurare all’identità digitale le medesime tutele e
garanzie riconosciute dall’ordinamento per l’identità personale
L’identit{ digitale deve essere oggetto di tutela all’interno
dell’ordinamento, in quanto strettamente connessa all’identit{ reale
della persona
L’identit{ digitale può avere legami più o meno diretti con l’identit{
reale: dall’anonimato alla totale associazione
10

Attraverso regole che
tutelano:
Identità personale in rete
Tecniche di identificazione
del soggetto a mezzo di
strumenti informatici
Come tutelare l’identit{ digitale
11

Dichiarazione dei diritti in Internet
Commissione per i diritti e i doveri relativi ad Internet - 14 luglio 2015
Art. 1 - Riconoscimento e garanzia dei diritti
1. Sono garantiti in Internet i diritti fondamentali di ogni persona riconosciuti dalla
Dichiarazione universale dei diritti umani delle Nazioni Unite, dalla Carta dei diritti
fondamentali dell’Unione Europea, dalle costituzioni nazionali e dalle dichiarazioni
internazionali in materia.
2. Tali diritti devono essere interpretati in modo da assicurarne l’effettivit{ nella
dimensione della Rete.
3. Il riconoscimento dei diritti in Internet deve essere fondato sul pieno rispetto della
dignità, della libertà, dell’eguaglianza e della diversità di ogni persona, che costituiscono i
principi in base ai quali si effettua il bilanciamento con altri diritti.
12

Art. 9 - Diritto all’identità
1. Ogni persona ha diritto alla rappresentazione integrale e aggiornata delle proprie
identità in Rete.
2. La definizione dell’identit{ riguarda la libera costruzione della personalità e non può
essere sottratta all’intervento e alla conoscenza dell’interessato.
3. L’uso di algoritmi e di tecniche probabilistiche deve essere portato a conoscenza delle
persone interessate, che in ogni caso possono opporsi alla costruzione e alla diffusione
di profili che le riguardano.
4. Ogni persona ha diritto di fornire solo i dati strettamente necessari per
l’adempimento di obblighi previsti dalla legge, per la fornitura di beni e servizi, per
l’accesso alle piattaforme che operano in Internet.
5. L’attribuzione e la gestione dell'Identità digitale da parte delle Istituzioni
Pubbliche devono essere accompagnate da adeguate garanzie, in particolare in
termini di sicurezza.
13

Facciamo chiarezza
È il processo con il quale vengono associate delle credenziali ad un soggetto,
per consentire l’accesso a un sistema informativo, generalmente in rete, dopo
la verifica in automatico da parte di un programma dedicato delle credenziali
che si intende accreditare sul sistema.
Risponde alla domanda “Chi sei tu?”
La funzione dell’identificazione è quella di rendere conoscibile un entità
all’interno di una moltitudine di entità sconosciute.
La digitazione del nome utente (username) equivale all’asserzione: “sono la
persona a cui appartiene questo username”
Identificazione: la determinazione che un individuo sia conosciuto o meno dal
sistema
Autenticazione vs Identificazione
14

Autenticazione: il processo attraverso il quale viene verificata l'identità di un
utente che vuole accedere ad un computer o ad una una rete. E’ il sistema che
verifica, effettivamente, che un individuo è chi sostiene di essere.
Una volta stabilità l’identit{ di una persona, il sistema deve essere sicuro che
l’utente sia quello che dice di essere. Per questo motivo, il sistema chiede “Come
puoi dimostrare la tua identità?”
Con l’inserimento della password corretta, l’utente fornisce la prova che è la
persona a cui appartiene quell’username.
Vi sono tre tipi di informazioni che possono essere utilizzate per l’authentication:
Something you know: PIN, password, o altra parola chiave.
Something you have: token fisico, un generatore di OTP, una smartcard
Something you are: una biometria (volto, impronte digitali, geometria della mano,
venature della mano, l’iride, la retina, la firma, la voce, l’orecchio, il DNA)
Facciamo chiarezza
15

Autorizzazione: il conferimento all’utente del diritto ad accedere a
specifiche risorse del sistema, sulla base della sua identità.
Una volta che il sistema ha identificato e autenticato l’utente, ora si tratta di
stabilire “cosa puoi fare?”, “a quali risorse, a quali dati puoi accedere?”
Il tutto viene garantito con un controllo agli accessi, in base alle
autorizzazioni precedentemente date al profilo dell’utente. Il sistema è
pertanto in grado di stabilire quali operazioni consentire e quali vietare
all’utente.
Facciamo chiarezza
16

«identificazione elettronica», il processo per cui si fa uso di dati di identificazione
personale in forma elettronica che rappresentano un’unica persona fisica o giuridica, o
un’unica persona fisica che rappresenta una persona giuridica;
«dati di identificazione personale», un insieme di dati che consente di stabilire l’identit{
di una persona fisica o giuridica, o di una persona fisica che rappresenta una persona
giuridica
Art. 1 – Regolamento eIDAS
«autenticazione», un processo elettronico che consente di confermare l’identificazione
elettronica di una persona fisica o giuridica, oppure l’origine e l’integrit{ di dati in forma
elettronica
Regolamento eIDAS (electronic IDentification Authentication and Signature)
REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 23 luglio
2014 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel
mercato interno e che abroga la direttiva 1999/93/CE
17

Art. 64 Codice dell’Amministrazione Digitale:
CNS (Carta nazionale dei Servizi)
I principali strumenti di identificazione informatica
CIE (Carta di identità elettronica)
18

SPID: stato di avanzamento
19

CAD, art. 64, comma 2-sexies del D.lgs. 7 marzo
2005, n. 82 (Codice dell'Amministrazione Digitale)
DPCM 24 ottobre 2014
Determinazione n. 44/2015, sono stati emanati i
quattro regolamenti previsti dall’articolo 4, commi 2, 3
e 4, del DPCM 24 ottobre 2014
SPID: presupposti normativi
20

DECRETO-LEGGE 21 giugno 2013, n. 69 “Disposizioni urgenti per il rilancio dell'economia”,
convertito con modificazioni dalla L. 9 agosto 2013, n. 98 (in S.O. n. 63, relativo alla G.U.
20/08/2013, n. 194).
Art. 17-ter, comma 1 e 2: disposta la modifica dell'art. 64, comma 2, con l'introduzione dei
commi 2-bis, 2-ter, 2-quater, 2-quinquies, 2-sexies.
Art. 64 CAD, comma 2-bis, 2-ter
È l’insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte
dell'Agenzia per l'Italia digitale, gestiscono i servizi di registrazione e di messa a
disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e
imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete,
ovvero, direttamente, su richiesta degli interessati.
SPID: introduzione
Che cos’è il sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID).
Obiettivo: favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte
di cittadini e imprese, anche in mobilità
21

SPID e P.A. (art. 64, comma 2-quater)
Il sistema SPID è adottato dalle pubbliche amministrazioni nei tempi e secondo
le modalità definiti con il decreto di cui al comma 2-sexies. 2-quinquies.
SPID e Soggetti privati (art. 64, comma 2-quinquies)
Ai fini dell'erogazione dei propri servizi in rete, è altresì riconosciuta alle imprese,
secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di
avvalersi del sistema SPID per la gestione dell'identità digitale dei propri utenti.
L'adesione al sistema SPID per la verifica dell'accesso ai propri servizi erogati
in rete per i quali è richiesto il riconoscimento dell'utente esonera l'impresa
da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi
dell'articolo 17 del decreto legislativo 9 aprile 2003, n. 70.
Art. 64 CAD
SPID: introduzione
22

Art. 17 - Assenza dell'obbligo generale di sorveglianza
Nella prestazione dei servizi di cui agli articoli 14, 15 e 16, (mere conduit, caching e
hosting) il prestatore (ovvero la persona fisica o giuridica che presta un servizio della
società dell'informazione) non è assoggettato ad un obbligo generale di sorveglianza
sulle informazioni che trasmette o memorizza, né ad un obbligo generale di ricercare
attivamente fatti o circostanze che indichino la presenza di attività illecite.
D. Lgs. 9 aprile 2003, n. 70 (Attuazione della direttiva 2000/31/CE relativa
a taluni aspetti giuridici dei servizi della società dell'informazione nel
mercato interno, con particolare riferimento al commercio elettronico)
Ad impossibilia nemo tenetur
Cosa significa l’esenzione dall’obbligo di sorveglianza?
Sorveglianza sull’attività nel proprio sito, non in rete!
SPID: introduzione
23

b) a fornire senza indugio, a richiesta delle autorità competenti, le informazioni in suo
possesso che consentano l'identificazione del destinatario dei suoi servizi con cui ha
accordi di memorizzazione dei dati, al fine di individuare e prevenire attività illecite.
Il sito web che adotta SPID non è a conoscenza dell’identità dei propri utenti o può
non esserlo poiché la gestione delle identità è esterna. L’esenzione riguarda
l’obbligo di riferire, alle autorità, informazioni ed identità che non possiede e che
non devono più essere richieste al sito ma, eventualmente, all'identity provider.
Ad impossibilia nemo tenetur
Cosa significa l’esenzione dall’obbligo di sorveglianza?
Fatte salve le disposizioni di cui agli articoli 14, 15 e 16, il prestatore è comunque tenuto:
a) ad informare senza indugio l'autorità giudiziaria o quella amministrativa avente
funzioni di vigilanza, qualora sia a conoscenza di presunte attività o informazioni illecite
riguardanti un suo destinatario del servizio della società dell'informazione;
Art. 17 - Assenza dell'obbligo generale di sorveglianza
SPID: introduzione
24

I soggetti SPID
Art. 3, DPCM 24 ottobre 2014
Utente, che potrà disporre di uno o più identità digitali, che contengono
alcune informazioni identificative obbligatorie, come il codice fiscale, il
nome, il cognome, il luogo di nascita, la data di nascita e il sesso;
Gestore dell’identità digitale. Dovrà essere accreditato dall’Agenzia per
l’Italia Digitale e ha il ruolo di creare e gestire le identità digitali;
Gestore di attributi qualificati: in base alle norme vigenti, può certificare
attributi qualificati, come il possesso di un titolo di studio, l’appartenenza ad
un ordine professionale
Fornitore di Servizi – soggetto pubblico o privato – che eroga servizi on-
line, previo riconoscimento dell’utente da parte del gestore dell’identit{
digitale.
Agenzia per l’Italia Digitale (AGID)
25

L'Agenzia cura l'attivazione dello SPID, svolgendo, in particolare, le seguenti
attività:
a) gestisce l'accreditamento dei gestori dell'identità digitale e dei gestori
di attributi qualificati, stipulando con essi apposite convenzioni.
b) cura l'aggiornamento del registro SPID e vigila sull'operato dei soggetti
che partecipano allo SPID, anche con possibilità di conoscere, tramite il
gestore dell'identità digitale, i dati identificativi dell'utente e verificare le
modalità con cui le identità digitali sono state rilasciate e utilizzate;
c) stipula apposite convenzioni con i soggetti che attestano la validità
degli attributi identificativi e consentono la verifica dei documenti di
identità.
Art. 4 DPCM 24 ottobre 2014
Il ruolo dell’AgID all’interno di SPID
26

Le identità digitali sono rilasciate dal gestore dell’identit{ digitale, su richiesta di un
soggetto interessato. Il modulo di richiesta di adesione contiene alcune informazioni
obbligatorie
Rilascio delle identità digitali
ATTRIBUTI SECONDARI
Art. 1, comma 1 ,lett. d) DPCM
funzionali alle comunicazioni
il numero di telefonia fissa o
mobile, l'indirizzo di posta
elettronica, il domicilio
fisico e digitale, eventuali
altri attributi individuati
dall'Agenzia
PERSONE FISICHE
Cognome e Nome; sesso,
data e luogo di nascita;
codice fiscale; estremi di
un valido documento di
identità
PERSONE GIURIDICHE
Denominazione/ragione sociale;
codice fiscale o P. IVA (se uguale
al codice fiscale); sede legale;
visura camerale attestante lo
stato di rappresentante legale
del soggetto richiedente
l’identit{ per conto della società
(in alternativa atto notarile di
procura legale); estremi del
documento di identità utilizzato
dal rappresentante legale
ATTRIBUTI
IDENTIFICATIVI DELLE
IDENTITA’ DIGITALI
27

Inoltre, per quanto riguarda l’indirizzo di posta elettronica, i
gestori dovranno accertarsi, oltre che lo stesso sia un
indirizzo corrispondente a una reale casella di posta, che sia
unico in ambito SPID, ovvero che esso non sia stato
precedentemente indicato dallo stesso soggetto per
l’acquisizione di una identità digitale SPID presso lo stesso o
un altro gestore dell’identit{ digitale.
Attributi secondari
Obbligo di fornire almeno un indirizzo di posta elettronica e
un recapito di telefonia mobile, entrambi verificati dal gestore
di identità digitale nel corso del processo di identificazione,
inviando un messaggio di posta all’indirizzo dichiarato,
contenente una URL per la verifica e un SMS al numero di
cellulare con un codice numerico di controllo che deve essere
riportato in risposta.
28

Il gestore dell’identit{ digitale, per una corretta e sicura attuazione del processo:
Attivit{ essenziale nel rilascio dell’identit{ digitale
d) acquisisce i dati necessari alla dimostrazione
di identità.
a) fornisce l’informativa sul trattamento dei
dati (articolo 13 del D.lgs. 196 del 2003)
b) si assicura che il richiedente sia consapevole
dei termini e delle condizioni associati
all'utilizzo del servizio di identità digitale;
c) si assicura che il richiedente sia consapevole
delle raccomandazioni e delle precauzioni da
adottare per l'uso delle identità digitale;
29

A vista
Identificazione del soggetto richiedente che sottoscrive il
modulo di adesione allo SPID, tramite esibizione a vista di un
valido documento d'identità e, nel caso di persone giuridiche,
della procura attestante i poteri di rappresentanza
Identificazione informatica
Con documenti digitali che prevedono il riconoscimento a vista
del richiedente all'atto dell'attivazione, fra cui la TS‐CNS, CNS o
carte ad essa conformi
Con altre identità SPID
Art. 7 DPCM -Verifica dell'identità del soggetto richiedente e
consegna in modalità sicura delle credenziali di accesso
Come avviene il rilascio dell’identit{ digitale
30

Art. 7 DPCM -Verifica dell'identità del soggetto richiedente e
consegna in modalità sicura delle credenziali di accesso
Richiesta firmata digitalmente
acquisizione del modulo di adesione allo SPID sottoscritto con
firma elettronica qualificata o con firma digitale
identificazione informatica fornita da sistemi informatici preesistenti
all'introduzione dello SPID che risultino aver adottato, a seguito di
apposita istruttoria dell'Agenzia, regole di identificazione
informatica caratterizzate da livelli di sicurezza uguali o superiori a
quelli definiti nel presente decreto.
Sistemi informatici preesistenti
31

I gestori dell'identità digitale, ricevuta la richiesta di adesione, effettuano la verifica degli
attributi identificativi del richiedente utilizzando prioritariamente i servizi convenzionali
[convenzioni con i soggetti che attestano la validità degli attributi identificativi e consentono la
verifica dei documenti di identità]
Se non è possibile tale verifica, i gestori dell'identità digitale effettuano tali verifiche sulla
base di documenti, dati o informazioni ottenibili da archivi delle amministrazioni
certificanti, ai sensi dell'art. 43, comma 2, del decreto del Presidente della Repubblica
28 dicembre 2000, n. 445, secondo i criteri e le modalità stabilite dall'Agenzia con i
regolamenti di cui all'art. 4, fatto salvo il caso di cui al comma 2, lettera e).
L’art. 43 DPR 445/2000 prevede la consultazione diretta da parte di una
pubblica amministrazione o di un gestore di pubblico servizio, degli archivi
dell'amministrazione certificante, finalizzata all'accertamento d'ufficio di
stati, qualità e fatti ovvero al controllo sulle dichiarazioni sostitutive
presentate dai cittadini.
32

I PASSAGGI PRINCIPALI
a) richiesta di accreditamento
b) accoglimento della richiesta da parte dell’AgID
c) stipula apposita convenzione
d) iscrizione del richiedente nel registro SPID, consultabile in via telematica.
Accreditamento dei gestori dell'identità digitale
33

a) avere forma giuridica di società di capitali e un capitale sociale non inferiore a cinque milioni
di euro;
b) garantire il possesso dei requisiti di onorabilità richiesti ai soggetti che svolgono funzioni di
amministrazione, direzione e controllo presso banche, da parte dei rappresentanti legali, dei
soggetti preposti all'amministrazione e dei componenti degli organi preposti al controllo;
c) dimostrare la capacità organizzativa e tecnica necessaria per svolgere l'attività di gestione
dell'identità digitale;
d) utilizzare personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze
necessarie per i servizi da fornire. Il gestore provvede al periodico aggiornamento professionale
del personale;
e) comunicare all'Agenzia i nominativi e il profilo professionale dei soggetti responsabili delle
specifiche
f) essere in possesso della certificazione di conformità del proprio sistema di gestione per la
sicurezza delle informazioni ad essi relative, alla norma ISO/IEC 27001, rilasciata da un terzo
indipendente a tal fine autorizzato secondo le norme vigenti in materia;
Art. 10, DPCM 24 ottobre 2014 - Requisiti per l’accreditamento:
34

g) trattare i dati personali nel rispetto del decreto legislativo 30 giugno 2003, n. 196;
h) essere in possesso della certificazione di qualità ISO 9001, successive modifiche o norme
equivalenti.
Se, all'esito dei
controlli, accerta la
mancanza dei requisiti
richiesti per l'iscrizione
nel registro SPID
Termine per consentire
ripristino dei requisiti
adottare le azioni
previste dall'art. 12:
sospensione o revoca
dell’accreditamento
AgID procede a controlli per accertare
la permanenza della sussistenza dei
requisiti previsti dal DPCM 24.10.2014
D’ufficio
Su segnalazione motivata
di soggetti pubblici o privati
35

• utilizzano sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti,
in conformità a criteri di sicurezza riconosciuti in ambito europeo o internazionale;
• adottano adeguate misure contro la contraffazione, idonee anche a garantire la riservatezza,
l'integrità e la sicurezza nella generazione delle credenziali di accesso;
• effettuano un monitoraggio continuo al fine rilevare usi impropri o tentativi di violazione delle
credenziali di accesso dell'identità digitale di ciascun utente, procedendo alla sospensione
dell'identità digitale in caso di attività sospetta;
• effettuano, con cadenza almeno annuale, un'analisi dei rischi;
• definiscono il piano per la sicurezza dei servizi SPID, da trasmettere all'Agenzia, e ne garantiscono
l'aggiornamento;
DEFINIZIONI DPCM
l) gestori dell'identità digitale: le persone giuridiche accreditate allo SPID che, in qualità di gestori
di servizio pubblico, previa identificazione certa dell'utente, assegnano, rendono disponibili e
gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essi
inoltre, forniscono i servizi necessari a gestire l'attribuzione dell'identità digitale degli utenti, la
distribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite
e l'autenticazione informatica degli utenti;
Obblighi dei gestori dell'identità digitale
36

• allineano le procedure di sicurezza agli standard internazionali, la cui conformità è
certificata da un terzo abilitato;
• conducono, con cadenza almeno semestrale, il «Penetration Test»;
• garantiscono la continuità operativa dei servizi afferenti allo SPID;
• effettuano ininterrottamente l'attività di monitoraggio della sicurezza dei sistemi,
garantendo la gestione degli incidenti da parte di un'apposita struttura interna;
• garantiscono la gestione sicura delle componenti riservate delle identità digitali
degli utenti,
• si sottopongono, con cadenza almeno biennale, ad una verifica di conformità alle
disposizioni vigenti da parte di un organismo di valutazione
• informano tempestivamente l'Agenzia e il Garante per la protezione dei dati
personali su eventuali violazioni di dati personali
• adeguano i propri sistemi a seguito degli aggiornamenti emanati dall'Agenzia;
• inviano all'Agenzia, in forma aggregata, i dati da questa richiesti a fini statistici, che
potranno essere resi pubblici.
Obblighi dei gestori dell'identità digitale
37

DEFINIZIONI DPCM
i) fornitore di servizi: il fornitore dei servizi della società dell'informazione definiti dall'art. 2, comma
1, lettera a), del decreto legislativo 9 aprile 2003, n. 70, o dei servizi di un'amministrazione o di un
ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete. I fornitori di servizi
inoltrano le richieste di identificazione informatica dell'utente ai gestori dell'identità digitale e ne
ricevono l'esito. I fornitori di servizi, nell'accettare l'identità digitale, non discriminano gli utenti in
base al gestore dell'identità digitale che l'ha fornita;
Art. 2, comma 1, lettera a), del decreto legislativo 9 aprile 2003, n. 70
"servizi della società dell'informazione": le attività economiche svolte in linea - on line -, nonché
i servizi definiti dall'articolo 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317, e
successive modificazioni;
PrivatiPubbliche amministrazioni
Fornitori di servizi
38

Art. 1, comma 1, lettera b), della legge 21 giugno 1986, n. 317
“servizio”: qualsiasi servizio della società dell'informazione, vale a dire qualsiasi
servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e
a richiesta individuale di un destinatario di servizi. Ai fini della presente definizione si
intende: per "servizio a distanza un servizio fornito senza la presenza simultanea
delle parti; per "servizio per via elettronica un servizio inviato all'origine e ricevuto a
destinazione mediante attrezzature elettroniche di trattamento, compresa la
compressione digitale e di memorizzazione di dati e che e' interamente trasmesso,
inoltrato e ricevuto mediante fili, radio, mezzi ottici od altri mezzi elettromagnetici;
per "servizio a richiesta individuale di un destinatario di servizi un servizio fornito
mediante trasmissione di dati su richiesta individuale;
39

Obblighi
• I fornitori di servizi conservano per ventiquattro mesi le informazioni necessarie a
imputare, alle singole identità digitali, le operazioni effettuate sui propri sistemi
tramite SPID.
• Nel caso in cui i fornitori di servizi rilevino un uso anomalo di un'identità digitale,
informano immediatamente l'Agenzia e il gestore dell'identità digitale che l'ha
rilasciata.
• I fornitori di servizi trattano i dati personali nel rispetto del decreto legislativo 30
giugno 2003, n. 196. Nell'ambito dell'informativa di cui all'art. 13 del decreto
legislativo n. 196 del 2003, i fornitori di servizi informano l'utente che l'identità
digitale e gli eventuali attributi qualificati saranno verificati, rispettivamente,
presso i gestori dell'identità digitale e i gestori degli attributi qualificati.
Per aderire allo SPID devono stipulare apposita convenzione con l'Agenzia
40

1. Nel rispetto dell'art. 64, comma 2, del CAD, le
pubbliche amministrazioni che erogano in rete servizi
qualificati, direttamente o tramite altro fornitore di
servizi, consentono l'identificazione informatica degli
utenti attraverso l'uso dello SPID.
Adesione allo SPID da parte delle pubbliche amministrazioni in qualità di fornitori di servizi
servizio per la cui erogazione
è necessaria l'identificazione
informatica dell'utente;
Fornitori di servizi: adesione SPID-PA
2. Ai fini del comma 1, le pubbliche amministrazioni di
cui all'art. 2, comma 2, del CAD aderiscono allo SPID,
secondo le modalità stabilite dall'Agenzia ai sensi
dell'art. 4, entro i ventiquattro mesi successivi
all'accreditamento del primo gestore dell'identità
digitale.
Obbligo per la P.A.
41

Adesione allo SPID da parte di soggetti privati fornitori di servizi
DIVIETO
1. Non possono aderire allo SPID i soggetti privati fornitori di
servizi il cui rappresentante legale, soggetto preposto
all'amministrazione o componente di organo preposto al
controllo risulta condannato con sentenza passata in giudicato
per reati commessi a mezzo di sistemi informatici.
OBBLIGO
2. Ai sensi dell'art. 64, comma 2‐quinquies, del CAD, i soggetti
privati che aderiscono allo SPID per la verifica dell'accesso ai
servizi erogati in rete, nel rispetto del presente decreto e dei
regolamenti attuativi adottati dall'Agenzia ai sensi dell'art. 4,
soddisfano gli obblighi di cui all'art. 17, comma 2, del decreto
legislativo 9 aprile 2003, n. 70 con la comunicazione del codice
identificativo dell'identità digitale utilizzata dall'utente.
Fornitori di servizi: adesione SPID-PA
42

Su richiesta degli interessati, sono accreditati di diritto i seguenti gestori di attributi qualificati (non
necessitano di formalizzare l’accreditamento)
a) il Ministero dello sviluppo economico in relazione ai dati contenuti nell'indice nazionale degli indirizzi
PEC delle imprese e dei professionisti (INI-PEC)
b) i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all'attestazione
dell'iscrizione agli albi professionali;
c) le camere di commercio, industria, artigianato e agricoltura per l'attestazione delle cariche e degli
incarichi societari iscritti nel registro delle imprese;
d) l'Agenzia in relazione ai dati contenuti nell'indice degli indirizzi della pubblica amministrazione e dei
gestori di pubblici servizi (IPA) di cui all'art. 57‐bis del CAD.
Art. 16, DPCM 24 ottobre 2014 - Accreditamento dei gestori di attributi qualificati
Definizione DPCM
e) attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e
qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati;
m) gestori di attributi qualificati: i soggetti accreditati ai sensi dell'art. 16 che hanno il potere
di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi;
Gestori di attributi qualificati SPID
43

Il sistema SPID è basato su tre livelli di sicurezza di autenticazione informatica
Art. 6, DPCM 24 ottobre 2014 - Livelli di sicurezza delle identità digitali
I livelli di sicurezza SPID
Processo diretto alla verifica dell’identit{
digitale associata a un soggetto ai fini
della erogazione di un servizio fornito in
rete. A tale verifica di identità è associato
un livello di sicurezza o di garanzia (level
of assurance - LoA) progressivamente
crescente in termini di sicurezza.
Processo di autenticazione informatica
Il risultato dell’intero procedimento che
sottende all’attivit{ di autenticazione.
Tale processo va dalla preliminare
associazione tra un soggetto e
un’identit{ digitale che lo rappresenta in
rete fino ai meccanismi che realizzano il
protocollo di autenticazione al momento
della richiesta di un servizio in rete.
Livello di sicurezza
44

I livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115.
Garantisce con un buon grado
di affidabilità l'identità
accertata nel corso dell’attivit{
di autenticazione.
Rischio associato: moderato
Sistema di autenticazione: a
singolo fattore (la password)
Applicabilità: nei casi in cui il
danno causato, da un utilizzo
indebito dell’identit{ digitale,
ha un basso impatto per le
attività dell’utente
Livello 1
(LoA2 dell’ISO-
IEC 29115) Garantisce con un alto grado
di affidabilità l'identità
accertata nel corso dell’attivit{
di autenticazione.
Rischio associato: ragguardevole
Sistema di autenticazione: a due
fattori non necessariamente
basato su certificati digitali
Applicabilità: tutti i servizi per i
quali un indebito utilizzo dell’
identità digitale può provocare
un danno consistente
Livello 2
(LoA3 dell’ISO-
IEC 29115)
45

Garantisce con un altissimo grado di affidabilità l'identità
accertata nel corso dell’attivit{ di autenticazione
Rischio associato: altissimo
Sistema di autenticazione: a due fattori basato su certificati
digitali e criteri di custodia delle chiavi private su dispositivi
che soddisfano i requisiti dell’Allegato 3 della Direttiva
1999/93/CE
Applicabilità: a tutti i servizi che possono subire un serio e
grave danno per cause imputabili ad abusi di identità;
questo livello è adeguato per tutti i servizi per i quali un
indebito utilizzo dell’ identità digitale può provocare un
danno serio e grave
Livello 3
(LoA4 dell’ISO-
IEC 29115)
I livelli di sicurezza SPID corrispondono ai livelli specificati nella ISO-IEC 29115.
46

Avviso AgID n. 4 – Indicazioni sul livello di sicurezza da adottare per alcuni servizi più diffusi
47

48

49

Il titolare dell’identit{ digitale
richiede l’accesso ad un
servizio collegandosi
telematicamente al portale
del fornitore di servizi
Il fornitore dei servizi, per poter procedere,
deve individuare il gestore dell‘Identit{ digitale
in grado di autenticare il soggetto richiedente.
Per far ciò il gestore dell‘Identit{ digitale
chiede indicazioni allo stesso utente, ad
esempio, facendo scegliere il proprio gestore
dell’identit{ digitale da un elenco riportante
tutti i gestori di identità aderenti a SPID
Il fornitore dei servizi indirizza il soggetto
titolare dell’identit{ digitale presso il gestore
dell’identit{ digitale, individuato al passaggio
precedente, richiedendo l’autenticazione con
il livello SPID associato al servizio richiesto e
l’eventuale attestazione di attributi necessari
per l’autorizzazione all’accesso
il gestore dell’identit{ digitale verifica
l’identit{ del soggetto sulla base di
credenziali fornite dallo stesso. Se tale
verifica ha esito positivo viene emessa, ad
uso del fornitore dei servizi, una asserzione
di autenticazione SAML attestante gli
attributi eventualmente richiesti;
Interazioni necessarie all’autenticazione SPID
50

Il titolare dell’identit{ digitale
viene quindi reindirizzato,
portando con sé l’asserzione
prodotta, verso il fornitore dei
servizi
Il fornitore dei servizi può, a questo
punto, avere la necessità di verificare
attributi qualificati riferibili all’utente
qualora questi fossero richiesti dalle
policy di sicurezza che regolano
l’accesso al servizio.
a) individuati, per il tramite del
registro SPID, i gestori di attributi
qualificati in grado di certificare gli
attributi necessari, inoltra agli
stessi una richiesta di attestazione
presentando i riferimenti
dell’identit{ digitale per la quale si
richiede la verifica;
b) il risultato della
richiesta è l’emissione,
da parte del gestore di
attributi qualificati, di
una asserzione SAML
il fornitore dei servizi, raccolte
tutte le necessarie asserzioni
SAML, verifica le policy di
accesso al servizio richiesto e
decide se accettare o rigettare
la richiesta
Interazioni necessarie all’autenticazione SPID
attributi qualificati …
51

I fornitori di servizi, per verificare le policy di sicurezza relativi all’accesso ai servizi da essi
erogati potrebbero avere necessità di informazioni relative ad attributi riferibili ai soggetti
richiedenti. Tali policy dovranno essere concepite in modo da richiedere per la verifica il set
minimo di attributi pertinenti e non eccedenti le necessità effettive del servizio offerto e
mantenuti per il tempo strettamente necessario alla verifica stessa, come previsto dall’articolo
11 del decreto legislativo n. 196 del 2003.
Art. 27, Modalità attuative SPID - Uso degli attributi SPID
La privacy in SPID
Principi e regole imposte dal Garante per la protezione dei dati personali
Pareri all’AgiD del 23 aprile 2015 - 4 giugno 2015 - 17 dicembre 2015
PRINCIPIO DI PROPORZIONALITÀ
(Art. 11, comma 1, lett. d), Codice Privacy)
I dati personali oggetto di trattamento
devono essere pertinenti, completi e non
eccedenti rispetto alle finalità per le quali
sono raccolti o successivamente trattati
PRINCIPIO DI NECESSITÀ (Art. 3 Codice Privacy)
I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l’utilizzazione dei dati
personali e dei dati identificativi, in modo da escluderne il
trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati
anonimi od opportune modalità che permettano di
identificare l’interessato solo in caso di necessità.
52

Minacce nel processo di registrazione
Furto/usurpazione di
identità
Un richiedente dichiara una
identità non corretta (ad es.
usando un documento d'identità
contraffatto)
Ripudio/disconoscimento
della registrazione
Un cittadino/impresa nega la
registrazione affermando che non
ha mai richiesto la registrazione
SICUREZZA
Rischi associati alle identità digitali
53

Divulgazione/
rivelazione
Una chiave generata dal
gestore delle identità
digitali è copiata da un
aggressore informatico.
Emissione delle credenziali di
persona, spedizione in buste
sigillate con posta raccomandata,
uso di una sessione protetta per la
spedizione elettronica
Manomissione Una nuova password
generata dal sottoscrittore
viene modificata da un
aggressore informatico.
Stesse strategie di mitigazione di
sopra, uso di protocolli di
comunicazione che proteggono la
sessione dati.
Emissione non
autorizzata
Rilascio delle credenziale
ad una persona che
afferma di essere il
sottoscrittore (e in effetti
non lo è)
Procedura che assicura che la
persona destinataria delle
credenziali sia la stessa persona
che ha partecipato nel processo di
registrazione
Minacce nel processo di registrazione / Strategie di mitigazione
54

Un token per la sicurezza (chiamato anche token hardware, token per
l'autenticazione, token crittografico, o semplicemente token) è un dispositivo
fisico (non sempre) necessario per effettuare un'autenticazione (tipicamente
una autenticazione a due fattori).
Un token può anche essere di tipo software, ove le informazioni necessarie
risiedono direttamente nel computer dell'utente, e non in un oggetto esterno.
(fonte wikipedia)
Minacce associate ai token
55

Tipo token Esempi di minacce
Something we have Può essere perso, danneggiato, rubato o clonato. Ad esempio un
aggressore malevolo potrebbe prendere possesso del computer e
copiare un token software. Analogamente un token hardware
potrebbe essere rubato, manomesso o duplicato.
Something we know L'aggressore potrebbe provare ad indovinare la password o il PIN o
installare del software maligno (ad es. keyboard logger) per
catturare la password, in alternativa possono essere adottate
catture del traffico dalla rete o attraverso tecniche di social
engineering
Something we are Può essere replicato, ad esempio un aggressore potrebbe ottenere
una copia delle impronte digitali e costruirne una replica
assumendo che il sistema biometrico non utilizzi robuste, e
consigliate, tecniche di rilevazione
Minacce associate ai token
56

Minaccia/
Attacco token
Descrizione Esempi
Furto Un token fisico viene rubato Furto di un cellulare,
dispositivo fisico ecc.
Scoperta Le risposte a domande di
suggerimento per riconoscere
l'utente sono facilmente deducibili
o ricavabili da diverse sorgenti
disponibili.
Ad es. la domanda "Quale
liceo hai frequentato ?" è
facilmente ottenibile dai siti
web di tipo social.
Duplicazione Il token è stato copiato senza, o con,
l’assenso dell'utente.
Password scritta su post-it o
memorizzato su un file che
viene successivamente
copiato da un aggressore.
Le minacce e gli attacchi più comuni in riferimento ai token 1/3
57

Minaccia/
Attacco token
Descrizione Esempi
Intercettazione Il token viene rilevato nel
momento dell'immissione.
La password viene dedotta
osservando l'immissione da
tastiera, o con l'ausilio di
keylogger software.
Offline cracking Sono usate tecniche analitiche
offline ed esterne ai meccanismi di
autenticazione.
Una chiave viene estratta
utilizzando tecniche di analisi
differenziale su token
hardware rubati.
Phishing o
pharming
L'utente viene ingannato e crede
che l'aggressore sia il fornitore di
servizi o di identità (sito civetta).
DNS re-routing. Una password
viene rivelata ad un sito civetta
che simula l'originale.
58

Minaccia/
Attacco token
Descrizione Esempi
Ingegneria sociale L'aggressore stabilisce un livello di
sicurezza con l'utente in modo da
convincerlo a rivelargli il
contenuto del token.
Una password viene
rivelata durante una
telefonata ad un
aggressore che finge di
essere l'amministratore di
sistema.
Provare a indovinare
(online)
L'aggressore si connette al sito del
gestore di identità online e prova
ad indovinare il token valido.
Attacchi online basati su
dizionari o password note.
59

Strategie di mitigazione delle minacce ai token 1/2
Minaccia/Attacco token Tecnica di mitigazione della minaccia
Furto Usare token multi-fattore che devono essere
attivati attraverso un PIN o elementi biometrici.
Scoperta Usare metodologie tali da rendere complessa la
deduzione di una risposta
Duplicazione Usare token difficilmente duplicabili come token
crittografici hardware
Intercettazione Usare tecniche di autenticazione dinamica tali che
la conoscenza di una parola non fornisca alcuna
informazione in successive autenticazioni.
60

Strategie di mitigazione delle minacce ai token 2/2
Minaccia/Attacco token Tecnica di mitigazione della minaccia
Offline cracking e
provare ad indovinare
(online)
Usare token con elevata entropia. Usare token che
causino il blocco dopo un numero limitato di
tentativi.
Phishing o pharming Usare tecniche di autenticazione dinamica tali che
informazione in successive autenticazioni.
Ingegneria sociale Usare tecniche di autenticazione dinamica tali che
informazione in successive autenticazioni
61

1. Nel caso in cui l'utente ritenga, […], che la propria identità digitale sia stata utilizzata
abusivamente o fraudolentemente da un terzo, può chiedere, […], la sospensione
immediata dell'identità digitale al gestore della stessa e, se conosciuto, al fornitore di
servizi presso il quale essa risulta essere stata utilizzata. Salvo il caso in cui la richiesta sia
inviata tramite posta elettronica certificata, o sottoscritta con firma digitale o firma
elettronica qualificata, il gestore dell'identità digitale e il fornitore di servizi eventualmente
contattato verificano, anche attraverso uno o più attributi secondari, la provenienza della
richiesta di sospensione da parte del soggetto titolare dell'identità digitale e forniscono la
conferma della ricezione della medesima richiesta.
2. […] il gestore dell'identità digitale sospende tempestivamente l'identità digitale per un
periodo massimo di trenta giorni informandone il richiedente. Scaduto tale periodo,
l'identità digitale è ripristinata o revocata ai sensi del comma 3.
3. Il gestore revoca l'identità digitale se, nei termini previsti dal comma 2, riceve
dall'interessato copia della denuncia presentata all'autorità giudiziaria per gli stessi fatti
su cui è basata la richiesta di sospensione.
Uso illecito delle identità digitali SPID
62

Art. 640-quinquies c.p.
Frode informatica del soggetto che presta servizi di certificazione
di firma elettronica
Il soggetto che presta servizi di certificazione di firma elettronica, il quale, al fine di
procurare a sé o ad altri un ingiusto profitto ovvero di arrecare ad altri danno, viola
gli obblighi previsti dalla legge per il rilascio di un certificato qualificato, è punito
con la reclusione fino a tre anni e con la multa da 51 a 1.032 euro
Art. 1, lett. q) CAD
Firma elettronica: l'insieme dei dati in forma elettronica, allegati oppure connessi
tramite associazione logica ad altri dati elettronici, utilizzati come metodo di
identificazione informatica
Gli illeciti penali legati alle identità digitali
63

Art. 640-ter c.p.
Frode informatica
Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico
o telematico o intervenendo senza diritto con qualsiasi modalità su dati,
informazioni o programmi contenuti in un sistema informatico o telematico o ad
esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è
punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro
1.032.
[…] La pena è della reclusione da due a sei anni e della multa da euro 600 a euro
3.000 se il fatto è commesso con furto o indebito utilizzo dell'identità digitale in
danno di uno o più soggetti.
Il delitto è punibile a querela della persona offesa salvo che ricorra taluna delle
circostanze di cui al secondo e terzo comma o un'altra circostanza aggravante.
64

Art. 615-ter c.p.
Accesso abusivo ad un sistema informatico o telematico
Chiunque abusivamente si introduce in un sistema informatico o telematico
protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o
tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico
servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al
servizio, o da chi esercita anche abusivamente la professione di investigatore
privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone,
ovvero se è palesemente armato;
[…] Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o
telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica
o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è,
rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni […].
65

Art. 494 c.p.
Sostituzione di persona
Chiunque, al fine di procurare a sé o ad altri un vantaggio o di recare ad altri un danno,
induce taluno in errore, sostituendo illegittimamente la propria all'altrui persona, o
attribuendo a sé o ad altri un falso nome, o un falso stato, ovvero una qualità a cui la legge
attribuisce effetti giuridici, è punito, se il fatto non costituisce un altro delitto contro la
fede pubblica con la reclusione fino a un anno.
Art. 495 c.p.
Falsa attestazione o dichiarazione a un pubblico ufficiale sulla identità o su qualità
personali proprie o di altri
Chiunque dichiara o attesta falsamente al pubblico ufficiale l’identit{, lo stato o altre
qualità della propria o dell’altrui persona è punito con la reclusione da uno a sei anni.
La reclusione non è inferiore a due anni:
1) se si tratta di dichiarazioni in atti dello stato civile;
2) se la falsa dichiarazione sulla propria identità, sul proprio stato o sulle proprie qualità
personali è resa all’autorit{ giudiziaria da un imputato o da una persona sottoposta ad
indagini […]
66

Art. 495-bis c.p.
Falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità
o su qualità personali proprie o di altri
Chiunque dichiara o attesta falsamente al soggetto che presta servizi di certificazione
delle firme elettroniche l’identit{ o lo stato o altre qualità della propria o dell’altrui
persona è punito con la reclusione fino ad un anno.
Art. 483 c.p.
Falsità ideologica commessa dal privato in atto pubblico
Chiunque attesta falsamente al pubblico ufficiale, in un atto pubblico, fatti dei quali
l’atto è destinato a provare la verità, è punito con la reclusione fino a due anni.
Se si tratta di false attestazioni in atti dello stato civile, la reclusione non può essere
inferiore a tre mesi.
67

Grazie per l’attenzione
Gianluca Satta
European Lawyer
Esperto in diritto dell’informatica e delle Nuove Tecnologie
www.gianlucasatta.it
gianluca@gianlucasatta.it
www.diricto.it
ict4forensics.diee.unica.it
www.andig.it
68

Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o
recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni:
 Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi ti ha
dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu
usi l’opera.
 Non commerciale. Non puoi usare quest’opera per fini commerciali.
 Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne un’altra,
puoi distribuire l’opera risultante solo con una licenza identica o equivalente a questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza di
quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra.
Licenza
69

SPID: le nuove frontiere delle identità digitali

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (8)

Similar a SPID: le nuove frontiere delle identità digitali

Similar a SPID: le nuove frontiere delle identità digitali (20)

Más de Gianluca Satta

Más de Gianluca Satta (8)

SPID: le nuove frontiere delle identità digitali