Gestori dell'Identità Digitale mediante Spid. Nuove linee guida per lo standard OpenID Connect
Con la determinazione n. 616/2021, l’Agenzia per l’Italia Digitale ha adottato le nuove “Linee Guida per OpenID Connect in SPID” – redatte ai sensi dell’art. 64 del decreto legislativo 7 marzo 2005, n. 82 recante il Codice dell’Amministrazione Digitale (CAD).
Si tratta delle nuove direttive destinate ai Gestori dell’Identità Digitale e a quei Fornitori di Servizi pubblici e privati che intendono erogare i propri servizi online consentendo agli utenti di identificarsi mediante Spid basato su Open ID Connect, un nuovo standard di autenticazione dotato di maggiore sicurezza e di un livello più elevato di interoperabilità che assicura un più facile utilizzo delle identità digitali su servizi desktop e mobile.
Nessun cambiamento, invece, per gli utenti che continueranno ad utilizzare SPID in modalità ordinaria.
I Gestori dell’Identità digitale sono chiamati ad adeguarsi alle nuove linee guida con decorrenza primo maggio 2022, mentre per i Fornitori di servizi non sussiste un obbligo di adeguamento; tuttavia, qualora tali soggetti manifestino l’interesse ad utilizzare il nuovo standard, possono presentare domanda di adesione a SPID sulla base delle nuove linee guida, a partire dal 2 maggio 2022.
Cosa è OpenID Connect
Si tratta del layer di autenticazione che oggi viene utilizzato da quasi tutte le attuali applicazioni web e mobile nel settore privato (Google, Microsoft, PayPal e molti altri).
OpendID Connect rispetto allo standard attualmente utilizzato da SPID (SAML) garantisce:
- un più elevato livello di sicurezza;
- maggiore facilità di integrazione in sistemi eterogenei (single-page app, web, backend, mobile, IoT);
- ottimizzazione dell’integrazione di componenti di terze parti in modalità sicura, interoperabile e scalabile;
- utilizzo da parte di un gran numero di servizi social e di pagamento.
“SPID OpenID Connect” consente di effettuare appropriate verifiche di sicurezza obbligatorie, migliorando la facilità di implementazione e funzionalità. Il nuovo standard OpenID Connect permette di sottrarsi a potenziali attacchi effettuati attraverso l’intercettazione delle comunicazioni tra i vari soggetti coinvolti, in particolare nel caso di applicazioni per dispositivi mobili.
Inoltre, per evitare di inserire continuamente la password e ottimizare la user experience nelle applicazioni mobili, “SPID OpenID Connect” utilizza le c.d. sessioni lunghe revocabili.
Da ultimo, il sistema prevede meccanismi che permettono agli utenti di interrompere un’autenticazione precedentemente effettuata per l’accesso ad uno specifico servizio.
Tra gli obblighi previsti dalle nuove linee guida Agid per i Gestori delle Identità Digitali e i Fornitori di servizi che intendono avvalersi del nuovo standard, è prevista la conservazione per 24 mesi dei log di ogni autenticazione.
In particolare, si prevede che debbano essere conservate le evidenze di:
- rilascio di ID e access token a fronte di autenticazione;
- rilascio di refresh token a fronte di autenticazione;
- rilascio di ID e access token a fronte di utilizzo del refresh token.
Per ogni rilascio devono essere inoltre conservati JWT costituenti richiesta e risposta ed è necessario tenere traccia delle chiamate e delle relative risposte effettuate verso ogni endpoint.
Le tracciature dei log devono essere mantenute nel rispetto del GDPR e del Codice Privacy, sotto la responsabilità del Gestore dell’Identità digitale o del Fornitore del servizio; l’accesso ai dati di tracciatura deve essere riservato a personale designato ai sensi dell’art. 2-quaterdecies del Codice Privacy.
Al fine di garantire la confidenzialità, le linee guida suggeriscono di adottare inoltre meccanismi di cifratura dei dati o impiegare sistemi di basi di dati (DBMS) che assicurano il mantenimento della cifratura delle informazioni, utilizzando meccanismi che garantiscano l’integrità e il non rigetto dei log.