Nuova modalità di identificazione per ottenere l’identità digitale SPID basata su collegamento da remoto ma senza la contestuale presenza del richiedente e dell’operatore: lo ha approvato il Garante della Privacy (parere 163/2020), accogliendo una proposta dell’AgID, l’Agenzia per l’Italia Digitale.
Si tratta di una decisione rilevante in tempi di Covid, anche in considerazione della migrazione in atto verso SPID come unico sistema di accreditamento digitale per tutti i servizi delle pubbliche amministrazioni.
In pratica, in aggiunta agli attuali sistemi già previsti dai diversi identity provider, sarà possibile ottenere le credenziali SPID senza collegamento in diretta. La nuova procedura prevede una registrazione online, una sessione audio-video (senza operatore in diretta) e l’esecuzione di un bonifico da conto corrente con IBAN italiano intestato o cointestato al richiedente.
Rilascio SPID da remoto
- Registrazione online: il richiedente sceglie le proprie credenziali di livello 1, fornisce il consenso al trattamento dei dati personali previsto dalla normativa, il proprio indirizzo email, il numero di cellulare, prende visione delle condizioni d’uso, della guida utente e dell’informativa.
- Sessione audio-video: viene chiesta conferma di alcuni dati, tra i quali la data e l’ora, il nome e il cognome; bisogna mostrare il documento di riconoscimento e il tesserino del codice fiscale o della tessera sanitaria e confermare la volontà di attivare SPID. Durante questa sessione, deve essere fornito al richiedente, via SMS o tramite App, un codice numerico randomico che lo stesso richiedente dovrà leggere durante la sessione. Affinché questa garanzia sia pienamente efficace, in caso di invio del codice attraverso App, quest’ultima deve essere installabile unicamente sul dispositivo collegato all’utenza telefonica fornita dal richiedente ai fini dell’identificazione. Ciò, al fine di garantire che l’utilizzo dell’App stessa sia nel completo controllo del richiedente e che questa sia ad esso riconducibile con certezza.
- Bonifico: il richiedente esegue un bonifico da un conto corrente con IBAN italiano a lui intestato o cointestato, indicando nella causale uno specifico codice, che gli è stato precedentemente fornito, che consente di correlare la richiesta dell’identità al bonifico stesso.
Successivamente, un operatore visiona l’audio-video ed effettua tutte le verifiche di back-office necessarie. In pratica, non è più necessario il passaggio di identificazione da remoto che richiede la presenza contestuale del richiedente l’identità SPID e dell’operatore, coinvolto solo in un secondo momento, al fine di visionare (e ascoltare) la registrazione effettuata.
Come ulteriore elemento di garanzia finalizzato ad effettuare delle verifiche immediate, il Garante prevede che il gestore dell’identità digitale sospenda almeno il 2% delle richieste giornaliere ricevute, al fine di fare effettuare un’ulteriore verifica dell’audio-video anche da parte di un secondo operatore. È prevista, poi, la trasmissione dell’esito delle verifiche ad AgID e al Garante, dopo sei mesi, per valutare l’efficacia di questo controllo di secondo livello dopo un periodo sperimentale di applicazione.