Con l’obiettivo di favorire l’utilizzo di Spid, l’Agenzia per l’Italia Digitale, con la determinazione n. 344 del 21 novembre 2019, ha emanato le linee guida per facilitare il lavoro di identificazione delle persone fisiche da parte delle pubbliche amministrazioni che dovranno rilasciare l’Identità Digitale.
Le regole tecniche, allegate alla determinazione, sono state redatte da un gruppo di lavoro formato da rappresentanti dell’Agenzia per l’Italia Digitale, dal Team per la Trasformazione Digitale, da rappresentanti dei Gestori di Identità Digitale (Identity Provider) e delle pubbliche amministrazioni interessate, seguendo la procedura prevista dall’art. 71 del Codice dell'Amministrazione Digitale. Esse prevedono un modello di R.A.O. (Registration Authority Office) pubblico, intendendo per esso la Pubblica Amministrazione che svolge l’attività di verifica dell’identità personale dei cittadini, al fine del rilascio dell’identità digitale SPID.
Le pubbliche amministrazioni, che intendano riconoscere le persone fisiche per il rilascio dell’Identità digitale e quindi che siano interessate ad essere riconosciute come RAO Pubblico, saranno tenute a fare richiesta ad Agid. L’Agenzia informerà i gestori dell’Identità Digitale SPID (IdP) in merito ai soggetti che avranno richiesto il riconoscimento come come R.A.O. pubblico del sistema SPID.
Gli IdP, a loro volta, informeranno l’Agenzia del fatto che intendono utilizzare le procedure di identificazione effettuate dai R.A.O. pubblici del sistema SPID. L’Agenzia metterà, in tal modo, a disposizione di entrambi i soggetti il certificato di sigillo elettronico che consente la comunicazione sicura tra i predetti soggetti per ilrilascio del token personale agli utenti.
Come avviene il riconoscimento delle persone
L’utente dovrà presentare alla pubblica amministrazione con il ruolo di Rao un documento di riconoscimento integro e in corso di validità rilasciato da un’amministrazione statale, corredato da fotografia e sottoscritto con firma autografa assieme alla tessera sanitaria, anch’essa valida, per il controllo del codice fiscale.
La decisione su quali specifici documenti di riconoscimento accettare è rimessa al Rao pubblico.
Qualora l’utente presenti documenti privi dei requisiti innanzi richiesti, quindi ad esempio non validi o non sottoscritti con firma autografa o privi di fotografia, il Rao dovrà rifiutare l’iscrizione sospendendo o bloccando la procedura sino a che l’utente non presenterà documenti validi e muniti di tutti i requisiti richiesti.
Dopo aver effettuato il riconoscimento visivo del soggetto e controllato la validità e l’esattezza dei documenti presentati, l’operatore della pubblica amministrazione compilerà una scheda anagrafica all’interno di una piattaforma dedicata con tutti i dati dell’utente, composti dagli attributi primari di Spid (quindi nome, cognome, codice fiscale, data di nascita luogo di nascita, sesso, estremi del documento presentato), da quelli secondari (telefono, email, domicilio, eventualmente pec) e da ulteriori dati (numero tessera sanitaria e scadenza, nazione di nascita, nazione domicilio fisico). Questa procedura, eseguita correttamente, consentirà di generare un token personale e unico necessario all'utente per ottenere l’identità digitale da parte dell’IdP da lui prescelto.
All’utente viene consegnata metà passphrase in modalità cartacea, l’altra metà viene inviata via email assieme alle indicazioni per consultare le brochure, realizzate ed aggiornate dagli IdP, reperibili sul sito ufficiale SPID.
Il token può essere anche consegnato all’IdP prescelto dall’utente, quando quest’ultimo opta per il proprio IdP a sportello; in tal caso, l’utente dovrà comunicare il proprio codice fiscale, inserendolo sul sito dell’IdP (dove avrà selezionato l’identificazione tramite p.a.) per consentire il recupero del token a lui riferito; nel caso in cui invece l’utente abbia optato per l’inoltro del token via email, sarà lui stesso ad effettuare l’upload del token cosegnatogli sempre dal sito dell’IdP scelto. Il token ha validità 30 giorni dalla consegna.
L’IdP, effettuate le verifiche previste dalla normativa per il rilascio dell’identità digitale Spid, procederà a concedere l’identità elettronica i sensi dell’art. 7, comma 2, lett. b) del DPCM 24 ottobre 2014 e s.m.i..
Il meccanismo acquisirà efficacia a seguito della pubblicazione delle linee guida in Gazzetta Ufficiale.