Su un altro SN sono stato interessato in una discussione nella quale è stata posta questa domanda:
a quali condizioni una grande organizzazione italiana che ha già i propri meccanismi di autenticazione online per clienti e collaboratori potrebbe accettare di sostituirli con SPID?
La prima (e sicuramente parziale) risposta che ho saputo dare è la seguente:
Riguardo alla riflessione (omissis) la mia personale risposta è:
*Per un risparmio di costi di gestione (in particolare in caso di evoluzioni lato strumenti di identificazione)
*Per acquisire una platea ampia di potenziali utenti ed eliminare la necessità di sottoscrivere i contratti in via cartacea (invio per posta) a conferma del “precontratto effettuato online o a voce”
*Per entrare in un (potenziale) circuito di servizi certificati “sicuri” da AGID
*Per avere (a fronte di un investimento tutto sommato limitato) la possibilità di sfruttare la buona riuscita del progetto SPID
Apro la riflessione alla community:
Quali sono le condizioni per cui una realtà privata dovrebbe aderire a SPID?
(ricordiamo che il privato opera in ottica di vantaggi per la propria azienda/organizzazione)
I servizi non sono certificati da AgID, AgID “certifica” la parte di autenticazione di SPID e non di autorizzazione o di funzionamento dell’applicativo interfacciato a SPID. Anche per il tema “sicurezza applicativa e sistemistica” AgID controlla l’implementazione di SPID ma la security sistemistica e applicativa del servizio erogato è compito del fornitore garantirla.
SPID è utile, sicuro ed economico per tutti quei soggetti privati che hanno necessità della garanzia dell’identità a cui erogano il servizio. Parlo, ad esempio, di banche, assicurazioni, trasporti. Oltre a tutta la parte infrastrutturale di autenticazione SPID include anche tutta la parte procedurale e logistica del riconoscimento forte della persona. E ultimo aspetto ma molto importante che SPID oltre alla funzionalità di autenticazione porta con se il tema delle attribute authority ovvero di ulteriori attributi che qualificano in maniera certa determinate caratteristiche dell’utente (se ha imprese, iscrizione ad albi…).
Riguardo la firma di contratti SPID può agevolare il processo mediante procedure di firma elettronica avanzata.
Io girerei la domanda … perchè non dovrebbe?
Sono poche le motivazioni fra cui la limitazione ai soli cittadini italiani e il costo di adesione che per un privato mi risulta sia molto oneroso, a questo proposito, me lo confermate? Io se potessi collegare il mio sitarello a SPID lo farei subito.
Quello della “migrazione” è un falso problema perchè si tratta solo di un altro (in realtà di altri N) identity provider, come Facebook o Google. Con opportuni sistemi di matching si può collegare facilmente l’identità alla base date degli utenti esistente.
Il sistema di adesione per le PA non è molto complesso se non per la parte burocratica.
I privati possono aderire ma ad un costo in quanto devono fare accordi con i singoli Idp e mi pare non sia proprio a buon mercato.
Cmq non mi riferivo alle difficoltà di adesione ma a quelle di gestione di una base dati di utenti già esistente da “collegare” a SPID.
Secondo me poi il problema principale non è nè tecnico nè di opportunità ma è che SPID non sta sfondando fra i cittadini e se al termine del periodo di warm-up ci sarà anche da pagare l’identità digitale allora si bloccherà tutto.
Relativamente ai costi sono in fase di perfezionamento e comunque non ritengo che sia oneroso. Nel giudicare un valore al servizio la domanda da farsi è: “Mi serve un autenticazione dove sia garantita la certezza dell’identità?”
Riguardo la migrazione non ritengo sia complesso. Per aggiungere un IDP è necessario soltanto far “conoscere” l’Identity Provider al proprio IAM e viceversa l’IDP deve conoscervi. E’ un’operazione di minuti; la parte invece che stiamo controllando in maniera molto stretta è l’interoperabilità. Comunque anche su questo piano è in fase di sviluppo lo smart button che effettuerà parte delle configurazioni in automatico.
Se per difficoltà di adesione si intende l’invio di un documento firmato (convenzione) e l’elenco dei servizi penso che la procedura burocratica sia molto snella. Tecnicamente il livello di attenzione sulle implementazioni è alto. Ma anche per la parte di onboarding sono in fase di sviluppo delle migliorie e automazioni.
Se penso all’andamento dello SPID Inglese (Gov.UK Verify) oggi conta 3.720.000 identità, partito ad ottobre 2014 (2 anni e 11 mesi di esercizio); dopo 1 anno e mezzo (che è lo stesso arco di tempo - SPID partito a marzo 2016) contava 1.160.000 identità. Per non contare l’andamento dei servizi.
Non amo fare paragoni ma è solo per dimensionare il termine “sfondare”. Lato pagamenti è obiettivo quello di renderlo gratuito.
Meno dati da richiedere all’utente perché fornisce codice fiscale blabla, un po come succede con i social login di facebook = utenti più felici che perdono meno tempo
Un sistema di login funzionante
Logo spid supportato da mostrare per farsi promozione
I contro:
Un tutorial/libreria/workflow per implementarlo in modo facile nei vari linguaggi non è presente quindi si tratta di farsi un mazzo per implementarlo e quindi per le aziende non ne vale la pena mentre per le PA va implementato in ogni caso
Salve, rilancio con una piccola sfida:
in 3 distinti paragrafi spiegare ad un imprenditore, ad un amministratore e all’ufficio marketing perchè a fronte dell’utilizzo di SPID il ROI dell’impresa tende ad aumentare (e di quanto).
Io se potessi collegare il mio sitarello a SPID lo farei subito.