SPID

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Logo SPID

Sistema Pubblico di Identità Digitale (im Akronym SPID) (deutsch Öffentliches System für digitale Identität) ist das einheitliche Zugangssystem mit digitaler Identität zu den Onlinediensten der öffentlichen Verwaltung und der teilnehmenden Privatunternehmen in Italien. Bürger und Unternehmen können auf diese Dienste mit einer einzigartigen digitalen Identität zugreifen, die den Zugang und die Nutzung von jedem Gerät aus ermöglicht.

Es wurde eingeführt, um dem Umstand abzuhelfen, dass die zunehmende Zahl von Onlinediensten die Bürger zwang, eine immer größere Anzahl von Zugangsdaten zu haben.

SPID erfüllt die Notwendigkeit, über ein einziges Satz von Zugangsdaten zu verfügen, das den Zugang zu jedem Webdienst gewährleisten kann. Ein einfaches System für den Endbenutzer, national normiert, nicht exklusiv, sondern inklusiv, in das europäische System integrierbar.

Die SPID-Identität wird durch Antragstellung bei einem der Identity Provider (Identitätsdienstleister) erworben, die frei unter den von der Agenzia per l'Italia Digitale (AgID) autorisierten Anbietern gewählt werden können.

Die Authentifizierung mit SPID erfolgt in drei Sicherheitsstufen der Zugangsdaten, je nach Art des Dienstes.

SPID ist Teil des vom EU-Regelwerk eIDAS definierten Systems. Zusätzlich zu den auf europäischer Ebene von eIDAS vorgesehenen Funktionen, ist eine nur in Italien vorhandene Innovation die Möglichkeit, SPID zur digitalen Signatur von Dokumenten zu verwenden (sogenannte "SPID-Signatur"), was seit 2021 die digitale Unterzeichnung von Referendumsvorschlägen ermöglicht hat[1].

Die Arbeiten am SPID-System begannen im März 2013 auf Vorschlag des Abgeordneten Stefano Quintarelli, der später Vorsitzender des Lenkungsausschusses der AgID wurde und dessen Regulierung und Implementierung betreute.[2][3]

Die erste Durchführungsverordnung war das Dekret des Ministerpräsidenten vom 24. Oktober 2014, veröffentlicht im Amtsblatt Nr. 285 vom 9. Dezember 2014.[4]

Am 28. Juli 2015 wurden mit der Bestimmung Nr. 44/2015 von AgID die vier Verordnungen (Akkreditierung der Betreiber, Nutzung bestehender Identitäten, Durchführungsmodalitäten, technische Regeln) gemäß Artikel 4, Absätze 2, 3 und 4, des DPCM vom 24. Oktober 2014 erlassen, mit denen das SPID-System operativ wurde.[5]

Die Verordnung, die die Modalitäten zur Akkreditierung der Anbieter digitaler Identitäten regelt, trat am 15. September 2015 in Kraft, ab diesem Datum konnten interessierte Parteien Anträge an die Agenzia per l'Italia Digitale stellen.[6]

Am 19. Dezember 2015 hat AgID, unter Einhaltung der durch die Vorschriften festgelegten Verfahren, die ersten drei SPID-Identitätsanbieter akkreditiert: InfoCert S.p.A., Poste Italiane S.p.A. und Telecom Italia Trust Technologies S.r.l.[7] Am 15. September 2016 wurden Aruba PEC S.p.A. und Sielte S.p.A. akkreditiert,[8] am 12. Mai 2017 Namirial S.p.A. und Register.it S.p.A.[9]

Ab dem 15. März 2016 begannen die ersten drei Anbieter digitaler Identitäten, die ersten SPID-Identitäten an Bürger und Unternehmen auszustellen.[10]

Bis Juni 2016 war die Teilnahme von 14 Pilotverwaltungen an SPID geplant: Agenzia delle Entrate, Equitalia, INPS, INAIL, Stadt Florenz, Stadt Venedig, Stadt Lecce, Stadt Genua, Region Toskana, Region Ligurien, Region Emilia-Romagna, Region Friaul-Julisch Venetien, Region Latium, Region Piemont und Region Umbrien.[10] Die Dienste wurden am 15. März 2016 für die Region Toskana und INPS aktiviert,[11] am 15. April 2016 für die Agenzia delle Entrate mit dem Dienst 730 Precompilato,[12]

Nachfolgend die Anzahl der Verwaltungen, die SPID bis zum angegebenen Datum schrittweise übernommen haben:[13]

Datum Anzahl
15. März 2016 0 (Start des Systems in Italien)
15. Januar 2017 3720
2. November 2017 3783
14. Mai 2019 4000
4. Oktober 2019 4109
24. September 2020 4478
15. Dezember 2020 5595
19. Dezember 2020 5739
23. Februar 2021 6235
28. Juni 2021 7653
30. März 2022 12297

SPID wurde auch auf europäischer Ebene anerkannt, wie im europäischen Verordnung eIDAS Nr. 910/2014 vorgesehen,[14] sodass Bürger, die damit ausgestattet sind, das System auch für den Zugang zu den von den öffentlichen Verwaltungen im gesamten Europäischen Wirtschaftsraum bereitgestellten Onlinediensten nutzen können und, optional, von privaten Anbietern. Der Benachrichtigungsprozess wurde abgeschlossen und SPID wurde im Amtsblatt der Europäischen Union C318 vom 10. September 2018 veröffentlicht.

Am 3. März 2022 veröffentlichte die AGID die Richtlinien zur Ausstellung von Spid an Minderjährige: Von 5 bis 14 Jahren kann es nur für den Zugang zu schulischen Diensten verwendet werden, während über 14-Jährige Zugang zu allen sie betreffenden Diensten haben, innerhalb der durch die Minderjährigkeit gesetzten Grenzen.[15] Der Beginn der Ausstellung der Anmeldedaten an Minderjährige ist für den 1. August 2022 festgelegt.[16]

Am 21. Februar 2023 kündigte Intesa (eine Gesellschaft der Kyndryl-Gruppe) als erster Identity Provider die Einstellung des Dienstes an, die für den 23. April desselben Jahres geplant ist, aufgrund der Nichtverlängerung der Vereinbarung mit der Agid.[17]

Das SPID-System besteht aus einer offenen Gruppe öffentlicher und privater Akteure, die nach Akkreditierung durch die Agenzia per l'Italia Digitale die Registrierungsdienste und die Bereitstellung von Zugangsdaten und -instrumenten für Bürger und Unternehmen im Auftrag der öffentlichen Verwaltungen verwalten.[18]

Ab Februar 2018 müssen alle öffentlichen Verwaltungen dem SPID-System beigetreten sein. Für die Authentifizierung können auch Fingerabdruck, Stimmabdruck, Netzhaut oder Iris oder andere biometrische Erkennungsmerkmale verwendet werden.

Im SPID-System werden folgende Rollen unterschieden:[19]

  • Identitätsanbieter (Identity Provider oder IdP), die die Zugangsdaten für das System (digitale Identitäten) bereitstellen und die Authentifizierungsprozesse der Nutzer verwalten.
  • Dienstanbieter (Service Provider oder SP), die die Autorisierung über den Login verwalten und den Dienst bereitstellen.
  • Anbieter qualifizierter Attribute (Attribute Authority oder AA), die Attribute bereitstellen, die die Nutzer qualifizieren (Status, Rollen, title, Positionen) und die Nutzung der Dienste ermöglichen.

Der Attributanbieter, der die qualifizierten Attribute gemäß den technischen SPID-Regeln bereitstellt, ist im entsprechenden AGID-Register (Agenzia per l’Italia Digitale) eingetragen und ermöglicht es den Dienstanbietern, den Besitz bestimmter Anforderungen festzustellen.

AgID hat in Absprache mit dem Datenschutzbeauftragten die technischen Regeln für die Einführung des SPID-Systems festgelegt. Sie verwaltet auch die Akkreditierungsverfahren der Identitätsanbieter und führt darüber hinaus Aufsichtstätigkeiten über das Vorgehen der identity provider durch.

Das SPID basiert auf einer SAML 2.0-Föderation.[19] (ab dem 1. Mai 2022 mit OpenID Connect[20]). Das Hinzufügen eines neuen Service Providers zum SPID-Netzwerk erfolgt durch den Austausch von Metadaten mit dem Identity Provider, mit dem eine Verbindung hergestellt werden soll. Die Föderation ermöglicht es dem Service Provider, seine Nutzerbasis auf die aktuell beim verbundenen Identity Provider registrierten Nutzer zu erweitern. Leider gibt es bisher, keine Föderation zwischen den verschiedenen Identity Providern, sodass beim Login der Identity Provider ausgewählt werden muss, bei dem der Nutzer akkreditiert ist.

Für den Nutzer dürfen weder die Zugangsdaten noch die Nutzung der Dienste Einschränkungen wie die Verwendung einer bestimmten Hardware auferlegen.

It Wallet ist eine Anwendung, die sich im Juli 2023 in der Spezifikationsphase befindet und es ermöglicht, Identitätsdokumente wie den elektronischen Personalausweis, die Gesundheitskarte, die Behindertenkarte und den Führerschein in einem einzigen elektronischen Instrument zu vereinheitlichen. Der Zugriff erfolgt über SPID und den elektronischen Personalausweis.[21][22]

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. Novità proposte Referendum: come firmare con SPID e Firma Digitale. In: ufficiocamerale.it. Ufficio Camerale, abgerufen am 8. Juni 2024 (italienisch).
  2. Quintarelli: "Verso un framework per l'identità digitale". In: Agenda Digitale. 13. März 2013, abgerufen am 8. Dezember 2020 (italienisch).
  3. Domande Frequenti - FAQ SPID con storia e fonti documentali. In: blog Quintarelli. 22. September 2021, abgerufen am 23. September 2021 (italienisch).
  4. Decreto del Presidente del Consiglio dei ministri 24 ottobre 2014. In: Gazzetta Ufficiale. Abgerufen am 8. Dezember 2020 (italienisch).
  5. Firme & Certificati - CyberLaws (Memento des Originals im Internet Archive), CyberLaws. Abgerufen am 5. November 2017 (italienisch). 
  6. SPID e pagamenti elettronici: AgID incontra le Amministrazioni Centrali. In: Agenzia per l'Italia digitale. Abgerufen am 8. Dezember 2020 (italienisch).
  7. SPID: Infocert, Poste Italiane e Telecom Italia accreditati come primi gestori di identità digitali. In: Agenzia per l'Italia digitale. Abgerufen am 8. Dezember 2020 (italienisch).
  8. SPID: Aruba e Sielte nuovi identity provider. In: Agenzia per l'Italia digitale. Abgerufen am 8. Dezember 2020 (italienisch).
  9. SPID: Namirial e Register.it nuovi gestori di identità digitale. In: Agenzia per l'Italia digitale. Abgerufen am 8. Dezember 2020 (italienisch).
  10. a b SPID: dal 15 marzo le prime identità digitali per cittadini e imprese. In: Agenzia per l'Italia digitale. Abgerufen am 8. Dezember 2020 (italienisch).
  11. SPID: al via Inail, Emilia Romagna, Friuli Venezia Giulia e Venezia. In: Agenzia per l'Italia digitale. Abgerufen am 8. Dezember 2020 (italienisch).
  12. Teresa Barone: Servizi online Equitalia: access-date con SPID. In: PMI.it. 3. Mai 2016, abgerufen am 8. Dezember 2020 (italienisch).
  13. Avanzamento trasformazione digitale. In: Avanzamento trasformazione digitale. Abgerufen am 9. Dezember 2022 (italienisch).
  14. SPID verso eIDAS. In: Agenzia per l'Italia digitale. Abgerufen am 8. Dezember 2020 (italienisch).
  15. AgID adotta le Linee guida SPID per minori. In: Agenzia per l'Italia digitale. 7. März 2022, abgerufen am 21. März 2022 (italienisch).
  16. SPID: identità digitale anche per i minorenni ma con distinzioni tra under e over 14. 21. März 2022, abgerufen am 21. März 2022 (italienisch).
  17. Intesa, a Kyndryl Company non rinnova la convenzione come Identity Provider SPID. 21. Februar 2023, abgerufen am 27. Februar 2023 (italienisch).
  18. Decreto del Presidente del Consiglio dei ministri 24 ottobre 2014. Archiviert vom Original am 28. März 2016; (italienisch).
  19. a b Regole tecniche | Introduzione. In: Docs Italia. Abgerufen am 8. Dezember 2020 (italienisch).
  20. SPID più sicuro con lo standard OpenID Connect In: punto-informatico.it, 7. Dezember 2021 (italienisch). 
  21. Arriva la norma per l’IT Wallet, che racchiude Spid e Cie. 10. Juli 2023; (italienisch).
  22. È in arrivo IT Wallet, l'app che manderà in pensione (o quasi) SPID. (italienisch).