"Ad ogni Identità Spid possono essere associate credenziali con diversi livelli di sicurezza, che garantiscono che l’accesso ai servizi e ad i propri dati venga sempre effettuato nel modo più sicuro possibile:
-Livello 1: permette di accedere ai servizi online attraverso un nome utente e una password scelti dall’utente;
-Livello 2: consente l’accesso attraverso un nome utente e una password scelti dall’utente, a cui si aggiunge un codice temporaneo di accesso, la One Time Password (Otp) generata attraverso un dispositivo (quale ad esempio, app mobile o token);
-Livello 3 (prossimamente disponibile): che consente, mediante l’utilizzo di un certificato digitale, generato su Smart Card o HSM, l’accesso alle applicazioni con il livello di sicurezza più elevato previsto da SPID.”
Salta all'occhio tecnico l'utilizzo di un HSM, fatto che, se confermato, abiliterebbe l'utilizzo della credenziale di massimo livello di sicurezza anche in assenza di un dispositivo fisico come una smart card o una "chiavetta usb" che l'utente deve portare con sé.
L'esperienza utente si avvicinerebbe probabilmente all'esperienza della cosiddetta firma remota: una tipologia di firma digitale, accessibile via rete (Intranet e/o Internet), nel quale la chiave privata del firmatario viene conservata assieme al certificato di firma, all'interno di un server remoto sicuro (basato proprio su un HSM - Hardware Security Module) da parte di un certificatore accreditato.
Il firmatario/utente viene identificato dal servizio e autorizza l'apposizione della firma tramite un meccanismo di sicurezza fra i quali:
- PIN Firma di tipo statico;
- Token OTP;
- Riconoscimento grafometrico della firma autografa;
- Telefono Cellulare (come OTP) seguito da PIN Firma.
Qualcosa di semplice, già utilizzato e soprattutto utilizzabile in mobilità.
Un annuncio simile e un richiamo allo strumento HSM era già stato fatto a maggio scorso (http://www.01net.it/aruba-spid-noi-lo-facevamo-gia/)
"Aruba sarà accreditata per il livello 2 (token temporaneo) con un’ampia gamma di credenziali, per poi offrire anche soluzioni di livello 3 (con Smart Card – Hsm)." si legge nell'articolo di maggio scorso.
Lentamente ma con costanza vengono dispiegati tutti gli elementi che ancora mancano al progetto iniziale di SPID: infatti oltre alle credenziali di massimo livello di sicurezza mancano ancora all'appello i gestori di attributi qualificati.
