Risultati
77 risultati
-
AGID
7. Limitazione dell’accesso ai servizi in rete
Non si rilevano rischi residui. 7.2.1. Contromisure. N.A ...
-
AGID
5. Rilascio di SPID ai minori
Un soggetto potrebbe dichiarare falsamente di esercitare la tutela di un minore. 5.2.1. Contromisure. L’IdP verifica il reale stato di tutela del minore sulla carta di identità o sul permesso di soggiorno. Nel caso residuale dell’autocertificazione, la normativa prevede responsabilità penali in capo al soggetto che effettua false dichiarazioni ai sensi del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445. Tale soggetto potrà essere facilmente individuato e perseguito, in quanto, per effettuare la dichiarazione di cui al punto 5, è necessario procedere a un’autenticazione SPID ...
-
AGID
8. L’identità al sopraggiungere della maggiore età
Non si rilevano rischi residui. 8.2.1. Contromisure. N.A ...
-
AGID
2. Quadro normativo e considerazioni a carattere generale
Dall’analisi della normativa in materia di identità digitale non è emerso alcun elemento ostativo al rilascio di SPID ai minori. Con particolare riferimento alla normativa vigente in tema di protezione dei dati personali, è essenziale rapportare le presenti Linee guida operative in primis al Regolamento (UE) 2016/679 recante il Regolamento Generale sulla Protezione dei Dati (di seguito RGPD). Il Considerando 38 del RGPD stabilisce quanto segue:. «I minori meritano una specifica protezione relativamente ai loro dati personali, in quanto possono essere meno consapevoli dei rischi, delle conseguenze e delle misure di salvaguardia interessate nonché dei loro diritti in relazione al trattamento dei dati personali. Tale specifica protezione dovrebbe, in particolare, riguardare l’utilizzo dei dati personali dei minori a fini di marketing o di creazione di profili di personalità o di utente e la raccolta di dati personali relativi ai minori all’atto dell’utilizzo di servizi forniti direttamente a un minore. Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore». L’articolo 8 del medesimo Regolamento, con riferimento al trattamento dei dati personali del minore in relazione ai servizi della società dell’informazione, chiarisce che il trattamento effettuato sulla base del consenso del minore è lecito. 1. Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili. […]». Il legislatore italiano, mediante il decreto legislativo 10 agosto 2018, n. 101, ha introdotto nel decreto legislativo 30 giugno 2003, n. 196 recante «Codice in materia di protezione dei dati personali» l’articolo 2-quinquies rubricato «Consenso del minore in relazione ai servizi della società dell’informazione». In virtù di tale disposizione. 1. In relazione all’offerta diretta ai minori dei servizi di cui al comma 1, il titolare del trattamento redige con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest’ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi.». Il primo comma dell’articolo 320 del codice civile dispone che. Si applicano, in caso di disaccordo o di esercizio difforme dalle decisioni concordate, le disposizioni dell’articolo 316. […]». Ai sensi dell’articolo 1425 del codice civile, il contratto concluso da un minore, privo in quanto tale – almeno ordinariamente - della capacità di agire, è annullabile fatta salva l’ipotesi in cui, ex articolo 1426 del codice civile, il minore abbia occultato, con raggiri, la propria età. In considerazione di quanto sopra e, più in generale, della normativa vigente con riferimento alla sfera giuridica del minore, per l’accesso ai servizi in rete da parte del minore occorre valutare l’età del minore e la tipologia del servizio richiesto, al fine di stabilire se sia necessario l’intervento, eventualmente congiunto, dei genitori. Sino alla verifica del consenso prestato dal genitore, il fornitore dei servizi in rete non tratta i dati personali del minore. ...
-
AGID
4. Acronimi e definizioni
Ai fini della presente Linea guida, si intende per:. il soggetto che dichiara di esercitare la responsabilità genitoriale per la richiesta dell’identità del minore;. Genitore non richiedente. altro soggetto che esercita la responsabilità genitoriale e che fornisce il consenso per la gestione dell’identità digitale del minore da parte del genitore;. IdP. il gestore dell’identità digitale SPID che rilascia, conformemente alle presenti Linee guida, l’identità digitale SPID al minore;. SP. il fornitore di servizi accessibili con SPID;. Notifica push. messaggio istantaneo che, su richiesta del minore, l’IdP invia al genitore. ...
-
AGID
6. Fruibilità dei servizi dedicati ai minori
Non si rilevano rischi residui. 6.2.1. Contromisure. N.A ...
-
AGID
1. Esigenza, scopo e caratteristiche delle Linee guida
SPID è uno strumento che può essere utilizzato anche per proteggere i minori, in quanto consente sia l’accesso ai servizi in rete in modalità anonima sia la selezione dei relativi fruitori in base all’età. Le presenti Linee guida operative hanno ad oggetto il rilascio dell’identità digitale ai minori e le relative modalità di utilizzo per l’accesso ai servizi online. Non sono emesse ai sensi dell’art. 71 del D. Lgs. 82/2005 (di seguito CAD) e definiscono, nel rispetto della normativa in materia e delle vigenti Linee guida di primario riferimento in ambito SPID, le modalità operative che i gestori dell’identità digitale e i fornitori di servizi online dovranno porre in essere al fine di poter consentire ai minori la fruizione, in piena sicurezza, di servizi in rete. I gestori delle identità SPID e i fornitori di servizi, che intendono rispettivamente rilasciare o utilizzare l’identità digitale dei minori, si attengono alle presenti Linee guida. ...
-
AGID
9. Considerazioni finali
Nessuno. 9.2.1. Contromisure. N.A ...
-
AGID
7.4. Errori
In caso di errore, l’OP restituisce un codice HTTP 401 con un JSON nel body avente gli elementi di seguito indicati. Esempio:. { "error": "invalid_client", "error_description: "client_id non riconosciuto." }. Descrizione. Valori ammessi. Error. Codice dell’errore (v. tabella sotto). error_description. Descrizione più dettagliata dell’errore, finalizzata ad aiutare lo sviluppatore per eventuale debugging. Questo messaggio non è destinato ad essere visualizzato all’utente (a tal fine si faccia riferimento alle Linee Guida UX SPID). Di seguito i codici di errore:. Codice errore. Il client_id indicato nella richiesta non è riconosciuto. invalid_client. Il parametro grant_type contiene un valore non corretto. unsupported_grant_type. I parametri grant_type, code, code_verifier, access_token non sono validi. invalid_grant. La richiesta non è valida a causa della mancanza o della non correttezza di uno o più parametri. invalid_request. L’OP ha riscontrato un problema interno. server_error. L’OP ha riscontrato un problema interno temporaneo. temporarily_unavailable. Riferimenti:. http://openid.net/specs/openid-connect-core-1_0.html#TokenErrorResponse. ...
-
AGID
7.3. ID Token
L’ID Token è un JSON Web Token (JWT) che contiene informazioni sull’utente che ha eseguito l’autenticazione. I Client devono eseguire la validazione dell’ID Token. Esempio di ID Token:. { "iss": "https://rp.spid.agid.gov.it/", "sub": "OP-1234567890", "aud": "https://op.spid.agid.gov.it/auth", "acr": "https://www.spid.gov.it/SpidL2", "at_hash": "qiyh4XPJGsOZ2MEAyLkfWqeQ", "iat": 1519032969, "nbf": 1519032969, "exp": 1519033149, "jti": "nw4J0zMwRk4kRbQ53G7z", "nonce": "MBzGqyf9QytD28eupyWhSqMj78WNqpc2" }. Descrizione. Validazione. Iss. Identificatore dell’OP che lo contraddistingue univocamente nella federazione nel formato Uniform Resource Locator (URL). Il client è tenuto a verificare che questo valore corrisponda all’OP chiamato. Sub. Per il valore di questo parametro fare riferimento allo standard “OpenID Connect Core 1.0”, paragrafo 8.1. “Pairwise Identifier Algorithm”. Aud. Contiene il client ID. Il client è tenuto a verificare che questo valore corrisponda al proprio client ID. Acr. Livello di autenticazione effettivo. Può essere uguale o superiore a quello richiesto dal client nella Authentication Request. at_hash. Hash dell’Access Token; il suo valore è la codifica base64url della prima metà dell’hash del valore access_token, usando l’algoritmo di hashing indicato in alg nell’header dell’ID Token. Il client è tenuto a verificare che questo valore corrisponda all’access token restituito insieme all’ID Token. Iat. Data/ora di emissione del token in formato UTC. Nbf. Data/ora di inizio validità del token in formato UTC. Deve corrispondere con il valore di iat. {. userinfo: {…}. id_token: {. acr: {…},. nbf: { essential: true},. jti: { essential: true }. }. }. Exp. Data/ora di scadenza del token in formato UTC, secondo le modalità definite dall’Agenzia per l’Italia Digitale. Jti. Identificatore unico dell’ID Token che il client più utilizzare per prevenirne il riuso, rifiutando l’ID Token se già processato. Deve essere di difficile individuazione da parte di un attaccante e composto da una stringa casuale. Nonce. Stringa casuale generata dal Client per ciascuna sessione utente ed inviata nell’Authentication Request (parametro nonce), finalizzata a mitigare attacchi replay. Il client è tenuto a verificare che coincida con quella inviata nell’Authentication Request. Riferimenti:. https://openid.net/specs/openid-igov-openid-connect-1_0-02.html#rfc.section.3.1. ...
-
AGID
7.1. Request
Esempio di richiesta con authorization code (caso 1):. client_id=https%3A%2F%2Frp.spid.agid.gov.it&. client_assertion=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWI iOiIxMjM0NTY3ODkwIiwibmFtZSI6IlNQSUQiLCJhZG1pbiI6dHJ1ZX0.LVyRDPVJm0S9 q7oiXcYVIIqGWY0wWQlqxvFGYswLF88&. client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-as sertion-type%3Ajwt-bearer&. code=usDwMnEzJPpG5oaV8x3j&. code_verifier=9g8S40MozM3NSqjHnhi7OnsE38jklFv2&. grant_type=authorization_code. Esempio di richiesta con refresh token (caso 2):. client_id=https%3A%2F%2Frp.spid.agid.gov.it&. client_assertion=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWI iOiIxMjM0NTY3ODkwIiwibmFtZSI6IlNQSUQiLCJhZG1pbiI6dHJ1ZX0.LVyRDPVJm0S9 q7oiXcYVIIqGWY0wWQlqxvFGYswLF88&. client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-as sertion-type%3Ajwt-bearer&. grant_type=refresh_token&. refresh_token=8xLOxBtZp8. Descrizione. Valori ammessi. Obbligatorio. client_id. URI che identifica univocamente il RP come da Registro SPID. SI. client_assert ion. JWT firmato con la chiave privata del Relying Party contenente i seguenti parametri:. iss: Identificatore del RP registrato presso gli OP e che contraddistingu e univocamente l’entità nella federazione nel formato Uniform Resource Locater (URL); corrisponde al client_id usato nella richiesta di autenticazione. sub: uguale al parametro iss. aud: URL del Token Endpoint dell’OP. iat: data/ora in cui è stato rilasciato il JWT in formato UTC. exp: data/ora di scadenza della request in formato UTC. jti: Identificatore univoco per questa richiesta di autenticazione, generato dal client casualmente con almeno 128bit di entropia. iat: secondo le modalità definite dall’Agenzia per l’Italia Digitale. exp: secondo le modalità definite dall’Agenzia per l’Italia Digitale. SI. client_assert ion_type. Deve assumere il seguente valore:. urn:ietf:para ms:oauth:client -assertion-type :jwt-bearer. SI. Code. Codice di autorizzazione restituito nell’Authentica tion response. Solo se grant_type è authorization _code. code_verifier. Codice di verifica del code_challenge (v paragrafo 5.2). Solo se grant_type è authorization _code. grant_type. Tipo di credenziale presentata dal Client per la richiesta corrente. Può assumere uno dei seguenti valori:. authorization _code. refresh _token. SI. refresh_token. Solo se grant_type è refresh_token. ...
-
AGID
11. Sessioni lunghe revocabili
Per applicazioni mobili in cui l’RP intenda offrire un’esperienza utente che non passi per il reinserimento delle credenziali SPID ad ogni avvio, è possibile beneficiare di sessioni lunghe revocabili. ...