Risultati
84 risultati
-
AGID
Basi giuridiche
L’articolo 1, comma 1, lett. m), decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 definisce i gestori di attributi qualificati (AA) come:. […] i soggetti accreditati ai sensi dell’articolo 16 che hanno il potere, in base alle norme vigenti, di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi. Tali attributi qualificati sono definiti, all’articolo 1, comma 1, lett. e), decreto del Presidente del Consiglio dei ministri 24 ottobre 2014, come:. […] le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati. L’articolo 16, comma 3, prevede che:. Su richiesta degli interessati, sono accreditati di diritto i seguenti gestori di attributi qualificati:. a) il Ministero dello Sviluppo Economico in relazione ai dati contenuti nell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti di cui all’articolo 6-bis del CAD;. b) i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all’attestazione dell’iscrizione agli albi professionali;. c) le camere di commercio, industria, artigianato e agricoltura per l’attestazione delle cariche e degli incarichi societari iscritti nel registro delle imprese;. d) l’Agenzia in relazione ai dati contenuti nell’indice degli indirizzi della pubblica amministrazione (IPA) e dei gestori di pubblici servizi di cui all’articolo 6-ter del CAD. L’articolo 64 del CAD, come modificato dal decreto semplificazioni, garantisce il diritto dei cittadini di accedere ai servizi online con lo SPID e con la CIE. Pertanto, la fruizione dei servizi derivanti dalle seguenti linee guida devono essere garantiti anche ai cittadini che utlizzano la CIE (in seguito, federazione CIE) per l’accesso ai servizi in rete ...
-
AGID
Termini e definizioni
Ai fini delle presenti Linee guida, oltre ad applicarsi le definizioni di cui all’articolo 1 del CAD, si intende per:. Attributi qualificati : le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati, ivi compresi i dati relativi al possesso di abilitazioni o autorizzazioni richieste dalla legge ovvero stati, qualita” personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche, secondo le modalita” stabilite da AgID con Linee guida. Gestori di attributi qualificati: i soggetti accreditati ai sensi dell’art. 16 del DPCM 24 0ttobre 2014 che hanno il potere di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi;. Registro SPID : elenco dei soggetti appartenenti alla federazione SPID, disponibile su internet all’indirizzo https://registry.spid.gov.it che pubblica, per ciascuno di essi, le informazioni pubbliche di pertinenza per lo schema, come ad esempio il codice IPA e il campo entityId;. Regolamento eIDAS : Regolamento (UE) N°910/2014 del Parlamento Europeo e del Consiglio, del 23 luglio 2014, in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE;. Regolamento GDPR : Regolamento (UE) N°679/2016 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE;. Richiesta di autenticazione : l’evidenza informatica con la quale un SP richiede l’avvio di una sessione di autenticazione presso un IDP (cioè l’authentication request nei contesti SAML e OIDC);. Richiesta di attributi : l’evidenza informatica con la quale un SP richiede a un’AA uno o più attributi qualificati di un soggetto;. Risposta di autenticazione : l’evidenza informatica con la quale un IDP comunica i dati personali, o il diniego a fornirli, presso un SP (response nel contesto SAML; user-info o id token nel contesto OIDC);. Risposta di attributi : l’evidenza informatica con la quale un’AA comunica a un SP uno o più attributi qualificati (cd. attestazione di attributo), ovvero il diniego a fornirli; ...
-
AGID
Acronimi e abbreviazioni
Di seguito si riportano gli acronimi e le abbreviazioni che verranno utilizzati nella presente Linee Guida:. PA : Pubblica Amministrazione;. AA : attribute authority (gestori di attributi qualificati);. CA : certificate authority;. CAD : D.Lgs. 7 marzo 2005 N°82, Codice dell’Amministrazione Digitale, e s.m.i. OIDC : OpenID Connect;. OAS3 : OpenAPI Specification (OAS), versione 3.0;. CF : codice fiscale;. CIE : Carta di Identità Elettronica;. IDP : identity provider;. JSON : JavaScript Object Notation, come previsto dalla norma RFC-8259;. JWT : pacchetto JSON (JSON Web Token), come previsto dalla norma RFC-7797;. JWE : JWT cifrato, come previsto dalla norma RFC-7516;. JWS : JWT firmato, come previsto dalla norma RFC-7515;. OAS3 : si veda OpenAPI;. OIDC : standard OpenID Connect pubblicato da OpenID® Foundation;. IPA : indice degli indirizzi della pubblica amministrazione;. PKI : Public Key Infrastructure (infrastruttura a chiave pubblica), basata su certificati elettronici conformi a RFC-5280;. QTSP : prestatore di servizi fiduciari qualificati ai sensi del regolamento eIDAS;. QSEAL : sigillo elettronico avanzato, come da regolamento eIDAS;. SAML : standard Security Assertion Markup Language, versione 2.0, pubblicato da OASIS;. SP : fornitore di servizi nella federazione SPID, ovvero service provider nel contesto SAML, ovvero relying party nel contesto OIDC;. SPID : Sistema Pubblico di Identità Digitale, introdotto con il DPCM del 24 ottobre 2014, articolo 4, comma 2 e successive modificazioni; ...
-
AGID
Riferimenti Normativi
Sono riportati di seguito gli atti normativi di riferimento del presente documento. [D.Lgs. 82/2005] Decreto legislativo 7 marzo 2005, n. 82 recante “Codice dell’amministrazione digitale”; NOTA – Il D. Lgs. 82/2010 è noto anche con l’abbreviazione “CAD” ...
-
AGID
Standard di riferimento
Sono riportati di seguito gli standard tecnici di riferimento per l’applicazione del presente documento. [RFC-7515] JSON Web Signature (JWS). [SAMLcore] Security Assertion Markup Language (SAML) v2.0 ...
-
AGID
Linee guida di riferimento
Di seguito sono elencate le Linee Guida e le Regole Tecniche emesse dall’AGID che verranno richiamate nel presente documento:. Linee guida contenenti Regole tecniche relative all’uso di OpenID® Connect nella federazione SPID;. Linee guida contenenti Regole tecniche circa la sottoscrizione elettronica di documenti mediante SPID ex art. 20 del CAD ...
-
AGID
Sommario
Capitolo 1 Prefazione 4. Capitolo 2 Introduzione 5. 2.1 Scopo 5. 2.2 Struttura 5. 2.3 Gruppo di lavoro 5. 2.4 Soggetti destinatari 6. Capitolo 3 Sigle e Riferimenti 7. 3.1 Riferimenti Normativi 7. 3.2 Standard di riferimento 7. 3.3 Linee guida di riferimento 7. 3.4 Termini e definizioni 8. 3.5 Acronimi e abbreviazioni 10. 3.6 Basi giuridiche 11. Capitolo 4 Descrizione d’insieme 12. 4.1 Attributi qualificati 12. 4.2 Convenzioni 13. 4.3 Attestazione di attributo 13. 4.4 Tipologie di richiesta 14. 4.4.1 Richieste puntuali 15. 4.4.2 Richieste continuative 15. Capitolo 5 Specifiche di funzionamento 17. 5.1 Flusso applicativo senza necessità del consenso dell’utente 17. 5.2 Flusso applicativo che richiede il consenso dell’utente 18. 5.3 Infrastruttura a chiave pubblica (pki) e trust model 19. 5.4 Servizio di consultazione per l’utente 19. 5.5 Registro delle Attribute Authority 20 ...
-
AGID
Introduzione
I soggetti destinatari delle presenti LG sono i soggetti gestori di attributi qualificati, ovvero, potenzialmente, tutti i soggetti che in base ad una norma hanno il potere di attestare qualifiche, stati personali, poteri di persone fisiche ...
-
AGID
Descrizione d’insieme
Le singole AA definiscono nelle proprie specifiche OAS3, conformi alle indicazioni delle LL.GG. Interoperabilità, emanate da Agid, quali siano gli elementi obbligatori che i SP devono inserire nelle richieste. Fermo restando l’uso esclusivo delle specifiche OAS3, esclusivamente per la AA che gestisce le deleghe, amministrazioni di sostegno e tutele, può, in prima istanza, essere utilizzata l’interfaccia SAML come normato nello specifico allegato delle presenti LG. Ogni richiesta di attributi qualificati si caratterizza per:. identificazione del soggetto;. sincronicità della richiesta di attributi qualificati: puntuale o continuativa;. verifica della necessità di rilascio del consenso da parte dell’utente alla fornitura di attributi qualificati. Le interrogazioni alle AA sono caratterizzate dalla tipologia dei dati richiesti, da cui discende l’obbligatorietà da parte delle AA di acquisire o meno il consenso dell’interessato alla comunicazione dei propri dati al richiedente (punto a). Per ottenere tale consenso può essere necessario che la stessa AA acquisisca il consenso dall’interessato. In altri casi, invece, è possibile che l’AA preveda che il consenso sia raccolto dal SP. I SP possono richiedere dati personali nei casi previsti dalla norma con particolare riferimento al GDPR e al codice privacy. Qualunque sia la tipologia di identificazione, l’AA decide se (punto c):. gli attributi qualificati possono essere inviati al SP previo consenso acquisito dal SP o in assenza dello stesso consenso. è necessario richiedere all’ utente il consenso esplicito per l’invio dei dati al SP. É prevista (punto b), la possibilità per il SP di richiedere gli attributi qualificati una tantum (richieste puntuali), o di effettuare più richieste dei medesimi attributi in automatico nell’arco di un periodo di lunga durata (richieste continuative). Richieste puntuali. La richiesta di attributi qualificati è puntuale quando, se accolta, viene seguita da un’unica immediatamente “sincrona” risposta di attributi da parte dell’AA. Richieste continuative. Le AA possono prevedere richieste continuative. La richiesta di attributi qualificati è continuativa quando, se accolta, un SP indirizza ad una AA, relativamente agli stessi attributi qualificati iniziali, molteplici richieste “asincrone” di attributi, all’interno di una finestra temporale reciprocamente concordata tra SP, AA e utente. Tale finestra temporale non potrà in nessun caso essere superiore ad un periodo ininterrotto di 12 mesi. La richiesta continuativa è costituita da un consenso di lunga durata, inizialmente proposto dal SP all’AA che, qualora il consenso sia accordato, valuta se ammetterne la continuità o meno. L’AA può ritenere la durata eccessiva e, nel caso, ridurre la finestra temporale a un periodo inferiore rispetto a quanto proposto dal SP. Nel caso in cui il consenso di lunga durata sia ammissibile da parte dell’AA, quest’ultima richiede all’utente di accettare esplicitamente la finestra temporale, eventualmente abbreviata dall’AA. L’utente può decidere se:. negare tale richiesta continuativa (e quindi negare il consenso a fornire gli attributi qualificati in oggetto),. convertire la richiesta in una richiesta puntuale, oppure. ridurre ulteriormente la durata della finestra temporale a un qualunque periodo inferiore di propria scelta. Una volta acquisito il consenso, il SP può inviare all’AA delle richieste asincrone limitatamente agli attributi per cui è stata autorizzata la trasmissione, durante il periodo concordato, senza che intervenga alcun ulteriore processo di autenticazione o autorizzazione da parte dell’utente. All’approssimarsi della scadenza del periodo concordato l’AA può informare l’utente dell’opportunità di rinnovare o estendere tale periodo per ulteriori 12 mesi privi di interruzioni . Il consenso di lunga durata può avere profonde implicazioni in merito alla minimizzazione dei dati personali. Per tale motivo è sempre richiesto nel rispetto di quanto previsto dai considerando 71, 78 e 156 e dall’articolo 5, comma 1,lett. c) del Regolamento GDPR ...
-
AGID
Specifiche di funzionamento
L’articolo 16, comma 2, decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 prevede che “L’Agenzia inserisce in un apposito registro, accessibile da parte dei fornitori di servizi, le tipologie di dati resi disponibili da ciascun gestore di attributi qualificati”. Presso il registro SPID è pubblicato un registro delle AA. Per le AA basate su OAS3, nel registro SPID è reso disponibile il relativo documento OpenAPI. Per la AA che gestisce le deleghe, amministrazioni di sostegno e tutele è reso disponibile un apposito metadata la cui struttura è pubblicata da AgID con apposito Avviso ...
-
AGID
Prefazione
Conformemente alle norme ISO/IEC Directives, Part 3 per la stesura dei documenti tecnici la presente linea guida utilizzerà le parole chiave «DEVE», «DEVONO», «NON DEVE», «NON DEVONO», «E’ RICHIESTO», «DOVREBBE», «NON DOVREBBE», «RACCOMANDATO», «NON RACCOMANDATO» «PUO”» e «OPZIONALE», la cui interpretazione è descritta di seguito. NON DEVE o NON DEVONO, indicano un assoluto divieto delle specifiche;. DOVREBBE o RACCOMANDATO o NON DOVREBBE o NON RACCOMANDATO, indicano che le implicazioni devono essere comprese e attentamente pesate prima di scegliere approcci alternativi;. PUÓ o POSSONO o l’aggettivo OPZIONALE, indica che il lettore può scegliere di applicare o meno senza alcun tipo di implicazione la specifica. ...
-
AGID
Sigle e Riferimenti
L’articolo 1, comma 1, lett. m), decreto del Presidente del Consiglio dei ministri 24 ottobre 2014 definisce i gestori di attributi qualificati (AA) come:. […] i soggetti accreditati ai sensi dell’articolo 16 che hanno il potere, in base alle norme vigenti, di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi. Tali attributi qualificati sono definiti, all’articolo 1, comma 1, lett. e), decreto del Presidente del Consiglio dei ministri 24 ottobre 2014, come:. […] le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati. L’articolo 16, comma 3, prevede che:. Su richiesta degli interessati, sono accreditati di diritto i seguenti gestori di attributi qualificati:. a) il Ministero dello Sviluppo Economico in relazione ai dati contenuti nell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti di cui all’articolo 6-bis del CAD;. b) i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all’attestazione dell’iscrizione agli albi professionali;. c) le camere di commercio, industria, artigianato e agricoltura per l’attestazione delle cariche e degli incarichi societari iscritti nel registro delle imprese;. d) l’Agenzia in relazione ai dati contenuti nell’indice degli indirizzi della pubblica amministrazione (IPA) e dei gestori di pubblici servizi di cui all’articolo 6-ter del CAD. L’articolo 64 del CAD, come modificato dal decreto semplificazioni, garantisce il diritto dei cittadini di accedere ai servizi online con lo SPID e con la CIE. Pertanto, la fruizione dei servizi derivanti dalle seguenti linee guida devono essere garantiti anche ai cittadini che utlizzano la CIE (in seguito, federazione CIE) per l’accesso ai servizi in rete ...