LOGIN
In Breve (TL;DR)
- Ogni accesso con SPID genera log tecnici per garantire sicurezza e tracciabilità: l'Identity Provider registra dati come data, ora, indirizzo IP, dispositivo e metodo di autenticazione.
- Le operazioni effettuate all'interno del servizio sono registrate solo dal Service Provider, che conserva i log per 24 mesi secondo la normativa vigente.
Nel percorso di digitalizzazione del nostro Paese, il Sistema Pubblico di Identità Digitale (SPID) è diventato uno degli strumenti più utilizzati per dialogare con la Pubblica Amministrazione e con un numero crescente di servizi privati.
Tuttavia, l'uso quotidiano di questo strumento solleva spesso degli interrogativi sulla privacy, con gli utenti che si chiedono dove vanno a finire i loro dati ogni volta che effettuano un login.
Il sistema è stato progettato per essere sicuro e tracciabile ma comunque ogni accesso con SPID lascia inevitabilmente una traccia tecnica con le informazioni che vengono separate tra chi fornisce l'identità e chi offre il servizio finale.
Quali dati registra un accesso SPID
Quando si effettua l’accesso con SPID, l'Identity Provider (il gestore privato o pubblico con cui abbiamo attivato l’identità digitale, come Poste, Aruba o InfoCert) si occupa essenzialmente di verificare l’identità dell'utente.
Per garantire la sicurezza della transazione e prevenire furti d'identità, il gestore registra nei propri server una serie di parametri tecnici come, ad esempio, la data e l'ora esatta del tentativo di accesso, il livello di sicurezza richiesto e l'esito dell'operazione.
Oltre a questo, il sistema archivia l'indirizzo IP da cui parte la richiesta, il tipo di dispositivo utilizzato (smartphone o PC), il browser utilizzato e lo strumento usato per confermare l'identità (come l'invio di un codice OTP tramite SMS o l'approvazione della notifica dell'applicazione ufficiale).
Chi può vedere cosa fa l’utente dopo il login con SPID
Il punto cruciale del discorso sulla tutela della privacy riguarda la separazione dei ruoli tra chi autentica l'utente e il portale di destinazione. L'architettura dello SPID, infatti, è molto sicura in modo da evitare che un unico soggetto possa ricostruire l'intero comportamento online di una persona.
In tal senso, possiamo dire che l’Identity Provider sa dove entrano gli utenti, ma non sa cosa fanno. Quindi se un utente entra, ad esempio, sul sito dell'INPS o dell'Agenzia delle Entrate il provider non ha alcun modo di vedere le azioni successive al login.
Il Service Provider (cioè l'ente o l'azienda che eroga il servizio, come il portale del Comune, della Regione, l'INPS, ecc) registra l'attività interna. Importante ricordare, però, che questo soggetto riceve solo i dati anagrafici minimi necessari all'erogazione del servizio e, da quel momento, registra autonomamente tutte le operazioni svolte all'interno del proprio ecosistema.
Secondo la legge e per motivi di sicurezza nazionale, il Service Provider ha l'obbligo di conservare questi log di attività per un periodo di 24 mesi, pronti a essere esibiti esclusivamente su richiesta formale dell'Autorità Giudiziaria in caso di indagini per frode o reati informatici.
Domande frequenti (FAQ)
-
Quali dati registra un accesso SPID?L'Identity Provider registra parametri tecnici come data, ora, livello di sicurezza, esito operazione, indirizzo IP, dispositivo, browser e strumento di identificazione.
-
Chi può vedere cosa fa l’utente dopo il login con SPID?L'Identity Provider sa dove si accede ma non cosa si fa dopo il login. Il Service Provider registra l'attività interna, ma riceve solo dati anagrafici minimi e conserva i log per 24 mesi per fini di sicurezza nazionale.
