E’ arrivato il parere da parte del Garante della Privacy sulle nuove modalità di rilascio dell’identità digitale attraverso il riconoscimento da remoto: positivo ma con la richiesta di un test di doppio controllo.
La nuova modalità di rilascio dell’identità digitale
L’Agenzia Italiana per il digitale (Agid) ha introdotto una nuova procedura per il rilascio dell’identità digitale che non prevede più la presenza contestuale del richiedente e dell’operatore dello Spid (Sistema pubblico per la gestione dell’identità digitale di cittadini e imprese). Mentre prima i gestori Spid richiedevano, ai fini della registrazione, di presentarsi fisicamente presso i propri uffici oppure, in caso di richiesta da remoto, la presenza fisica dell’operatore dell’help desk contestuale alla richiesta, secondo la nuova modalità di rilascio dell’identità digitale, il richiedente, dopo una prima registrazione sul sito dello Spid, dovrà avviare una sessione automatica audio-video durante la quale dovrà mostrare il proprio documento d’identità e la tessera sanitaria (o il tesserino del codice fiscale). A differenza di prima, dall’altra parte dello schermo non sarà più presente l’operatore ma il flusso audio-video verrà registrato.
Al fine di evitare furti di identità, il richiedente dovrà, inoltre, durante la procedura di registrazione, leggere un codice OTP ricevuto sul cellulare personale tramite sms o apposita applicazione. Infine verrà richiesto il pagamento del bonifico da un conto corrente italiano intestato o cointestato allo stesso richiedente, inserendo come causale un ulteriore codice precedentemente ricevuto. Tutte queste informazioni saranno sottoposte a successiva verifica dall’addetto all’help desk ai fini del rilascio dell’identità digitale.
Le richieste del Garante
Come ulteriore garanzia, il Garante ha richiesto che vengano effettuati ulteriori controlli a campione delle richieste di identità digitale, facendo verificare la registrazione audio-video ad un secondo operatore. Al termine dei sei mesi previsti per il test, viene richiesto ad Agid l’invio al Garante di un report ai fini della verifica dell’efficacia del doppio controllo.
Inoltre, l’Agid dovrà inviare al Garante report settimanali, elaborati dai gestori Spid, relativi alle richieste respinte per profili critici potenzialmente configurabili come tentativi fraudolenti, dati utili per valutare eventuali ulteriori misure di sicurezza necessarie.
Fonte: Il Sole 24 Ore