Il ruolo del Responsabile della verifica dell’identità (RAO)
Da quando lo SPID (Sistema Pubblico d’Identità Digitale) è stato reso obbligatorio dal Decreto Semplificazioni del luglio 2020, si sono resi necessari nuovi sistemi di verifica. Da settembre 2021, infatti, non è più consentito l'accesso ai servizi online degli enti pubblici e della Pubblica Amministrazione (quali INPS o Agenzia delle Entrate), se non tramite SPID, CIE o CNS, anche per richiedere indennità o agevolazioni. Questo ha portato lo Spid a diventare uno strumento indispensabile per il cittadino, che può richiederlo presso uno sportello delle PA, previo riconoscimento. Poi gli verrà inviato via email un token (un file) per poter ottenere lo Spid presso uno dei vari gestori che si occupano del sistema.
Riguardo lo Spid troviamo quindi la figura del RAO, ovvero il Responsabile della verifica dell'identità (Registration Authority Office), ovvero la pubblica amministrazione che può decidere di verificare personalmente tramite i suoi uffici l’identità personale del cittadino, al fine di permettere l'attivazione dello SPID. In pratica, è una sottoscrizione da parte del RAO a garantire l'affidabilità del token utilizzabile dal cittadino presso il gestore di identità prescelto.
Sono quindi le stesse pubbliche amministrazioni a poter far richiesta per svolgere questo incarico, compilando l'apposita richiesta del certificato X.509, ed inviandola tramite PEC a protocollo@per.agid.gov.it (oggetto: SPID-Adesione RAO pubblico), come previsto dalle Linee Guida. In relazione alla richiesta, gli allegati Token RAO pubblico e Token RAO tabella messaggi sono da visionare con attenzione, e si possono trovare nel sito AgID.
Per permettere alle PA interessate di prendersi carico di questa mansione e svolgerla presso i propri sportelli pubblici, l'AgID ha pubblicato delle apposite Linee Guida riguardo il modello di RAO pubblico. Il RAO pubblico ha a disposizione due modelli di riferimento che può rendere disponibili all'utente (uno o entrambi):
- il token sigillato è inviato all’utente via email all’indirizzo di posta elettronica indicato;
- l’operatore informa l’utente della possibilità di scegliere il proprio IdP Identity Provider a sportello, nel qual caso viene inviato all’IdP prescelto il token sigillato.
In base al modello che viene scelto si avrà una specifica modalità di rilascio per ottenere l'identità digitale. Tramite il sito dell'IdP, l'utente sceglie la modalità di rilascio con identificazione tramite P.A. poi, nel caso sia applicabile il modello di riferimento, si inserisce il codice fiscale. In questo modo, l'IdP potrà recuperare il token sigillato personale o eseguire l'upload del proprio token sigillato personale. Il token ha un periodo di validità; l'IdP potrà verificarne il sigillo per poi fare richiesta della passphrase per decifrare il token stesso.