Pubblica Amministrazione e Sistemi IAM: Sicurezza e Controllo degli Accessi
Sicurezza Digitale nella PA: i sistemi IAM per un Controllo degli Accessi Efficace
La Gestione delle Identità e degli Accessi (IAM) rappresenta un elemento fondamentale nella sicurezza informatica per la pubblica amministrazione, dove la protezione dei dati sensibili e un’efficace gestione degli accessi rivestono un ruolo cruciale.
A conferma di ciò, all’interno della pubblica amministrazione, l’IAM permette di:
- Gestire le identità digitali dei dipendenti e dei cittadini, assicurando che solo gli utenti autorizzati possano accedere a determinati risorse.
- Assicurare la conformità alle normative sulla protezione dei dati, come la Direttiva NIS2 o il GDPR, attraverso rigorosi controlli sugli accessi.
- Migliorare l’efficienza operativa ottimizzando i processi di provisioning e deprovisioning degli utenti.
Grazie all’automazione della gestione delle identità, le soluzioni IAM possono migliorare la conformità normativa, ridurre i rischi di accessi non autorizzati, ottimizzando così i processi operativi.
Quali settori possono maggiormente beneficiare dall’utilizzo di Sistemi IAM
L’adozione di Sistemi di Identity and Access Management (IAM) può potenzialmente offrire vantaggi significativi in diversi settori, con particolare riferimento a quelli che gestiscono dati e infrastrutture critiche.
Alcuni tra i settori che beneficiano maggiormente di queste soluzioni sono:
- Sanità pubblica
- Protezione dei dati sanitari (cartelle cliniche elettroniche, fascicolo sanitario elettronico).
- Controllo degli accessi per medici, infermieri e pazienti nei sistemi ospedalieri e di telemedicina.
- Finanze e Agenzia delle Entrate
- Gestione degli accessi ai dati fiscali dei cittadini e delle imprese.
- Protezione dei sistemi di pagamento elettronico e delle transazioni governative.
- Autenticazione sicura per operatori finanziari e contribuenti tramite SPID, CIE e CNS.
- Giustizia e forze dell’ordine
- Controllo rigoroso degli accessi ai database e procedimenti legali.
- Protezione delle informazioni riservate nei tribunali e nelle forze dell’ordine.
- Autenticazione sicura di tutti gli utenti.
Non solo questi, ma molti altri sono utenti dei servizi offerti dai sistemi IAM, che traggono vantaggio anche dalle nuove modalità di autenticazione e identificazione degli utenti, più sicure e avanzate..
Pubblica Amministrazione e NIS2: Come l’IAM Garantisce Sicurezza e Conformità
Una delle principali sfide dei sistemi IAM è garantire servizi conformi a una normativa in continua evoluzione nel campo della cybersicurezza. In questo contesto, i sistemi IAM svolgono un ruolo cruciale nel consentire agli enti pubblici di aderire pienamente a regolamenti come la Direttiva NIS 2.
Questo supporto alla conformità normativa si concretizza attraverso una serie di iniziative mirate a garantire una piena compliance, tra cui:
- Autenticazione forte e Zero Trust Security: La NIS2 impone l’adozione di misure di autenticazione robuste, come l’autenticazione a più fattori (MFA). In risposta a questa esigenza, i sistemi IAM favoriscono l’implementazione del modello Zero Trust, che prevede una verifica continua prima di ogni accesso, garantendo una sicurezza perimetrale e una gestione accurata delle identità.
- Monitoraggio e auditing continuo: La conformità alla NIS2 impone la gestione di registri di accesso dettagliati e la capacità di monitorare attività sospette. I sistemi IAM rispondono a questa esigenza mediante l’adozione di strumenti avanzati per la registrazione e il tracciamento delle attività, garantendo una sorveglianza continua e una gestione proattiva della sicurezza.
- Gestione centralizzata delle identità e degli accessi: I sistemi IAM permettono un controllo centralizzato degli utenti, riducendo il rischio di accessi non autorizzati, per garantire la conformità degli enti pubblici alla NIS, che impone misure rigorose per la gestione degli accessi.
Accesso Sicuro nella PA: Yookey con Autenticazione SPID e CIE
La Direttiva NIS 2 (Network and Information Security Directive 2) impone requisiti più stringenti in materia di cybersicurezza per le infrastrutture critiche e i servizi essenziali, tra cui la gestione delle identità digitali e dei sistemi di autenticazione.
L’autenticazione tramite SPID (Sistema Pubblico di Identità Digitale) e CIE (Carta d’Identità Elettronica) rientra nelle strategie per soddisfare tali requisiti, in quanto garantisce un’autenticazione forte , riducendo così il rischio di accessi non autorizzati.
Yookey ID, il servizio Keycloak in modalità SaaS, è già configurato per l’autenticazione tramite SPID e Carta d’Identità Elettronica, consentendo di implementare facilmente l’autenticazione con SPID e CIE su qualsiasi servizio web, garantendo così un processo rapido e sicuro.
per la gestione dei sistemi IAM
E-time certificata come Soggetto aggregatore SPID e CIE
E-time è ufficialmente qualificata come Soggetto Aggregatore di Servizi pubblici e privati per i servizi SPID e Carta di Identità Elettronica (CIE).

Chi sono i Soggetti aggregatori
Come riportato da AgID, i Soggetti aggregatori sono pubbliche amministrazioni o privati che offrono a terzi, soggetti aggregati, la possibilità di rendere accessibili tramite lo SPID i rispettivi servizi.
L’inclusione tra i Soggetti aggregatori ci permette di estendere ulteriormente le nostre soluzioni, aggiungendo nuove funzionalità e un punto di accesso sicuro per i diversi servizi sia pubblici che privati.
A chi si rivolgono i nostri servizi
- Per la Pubblica amministrazione: fornire ai cittadini la possibilità di autenticarsi tramite SPID o CIE ad App o servizi web è obbligatorio. E-time può aiutare tutti i soggetti della PA e i relativi reparti IT a raggiungere gli obiettivi di sicurezza e controllo accessi.
- Per i privati: per le imprese private che vogliono implementare un controllo degli accessi o le aziende IT che forniscono servizi alla Pubblica Amministrazione.
Il servizio Yookey ID
La certificazione di E-time come Soggetto aggregatore ci consente di ampliare le funzionalità di Yookey, la nostra soluzione di Identity & Access Management (IAM) introducendo Yookey ID una soluzione già predisposta per l’autenticazione con SPID e Carta di identità elettronica.
Passkey si aggiunge ai metodi MFA supportati da Yookey
Le Passkey sono l’alternativa alle password e sanciscono definitivamente il passaggio ad un nuovo capitolo della Cyber security questa volta però, Passwordless.
Nonostante i sistemi di autenticazione fino ad ora si siano basati sulle password, nel tempo è diventato chiaro che se da una parte è vero che esse rappresentano una chiave di sicurezza, allo stesso tempo costituiscono anche l’anello debole in tema di sicurezza degli account a causa della loro esposizione agli attacchi di Phishing.
Passkey è un metodo di autenticazione sicuro che si basa su un sistema di riconoscimento (impronta digitale, volto, PIN, sequenza), generato e memorizzato localmente sui dispositivi degli utenti.
Durante il processo di registrazione vengono create due chiavi, una pubblica e una privata che viene cifrata e memorizzata in modo sicuro sul dispositivo dell’utente. Per l’accesso all’account sono necessarie entrambe le chiavi. Questo meccanismo prende il nome di Autenticazione asimmetrica o a chiave pubblica.
Passkey adotta lo Standard WebAuthn o meglio, aderisce e implementa le specifiche tecniche fornite da FIDO2, che includono WebAuthn e CTAP (Client to Authenticator Protocol).
Lo Standard WebAuthn
WebAuthn o Web Authentication è lo standard aperto (framework FIDO2) voluto da FIDO Alliance e World Wide Web Consortium (W3C) con la partecipazione di Google, Mozilla, Microsoft e altri Big, su cui si basano le Passkey.
L’API WebAuthn consente ai server di registrare e autenticare gli utenti utilizzando la crittografia a chiave pubblica anziché una password, garantendo che l’autenticazione funzioni indipendentemente dal sistema operativo del dispositivo, sia esso Android, iOS, Mac o Windows.
Nella maggior parte dei casi il client WebAuthn che implementa l’API di autenticazione è un browser compatibile (attualmente è supportato da tutti i principali browser e dispositivi Android ed Apple).
Perchè Passkey è un'efficace misura contro il Phishing?
Passkey è efficace contro gli attacchi di phishing perché la password unica è memorizzata localmente sul dispositivo dell’utente e non viene mai trasmessa attraverso la rete.
Questo significa che anche se un utente viene indotto a fornire la sua passkey a un sito di phishing, i criminali informatici non saranno in grado di utilizzarla per accedere ai suoi account, poiché la passkey non è valida su altri dispositivi. Ciò rende molto più difficile per gli hacker compromettere l’accesso dell’utente, proteggendo così le sue informazioni personali e finanziarie.
Passkey e FIDO
La nascita di Passkey è legata a doppio filo con FIDO (Fast Identity Online), un’organizzazione che promuove standard aperti per la strong authentication. La FIDO Alliance, è composta dai principali attori del Web come Google, Microsoft e Apple.
L’obiettivo principale di FIDO è aumentare la sicurezza online utilizzando metodi di autenticazione più avanzati, come biometria e crittografia asimmetrica cercando di ridurre la dipendenza dalle password tradizionali (statiche) che indipendentemente dalla loro complessità sono troppo esposte al rischio di furto.
Gli altri metodi MFA supportati da Yookey | Keycloak SaaS
Oltre a Passkey, gli altri metodi di MFA supportati dal nostro servizio Yookey – Keycloak as A Service sono:
- Sms e email
- Virtual Authenticator (Microsoft e Google authenticator)
- Token fisici.
Keycloak per l’Identity e Access Management
Keycloak, la soluzione Open source per la gestione di Identità e Accessi
Keycloak è una piattaforma software open source per la gestione unificata di identità e accessi. Consente ad aziende e organizzazioni di gestire l’autenticazione e l’autorizzazione dei propri utenti, in modo centralizzato e sicuro.
Keycloak è progettato per funzionare con applicazioni e servizi moderni e fornisce una varietà di meccanismi di autenticazione supportando diversi protocolli, tra cui social login, OAuth 2.0, SAML e OpenID Connect.
Un’interfaccia moderna e l’alto livello di scalabilità lo rendono il prodotto ideale per chi vuole optare per una soluzione sicura e al tempo stesso altamente personalizzabile. Ora vediamo più nel dettaglio le sue caratteristiche.

Single Sign On (SSO) & Multi-Factor Authentication (MFA)
Keycloak supporta il Single Sign-On (SSO), che consente agli utenti di accedere a più applicazioni e servizi utilizzando un unico set di credenziali. Ciò semplifica enormemente il processo di accesso per gli utenti e si traduce in una maggiore sicurezza derivante dalla riduzione del numero di password che devono essere ricordate e gestite.
La piattaforma, supporta anche l’autenticazione a più fattori. Ciò fornisce un ulteriore livello di sicurezza chiedendo agli utenti di fornire ulteriori informazioni di autenticazione, (es. codice inviato al proprio telefono), prima di accedere alle risorse.
Funzionamento e installazione
Funziona come un server di autenticazione centrale che delega l’autenticazione alle fonti esterne e fornisce token di accesso per le applicazioni richiedenti. A livello di gestione utenti, prevede la suddivisione in 3 macrocategorie governabili attraverso una dashboard di amministrazione personalizzabile:
- Utenti: coloro che possono accedere alle risorse.
- Ruoli: utilizzati per definire i livelli di accesso dei singoli utenti.
- Gruppi: permettono di gestire in modo rapido i diversi ruoli presenti, creando delle aggregazioni tra ruoli e utenti.
Keycloak supporta più archivi utente, inclusi LDAP e Active Directory, così da permettere l’utilizzo delle directory esistenti per l’autenticazione degli utenti. Può essere implementato on-premise, in cloud o come soluzione ibrida, fornendo un’architettura flessibile con un alto grado di scalabilità.
Caratteristiche e Vantaggi
- Single Sign-On (SSO): consente agli utenti di accedere a più applicazioni e servizi utilizzando con un unico set di credenziali.
- Identity brokering: Convalida dell’identità tramite OpenID Connect o SAML 2.0 IdPs.
- Gestione centralizzata: interfaccia personalizzabile per la gestione di utenti, ruoli e autorizzazioni.
- Autenticazione a più fattori: richiede agli utenti di fornire ulteriori informazioni di autenticazione prima di accedere alle risorse.
- Integrazione con le directory: Integrazione con LDAP e Active directory per l’autenticazione attraverso directory esistenti.
- Scalabilità: Facilmente estendibile in base alle diverse esigenze.
Keycloak: integrazioni
Keycloak dispone di una serie di API che permettono l’integrazione della piattaforma con servizi e sistemi di terze parti ed è quindi una soluzione estremamente versatile nata per essere integrata nell’infrastruttura IT di aziende di qualsiasi dimensione.
Inoltre, sono già stati predisposti plugin per l’integrazione di Keycloak con SPID, CieID e CNS (Carta Nazionale dei Servizi)
Keycloak in SaaS
È possibile avere Keycloak anche in SaaS, con un servizio completamente gestito.
Yookey è il nostro prodotto/servizio attraverso il quale si possono sfruttare tutti i vantaggi di Keycloak, senza dover pensare agli oneri di installazione e aggiornamenti, oltre al vantaggio di poter contare su un servizio di Supporto in italiano.
Yookey garantisce massima sicurezza per i processi di accesso e autenticazione con Single Sign-On e una volta implementato nell’ambiente IT, non ci sarà bisogno di sostenere alcuno sforzo aggiuntivo per il funzionamento e la manutenzione del software.
Ulteriori informazioni sul prodotto Yookey potete trovarle anche sul sito dedicato, a questo link: Yookey – Keycloak SaaS.