Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

Un anno dopo, un decalogo per lo SPID

Identità digitale - Giovanni Manca* - 20 marzo 2017
Un anno fa, il 15 marzo 2016, il Sistema Pubblico di l'Identità Digitale distribuiva le prime "identità digitali" a cittadini e imprese. Adesso ci chiediamo dove siamo, come ci siamo arrivati, dove dobbiamo andare.

Circa un anno fa scrivevo:

"L'identità digitale ha raggiunto i vent'anni di esistenza. I PIN fiscali e previdenziali hanno aperto l'epoca dei grandi servizi in linea sviluppati per cogliere e utilizzare nella pubblica amministrazione la prima diffusione di Internet. Oggi siamo a un atteso punto di svolta: il PIN, ancora pienamente in vita, ha ceduto un po' di spazio alla Carta Nazionale dei Servizi (CNS) e a breve alla nuova Carta d'Identità Elettronica (CIE).
La novità è il Sistema Pubblico per la gestione dell'Identità Digitale di cittadini e imprese (SPID), che dal 15 marzo 2016 ha iniziato a distribuire le identità digitali tramite i tre gestori di identità accreditati alla data. 
Questo progetto è senz'altro cruciale per un diffuso ed efficace accesso ai servizi in rete di PA e imprese tramite il cosiddetto PIN unico."

Adesso facciamo un'analisi di cosa è successo in un anno in termini di obiettivi dichiarati, risultati ottenuti e prospettive fino alla fine di questo anno 2017.

Stato dell'arte

Alla data del 15 marzo 2016 il sito dell'AgID comunica che in ambito SPID vi sono:
" Amministrazioni attive: 3720
" Gestori dell'identità accreditati: 5
" Servizi disponibili tramite SPID: 4273
" Identità SPID rilasciate: 1.264126 .

In questo anno il sito dedicato a SPID si è arricchito di informazioni sui servizi, sulle amministrazioni che le erogano e su come ottenere/utilizzare le credenziali del servizio.
Non ci sono più informazioni relative a cronoprogrammi, ma applicando l'articolo 14, comma 2 del DPCM 24 ottobre 2014, la pubblica amministrazione aderisce a SPID entro il 17 dicembre 2017, essendo il primo accreditamento datato 18 dicembre 2015.

Naturalmente la pubblica amministrazione che non ha servizi da erogare non ha senso che aderisca a SPID. Inoltre lascia perplessi il fatto che la normativa vigente, anche primaria, non chiarisca se devono aderire a SPID anche le "società a controllo pubblico" alle quali si applica il Codice dell'amministrazione digitale (CAD) dopo le modifiche del 2016 con la novella del decreto legislativo 179. 

Ciò premesso, adesso ripercorriamo il decalogo dopo un anno analizzandolo punto per punto con il metodo indicato nel titolo di questo articolo.

Dieci Regole per SPID

1) SPID esiste: si continua a discutere che si poteva fare meglio o in modi diversi. Come ipotizzato, questa costante incertezza ha determinato incertezze sia per la PA che per i soggetti privati. E' annunciato, ma non disponibile alla data di scrittura, lo schema di convenzione per i soggetti privati che intendono svolgere l'attività di fornitore di servizi.

2) Evoluzione delle Regole di SPID: Le regole di SPID sono state aggiornate, ma ancora non si ha chiarezza ed omogeneità su alcuni temi. Alcuni vuoti normativi di natura tecnica e organizzativa non sono stati colmati. L'articolo 29 del CAD, che ha stabilito nuove regole per l'accreditamento e la vigilanza dei gestori dell'identità (IdP), ha costretto AgID a delle modifiche frettolose di regole. 

3) Un'unica identità SPID: La migrazione del PIN o degli altri strumenti CNS (Carta Nazionale dei Servizi) e CIE (Carta d'Identità Elettronica) verso SPID rimane indefinita. Il Legislatore con la novella al CAD ha anche reso facoltativo l'accesso ai servizi erogati in rete tramite CIE e CNS (art. 64, comma 2-nonies). 

4) SPID deve essere pagato: rimane incerto il modello di business per i soggetti privati che svolgono l'attività di IdP. E' in via di definizione quanto dovuto dai fornitori di servizi per la verifica delle identità da parte degli IdP. Ma da qualche anticipazione che si è colta le cifre annunciate sono elevate e dissuasive per tali soggetti. Rimane ancora non definita la posizione di banche e assicurazioni.

5) SPID è usabile: dopo le numerose critiche alle registrazioni "complicate" da parte degli utenti che dovevano acquisire le credenziali SPID per i bonus ai diciottenni (APP18) e ai docenti, si è aperto un dibattito sul tema. Chi scrive ritiene che una identificazione corretta del titolare sia a carico dello Stato. Ci si registra in rete presso un gestore prescelto e si svolgono le operazioni di riconoscimento "in presenza" presso i comuni, gli sportelli postali e altri uffici pubblici che verificano la nostra identità come ad esempio i CAF ed i patronati.
L'uso della web cam non appare ancora adeguato per riconoscimenti a prova di falso ma è ovviamente da sostenere e migliorare adeguandolo, ad esempio, all'integrazione con gli smartphone di CNS e CIE. 

6) SPID è anti burocratico: la semplificazione amministrativa sviluppata attraverso la Rete deve essere percepita dagli utenti. Oggi abbiamo gli stessi servizi erogati tramite PIN e CNS anche con lo SPID. Questo non stimola la richiesta di queste ultime credenziali.

7) SPID è utile: chi scrive ha utilizzato SPID due volte in un anno. E poteva usare il PIN o la CNS. Lo sviluppo dei servizi, soprattutto di tipo privato, è indispensabile per la diffusione di SPID. Ci si concentra invece sul numero di credenziali rilasciate che poi sono utilizzate una sola volta.

8) SPID piace ai privati: dopo un anno siamo al palo. E iniziano sperimentazioni con CIE e CNS lette tramite smartphone in modalità contactless per i pagamenti in mobilità (NFC) e altro.
Copiare in SPID un po' di Home Banking non sarebbe inutile. 

9) SPID è raggiungibile: è ancora molto elevato il numero di cittadini che non conosce SPID e che non sarebbe in grado di utilizzarlo. E' noto peraltro che solo il 50% circa dei possessori di uno smartphone posseggono competenze anche solo basilari di informatica.

10) SPID è veloce: la diffusione dei servizi conformi a SPID non avviene in modo veloce e differenziato. Il periodo di due anni previsto per le pubbliche amministrazioni ha creato l'effetto oblio e può essere critica l'improvvisa eliminazione dell'accesso tramite PIN. Tutti gli utenti interessati si accalcheranno per le credenziali SPID e si concederà l'ennesima proroga. Naturalmente ci auguriamo che non avvenga.

Considerazioni finali

Giunti al momento di trarre qualche conclusione sull'identità digitale, possiamo dire che ci sono novità all'orizzonte (almeno annunciate). Si tratta della nascita dei gestori degli attributi qualificati indispensabili per associare all'identità la propria professione o appartenenza a categorie professionali. Sono stati razionalizzati i livelli di sicurezza SPID rispetto ai livelli di garanzia richiesti per i servizi in rete. A livello nazionale, infatti, alla stessa tipologia di servizio si accede tramite PIN (SPID livello 1) in una Regione e tramite CNS (pari a uno SPID livello 3) in un'altra. Qualche norma primaria inizia a referenziare l'utilizzo dello SPID; ad esempio il recepimento della direttiva UE sull'antiriciclaggio (2015/849).

Quello che manca è una governance omogenea sul tema SPID, anche in grado di apportare modifiche evolutive alle regole attuali che si sono ampiamente dimostrate inefficaci rispetto agli obiettivi iniziali del progetto.
Questo è già avvenuto nel passato per la CIE. Ci sono voluti oltre 12 anni per cambiare rotta rispetto a quello che dopo poco tempo era apparso costoso e inefficace.
Ma impariamo dai nostri errori ?

* Ingegnere elettronico, esperto di identità digitale, presidente ANORC

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?
Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.
Per saperne di più
Leggi le prime pagine
Le recensioni
Stampato o ebook
Acquistalo su Amazon
Storie italiane di spionaggio
IL COLONNELLO REY
Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright