Cookie free: nessun "biscotto" per spiare i lettori

Dal gioco delle tre carte (elettroniche) all'inutile SPID

Lo SPID, si legge nelle FAQ del sito dedicato "è il sistema di autenticazione che permette a cittadini ed imprese di accedere ai servizi online della pubblica amministrazione e dei privati aderenti con un’identità digitale unica. L’identità SPID è costituita da credenziali (nome utente e password) che vengono rilasciate all’utente e che permettono l’accesso a tutti i servizi online".

Lasciamo perdere l'uso improprio della parola "autenticazione", ormai  adottata ufficialmente per indicare il "riconoscimento" e concludiamo, a prima vista, che lo SPID è un'utile semplificazione.
Semplificazione? Prima di andare avanti leggete l'articolo pubblicato il 7 febbraio scorso sul sito Agenda Digitale Spid, l'odissea di un docente per ottenere l'identità digitale: nove mesi di burocrazia demenziale.

Qualcuno potrebbe chiedere se non c'è un sistema più semplice. Il sistema c'è e si chiama Carta d'identità elettronica (CIE). Anche la CIE non è un affare da nulla, se si pensa che esiste  - sulla carta, curioso gioco di parole - da vent'anni: risale infatti al 1997 la prima (confusa) previsione di una carta d'identità "su supporto magnetico", nella legge di semplificazione n. 127, nota come "Bassanini-bis".

Da allora si è succeduta una impressionante quantità di provvedimenti, che hanno modificato a più riprese il progetto (alla fine di questa pagina c'è un elenco - non completo - degli articoli che InterLex ha pubblicato sull'argomento dal 1999).
Alla CIE si è aggiunta la Carta nazionale dei servizi (CNS), che ha complicato le cose invece di semplificarle, anche perché c'era e c'è una terza carta pubblica, la Tessera sanitaria/codice fiscale. Il risultato è riassunto nella prima pagina di InterLex del 12 gennaio 2006: Il gioco delle tre carte (elettroniche).

Ora dal sito dedicato alla CIE il Governo ci annuncia che sarà distribuita da tutti i comuni italiani entro il 2018 e che sarà dotata di "un microprocessore a radio frequenza che costituisce... un fattore abilitante ai fini dell’acquisizione di identità digitali sul Sistema Pubblico di Identità Digitale (SPID)".
A parte qualche perplessità suscitata dalla notizia che un microprocessore costituisce un fattore abilitante, chi ha seguito  la lunga vicenda ricorda che la stessa CIE doveva servire anche per l'accesso alla pubblica amministrazione. E che la CNS fu introdotta per accorciare i tempi (sic!) imposti dalle complicazioni della CIE.

Alla fine dei conti, la CIE c'è e non si vede perché non possa essere utilizzata per il riconoscimento del cittadino online.
Si risponde che l'uso della CIE richiede un dispositivo per la lettura delle informazioni che contiene, mentre lo SPID può essere usato anche con un telefonino. Già, il telefonino: lo strumento perfetto per "tracciare" chi lo utilizza, anche se l'app di turno dovrebbe rispettarne la privacy (chi vuole saperne di più legga gli ultimi articoli pubblicati in Privacy e sicurezza).

In ogni caso, poiché l'accesso ai siti della PA avviene di regola con la combinazione nomeutente/password, si può sempre fare con un dispositivo portatile. Anche per il secondo livello di sicurezza, che impiega un codice temporaneo. Al terzo livello occorre comunque un supporto fisico, tipo smartcard, e quindi i dispositivi portatili sono fuori gioco.

Ma c'è una ragione in più, molto importante, per preferire la CIE ad altri sistemi di riconoscimento: le procedure di identificazione del cittadino sono "certe", perché affidate in partenza a una struttura pubblica e validate da un circuito di emissione che offre un elevato grado di sicurezza, con un'anagrafe centrale affidata al Ministero dell'interno. Niente di simile ai bizzarri sistemi di identificazione on line (tramite webcam) che sono compiuti da imprese private denominate SPID provider.

Si deve tenere presente che la certificazione erga omnes dell'identità di un cittadino è un atto di rilevanza pubblica, un atto pubblico. Esso dovrebbe sempre essere formato da un soggetto qualificato e autorizzato specificamente a compiere tale atto, cioè un pubblico ufficiale. Il quale, se per dolo o per semplice negligenza certifica un'identità diversa da quella vera, compie il reato di "falso in atto pubblico" previsto e punito dall'art. 476 del codice penale: fino a dieci anni di reclusione!

La domanda è naturale: se è disponibile un sistema di riconoscimento on line, basato su un'identificazione certa a tutti gli effetti di legge, a che serve un sistema di riconoscimento meno sicuro?
Il Sistema Pubblico di Identificazione Digitale è una pura, enorme e costosa operazione di facciata. E soprattutto inutile, oltre che poco sicura. Se l'obiettivo è semplificare le relazioni tra i cittadini e la pubblica amministrazione, la prima cosa da fare è abolirlo.

Per chi vuole sapere di più sulla lunga odissea della CIE, qui sotto c'è un elenco (forse incompleto) delle pagine pubblicate su questa rivista dal 1999. E può essere interessante la lettura di due articoli comparsi qualche mese fa su Il Fatto Quotidiano: Identità digitale (Spid), c’è un buco nella sicurezza: “Così ti divento Matteo Renzi” di Thomas Mackinson e Identità digitale? Cittadino stai sereno di Umberto Rapetto.

Su InterLex:
Innovazione e semplificazione fanno rima con confusione - 20.01.09
CIE: la quinta interrogazione parlamentare - 21.01.08
CIE: la quarta interrogazione parlamentare  - 12.11.07
CIE: la terza interrogazione parlamentare - 01.10.07
CIE: un miliardo di euro buttati via? - 23.07.07
CIE: i testi di due interrogazioni presentate alla Camera dei deputati - 23.07.07
Carta vince, carta perde: chi vince nel gioco della CIE? - 12.01.06
Emendamenti in libertà: la baruffa sulla carta d'identità elettronica - 18.12.05
Benzi: i veri problemi della carta d'identità elettronica - 17.06.04
La CIE, un progetto da rivedere - 10.06.04
Perché non serve la banda laser - 10.06.04
CIE, CNS e open source - 03.06.04
Carta dei servizi: non solo questioni di costituzionalità - 17.10.02
La confusione è grande e il futuro è in ritardo - 13.12.01
Sulla Rete siamo tutti criminali? - 15.01.01
La carta elettronica: una legge-quadro - 16.12.99
La rivoluzione informatica va avanti, l'Italia è pronta? - 09.12.99