Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

 

Un anno dopo, un decalogo per lo SPID

IdentitÓ digitale - Giovanni Manca* - 20 marzo 2017
Un anno fa, il 15 marzo 2016, il Sistema Pubblico di l'IdentitÓ Digitale distribuiva le prime "identitÓ digitali" a cittadini e imprese. Adesso ci chiediamo dove siamo, come ci siamo arrivati, dove dobbiamo andare.

Circa un anno fa scrivevo:

"L'identitÓ digitale ha raggiunto i vent'anni di esistenza. I PIN fiscali e previdenziali hanno aperto l'epoca dei grandi servizi in linea sviluppati per cogliere e utilizzare nella pubblica amministrazione la prima diffusione di Internet. Oggi siamo a un atteso punto di svolta: il PIN, ancora pienamente in vita, ha ceduto un po' di spazio alla Carta Nazionale dei Servizi (CNS) e a breve alla nuova Carta d'IdentitÓ Elettronica (CIE).
La novitÓ Ŕ il Sistema Pubblico per la gestione dell'IdentitÓ Digitale di cittadini e imprese (SPID), che dal 15 marzo 2016 ha iniziato a distribuire le identitÓ digitali tramite i tre gestori di identitÓ accreditati alla data. 
Questo progetto Ŕ senz'altro cruciale per un diffuso ed efficace accesso ai servizi in rete di PA e imprese tramite il cosiddetto PIN unico."

Adesso facciamo un'analisi di cosa Ŕ successo in un anno in termini di obiettivi dichiarati, risultati ottenuti e prospettive fino alla fine di questo anno 2017.

Stato dell'arte

Alla data del 15 marzo 2016 il sito dell'AgID comunica che in ambito SPID vi sono:
" Amministrazioni attive: 3720
" Gestori dell'identitÓ accreditati: 5
" Servizi disponibili tramite SPID: 4273
" IdentitÓ SPID rilasciate: 1.264126 .

In questo anno il sito dedicato a SPID si Ŕ arricchito di informazioni sui servizi, sulle amministrazioni che le erogano e su come ottenere/utilizzare le credenziali del servizio.
Non ci sono pi¨ informazioni relative a cronoprogrammi, ma applicando l'articolo 14, comma 2 del DPCM 24 ottobre 2014, la pubblica amministrazione aderisce a SPID entro il 17 dicembre 2017, essendo il primo accreditamento datato 18 dicembre 2015.

Naturalmente la pubblica amministrazione che non ha servizi da erogare non ha senso che aderisca a SPID. Inoltre lascia perplessi il fatto che la normativa vigente, anche primaria, non chiarisca se devono aderire a SPID anche le "societÓ a controllo pubblico" alle quali si applica il Codice dell'amministrazione digitale (CAD) dopo le modifiche del 2016 con la novella del decreto legislativo 179. 

Ci˛ premesso, adesso ripercorriamo il decalogo dopo un anno analizzandolo punto per punto con il metodo indicato nel titolo di questo articolo.

Dieci Regole per SPID

1) SPID esiste: si continua a discutere che si poteva fare meglio o in modi diversi. Come ipotizzato, questa costante incertezza ha determinato incertezze sia per la PA che per i soggetti privati. E' annunciato, ma non disponibile alla data di scrittura, lo schema di convenzione per i soggetti privati che intendono svolgere l'attivitÓ di fornitore di servizi.

2) Evoluzione delle Regole di SPID: Le regole di SPID sono state aggiornate, ma ancora non si ha chiarezza ed omogeneitÓ su alcuni temi. Alcuni vuoti normativi di natura tecnica e organizzativa non sono stati colmati. L'articolo 29 del CAD, che ha stabilito nuove regole per l'accreditamento e la vigilanza dei gestori dell'identitÓ (IdP), ha costretto AgID a delle modifiche frettolose di regole. 

3) Un'unica identitÓ SPID: La migrazione del PIN o degli altri strumenti CNS (Carta Nazionale dei Servizi) e CIE (Carta d'IdentitÓ Elettronica) verso SPID rimane indefinita. Il Legislatore con la novella al CAD ha anche reso facoltativo l'accesso ai servizi erogati in rete tramite CIE e CNS (art. 64, comma 2-nonies). 

4) SPID deve essere pagato: rimane incerto il modello di business per i soggetti privati che svolgono l'attivitÓ di IdP. E' in via di definizione quanto dovuto dai fornitori di servizi per la verifica delle identitÓ da parte degli IdP. Ma da qualche anticipazione che si Ŕ colta le cifre annunciate sono elevate e dissuasive per tali soggetti. Rimane ancora non definita la posizione di banche e assicurazioni.

5) SPID Ŕ usabile: dopo le numerose critiche alle registrazioni "complicate" da parte degli utenti che dovevano acquisire le credenziali SPID per i bonus ai diciottenni (APP18) e ai docenti, si Ŕ aperto un dibattito sul tema. Chi scrive ritiene che una identificazione corretta del titolare sia a carico dello Stato. Ci si registra in rete presso un gestore prescelto e si svolgono le operazioni di riconoscimento "in presenza" presso i comuni, gli sportelli postali e altri uffici pubblici che verificano la nostra identitÓ come ad esempio i CAF ed i patronati.
L'uso della web cam non appare ancora adeguato per riconoscimenti a prova di falso ma Ŕ ovviamente da sostenere e migliorare adeguandolo, ad esempio, all'integrazione con gli smartphone di CNS e CIE. 

6) SPID Ŕ anti burocratico: la semplificazione amministrativa sviluppata attraverso la Rete deve essere percepita dagli utenti. Oggi abbiamo gli stessi servizi erogati tramite PIN e CNS anche con lo SPID. Questo non stimola la richiesta di queste ultime credenziali.

7) SPID Ŕ utile: chi scrive ha utilizzato SPID due volte in un anno. E poteva usare il PIN o la CNS. Lo sviluppo dei servizi, soprattutto di tipo privato, Ŕ indispensabile per la diffusione di SPID. Ci si concentra invece sul numero di credenziali rilasciate che poi sono utilizzate una sola volta.

8) SPID piace ai privati: dopo un anno siamo al palo. E iniziano sperimentazioni con CIE e CNS lette tramite smartphone in modalitÓ contactless per i pagamenti in mobilitÓ (NFC) e altro.
Copiare in SPID un po' di Home Banking non sarebbe inutile. 

9) SPID Ŕ raggiungibile: Ŕ ancora molto elevato il numero di cittadini che non conosce SPID e che non sarebbe in grado di utilizzarlo. E' noto peraltro che solo il 50% circa dei possessori di uno smartphone posseggono competenze anche solo basilari di informatica.

10) SPID Ŕ veloce: la diffusione dei servizi conformi a SPID non avviene in modo veloce e differenziato. Il periodo di due anni previsto per le pubbliche amministrazioni ha creato l'effetto oblio e pu˛ essere critica l'improvvisa eliminazione dell'accesso tramite PIN. Tutti gli utenti interessati si accalcheranno per le credenziali SPID e si concederÓ l'ennesima proroga. Naturalmente ci auguriamo che non avvenga.

Considerazioni finali

Giunti al momento di trarre qualche conclusione sull'identitÓ digitale, possiamo dire che ci sono novitÓ all'orizzonte (almeno annunciate). Si tratta della nascita dei gestori degli attributi qualificati indispensabili per associare all'identitÓ la propria professione o appartenenza a categorie professionali. Sono stati razionalizzati i livelli di sicurezza SPID rispetto ai livelli di garanzia richiesti per i servizi in rete. A livello nazionale, infatti, alla stessa tipologia di servizio si accede tramite PIN (SPID livello 1) in una Regione e tramite CNS (pari a uno SPID livello 3) in un'altra. Qualche norma primaria inizia a referenziare l'utilizzo dello SPID; ad esempio il recepimento della direttiva UE sull'antiriciclaggio (2015/849).

Quello che manca Ŕ una governance omogenea sul tema SPID, anche in grado di apportare modifiche evolutive alle regole attuali che si sono ampiamente dimostrate inefficaci rispetto agli obiettivi iniziali del progetto.
Questo Ŕ giÓ avvenuto nel passato per la CIE. Ci sono voluti oltre 12 anni per cambiare rotta rispetto a quello che dopo poco tempo era apparso costoso e inefficace.
Ma impariamo dai nostri errori ?

* Ingegnere elettronico, esperto di identitÓ digitale, presidente ANORC

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2017 -  Informazioni sul copyright