Dopo un’attesa che durava ormai da tempo, è finalmente attivo SPID, il Sistema Pubblico di Identità Digitale attuato dall’AgID (Agenzia per l’Italia Digitale).
Il sistema infatti, ideato e preannunciato anni fa dal governo Monti, è online da pochi giorni (più precisamente dallo scorso 15 marzo) e sembra aver portato una luce futuristica sugli obsoleti sistemi amministrativi italiani. Ma vediamo di che si tratta!
In linee generali lo SPID è un sistema pensato per facilitare l’accesso di chiunque (non solo persone fisiche, ma anche giuridiche) all’ampia gamma di servizi pubblici che vengono offerti regolarmente dalle PA.
Attraverso l’associazione di un comune username e di una password all’identità di ogni utente che lo desideri e ne faccia richiesta, grazie a SPID, sarà possibile accedere rapidamente al servizio prescelto da qualsiasi strumento informatico: computer, pc, tablet e addirittura smartphone, consentendo di accorciare sensibilmente i tempi richiesti dalle procedure e di ottenere quindi un servizio più efficiente.
La finalità ultima di SPID dovrebbe essere quella di sostituire tutte quelle identità transitorie e temporanee che quotidianamente vengono create dagli utenti al fine di accedere ai numerosi servizi che sono già offerti online.
L’approccio al sistema è stato reso il più intuitivo possibile, proprio per evitare che una modifica presentata come rivoluzionaria, finisca inutilizzata dai più perché richiede una conoscenza informatica approfondita. Ma SPID non richiede alcuna competenza particolare, sembra davvero accessibile a tutti.
Più nel dettaglio, il sistema prevede che alcuni soggetti individuati, i cosiddetti Gestori Autorizzati (o Identity Provider), prendano in carico l’autenticazione dei dati forniti dagli utenti, ed in cambio procurino agli stessi un’identità digitale. Alla data di avvio di SPID sono stati accreditati tre Gestori Autorizzati: Infocert, Poste Italiane e TIM, i quali offrono i medesimi servizi alternativamente e a scelta degli utenti.
I tre Gestori sono stati accreditati in base ai requisiti previsti dal D.P.C.M. 24 Ottobre 2014, che all’art. 10 comma 3 lett. a) richiede alle società di capitali che desiderino diventare Gestori un capitale sociale minimo di 5 milioni di euro. Tuttavia, proprio questa previsione è stata oggetto di una recentissima pronuncia del Consiglio di Stato (sentenza n. 1214 del 24 marzo 2016) con la quale, a conferma di quanto statuito lo scorso luglio dal TAR Lazio è stato ritenuto che il tetto imposto da tale norma avesse l’effetto di limitare fortemente la concorrenza, senza trovare alcuna giustificazione nell’attività di certificazione fatta da tali Gestori, “essenzialmente basata su una password” e non equiparabile a sistemi di identificazione forte. La ricaduta degli effetti della pronuncia non tarderà ad avere i propri effetti sul meccanismo di accesso al mercato dei Providers.
Per ottenere l’identità digitale, è necessario presentare un modulo di richiesta contenente tutte le informazioni necessarie per procedere con l’autenticazione dell’identità del soggetto, e cioè nome, cognome, sesso, data e luogo di nascita, codice fiscale, estremi del documento di identità, nonché ulteriori informazioni utili per essere contattati (un indirizzo di posta elettronica – univoco per ogni identità SPID – e un recapito di telefonia mobile).
Il sistema di credenziali che si è realizzato si sviluppa su tre livelli, differenziati in base alla criticità del servizio richiesto, determinando di conseguenza tre livelli di sicurezza:
• il primo livello associa un comune username con una password di media complessità, permettendo così l’autenticazione. Questo metodo di autenticazione è ritenuto sufficiente dato il moderato rischio associato alle operazioni a questo livello;
• il secondo livello di identità previsto da SPID, associa al nome utente e password un codice temporaneo che viene generato da un dispositivo a chiave variabile ed inviato all’utente (es. tramite sms) e che deve essere inserito congiuntamente alle credenziali al fine dell’autenticazione;
• il terzo livello richiede, in aggiunta a nome utente e password, un dispositivo di accesso (es. una smart card). A questo livello si richiede una garanzia più elevata, derivante dai servizi che così vengono erogati, e cioè tutti quei servizi per i quali un indebito utilizzo dell’identità digitale può provocare un danno serio e grave.
I primi due livelli sono erogati gratuitamente in caso di iscrizione entro la fine del 2016 per un periodo di due anni, in seguito ancora non è chiaro cosa accadrà, ma sembra che il governo cercherà di mantenere il sistema gratuito, quantomeno per le persone fisiche. Per ovviare a questo problema che potrebbe presentarsi è stato previsto un sistema di recesso senza alcun addebito. Il terzo livello, che per profondità e sicurezza del servizio richiede un apporto di risorse decisamente maggiore, è invece a pagamento sin da ora. Anche se l’uso di un sistema di Cloud Storage potrebbe creare preoccupazione nei più, il Sistema Pubblico di Identità Digitale sembra essere estremamente sicuro ed in grado di garantire tutela della Privacy e dei Dati Sensibili che vengono scambiati con i Gestori Autorizzati nella fase di autenticazione e con i Service Providers nella fase di erogazione del servizio.
Ma quali sono i servizi ai quali si può effettivamente accedere attraverso SPID? Ad oggi i servizi attivi sono circa 300, e coinvolgono numerose amministrazioni tra cui Inps, Inail ed alcune Regioni (vedi Piemonte, Toscana e Liguria), nonché alcuni Comuni come quello di Firenze. Tuttavia, lo sviluppo sostenuto immaginato per il progetto prevede di arrivare entro giugno all’erogazione di 600 servizi, con l’ingresso, tra gli altri attori, dell’Agenzia delle Entrate e, di coinvolgere, in un periodo di 24 mesi che terminerà a febbraio 2018, tutte le Pubbliche Amministrazioni. Non solo, è per di più prevista la possibilità di aderire al sistema, come Providers, anche per gli enti privati che ne facciano richiesta, i quali avranno accesso alla piattaforma a pagamento. L’iscrizione a SPID non é obbligatoria ma, al completamento del progetto, tutti i servizi inclusi saranno erogati solo ed esclusivamente in via telematica, producendo quindi un’obbligatorietà indiretta dell’adesione, in modo da non restare totalmente esclusi. Va da sé che dall’espansione del numero dei registrati derivi un vantaggio reciproco degli utenti e dei Service Providers: altro motivo che spinge verso un adeguamento al nuovo sistema. SPID, comunque, non è l’unico dei progetti che sono stati attuati, o che sono in programma, al fine di dare una scossa ed innovare l’Amministrazione italiana; nell’Agenda Digitale Italiana è infatti prevista un’ampia lista di adeguamenti che stanno procedendo ad un ritmo incalzante.
L’introduzione di SPID consente attualmente di ottenere l’erogazione di differenti servizi con le medesime credenziali di accesso, ma è tuttavia ancora necessario accedere ai diversi siti web delle amministrazioni eroganti. Dal 2017, invece, sarà intrapreso un ulteriore passo verso l’informatizzazione: sarà attiva la cosiddetta Italia Login, un’interfaccia unica che consentirà di accedere con l’identità creata in SPID ai servizi concessi da soggetti differenti, con l’effetto di accelerare e semplificare ancor di più tutte le procedure.
Il Sistema di Identità Unica è senza alcun dubbio un progetto innovativo ed avveniristico nel datato panorama italiano, e le finalità perseguite sono quantomeno auspicabili – tra le altre dovrebbe finalmente ridursi il divario innegabile che esiste fra i comuni più piccoli e quelli di maggiori dimensioni, i quali verranno in questo modo trascinati verso uno sviluppo obbligato.
Eppure, affinché il Sistema prenda piede, dovrà dimostrarsi effettivamente utile e dovrà offrire servizi di qualità a fronte della protezione degli utenti; per ora possiamo solamente attendere gli sviluppi e stare a vedere, consapevoli di che traguardo sarebbe raggiunto in caso di successo!
Per ulteriori informazioni http://spid.gov.it/
Alessandro Benedetti
BLB STUDIO LEGALE
Ufficio Stampa Confapi Padova
stampa@confapi.padova.it