Ma lo SPID non ci identifica: ci dà accesso a servizi

identità digitale

Un equivoco va chiarito per questo sistema di credenziali informatiche, uniche e interoperabili, che sta per sbarcare in Italia. Di per se' non è un modo per identificare gli utenti. Né è un sistema dispositivo: con il solo SPID non si firma nulla. Sarà invece il modo più semplice e immediato per accedere a siti e servizi pubblici e privati

di Eugenio Prosperetti, avvocato

E’ stato in questi giorni approvato il decreto attuativo dello “SPID”, il sistema pubblico dell’identità digitale. Dopo la pubblicazione del decreto potrà quindi (finalmente) partire l’implementazione del sistema che consentirà dunque a breve di accedere con una unica credenziale a tutti i siti e servizi online della pubblica amministrazione.

Ricordo, per chi ancora non avesse familiarità con il concetto di SPID, che la credenziale SPID potrebbe coincidere con quelle che già utilizziamo nella vita di tutti i giorni (sarà sufficiente che chi le fornisce divenga “identity provider”): ad esempio il generatore di codici per la banca, la SIM del cellulare, il bancomat, l’autenticazione della carta di credito, ecc. che, a scelta del cittadino, potranno divenire così anche abilitazione per l’accesso ai servizi di tutti i siti della PA, senza moltiplicazione di procedure e codici di riconoscimento.

Uno dei primi pensieri, costante in chiunque tenti di immaginare vantaggi ed implicazioni dell’adozione di un simile sistema è quella di comprendere il rapporto tra “identità digitale” e altri sistemi di identità/identificazione.

Da qualche tempo mi sono convinto che esiste un problema nell’aver chiamato il sistema SPID “identità” digitale.

Di fatto, SPID non è e non nasce come un sistema alternativo di identificazione del cittadino, non è questa la sua funzione e se venisse trattato come tale risulterebbe pressoché inutilizzabile o, comunque, poco utile.

SPID è un sistema di credenziali informatiche uniche ed interoperabili che consentono al loro utente di accedere a tutti i siti e servizi offerti dalla PA italiana e, in prospettiva, dalle PA comunitarie; a SPID potranno inoltre aderire inoltre servizi commerciali in Italia ed nell’Unione Europea (ma non solo) che, in questa maniera, risolveranno il problema di dover registrare ex novo ed in maniera sicura e certa i propri utenti, sarà SPID a curare questi aspetti per loro tramite gli identity provider.

Accedere a un sito non implica essere identificati. Un sito, quando ci fa accedere, verifica che siamo in possesso delle credenziali valide per accedere al profilo. Non accerta la nostra identità. Non può essere, infatti, certo che chi immette le credenziali sia sempre la stessa persona, tanto che è nota l’ipotesi del furto di identità.

Tale considerazione implica una riflessione sul concetto di identità digitale, come declinato in SPID, rispetto al concetto di identificazione presente nell’ordinamento italiano.

I lettori di queste brevi considerazioni mi perdoneranno se prendo, per qualche riga, il tono del giurista (ma tale sono) ma il problema è proprio di diritto: identificare è un concetto di ordine pubblico ed è un operazione che, come risultato, ha quello di stabilire con certezza se una persona è chi afferma di essere.

L’operazione di identificazione può essere compiuta solo da pubblici ufficiali e, in particolare, se non siamo noi a chiedere di essere “identificati” può essere richiesta d’imperio solo da esponenti delle forze dell’ordine; pensiamo a quando in occasione di situazioni tumultuose si sente dire che la polizia ha “identificato” alcune persone e questa situazione è disciplinata dal Testo Unico delle Leggi di Pubblica Sicurezza.

In alcune specifiche occasioni come, ad esempio il rilascio della Identità Spid, può essere utile utilizzare identificazione da parte di pubblici ufficiali o di soggetti aventi potere identificazione in altri ambiti: il Comune non è infattti affiancato dall’ufficiale d’anagrafe come avviene per l’identificazione con altre tecnologie, all’atto del primo rilascio della carta d’identità (con i testimoni se non abbiamo un altro documento), oppure il notaio quando sta formando un atto pubblico.

Identificare è insomma un operazione per pochi e serve a dare certezza dell’identità di chi richiede un documento, con il quale dovrà ad esempio espatriare o essere identificato dalle Forze dell’Ordine, in particolare, identificare richiede particolari qualifiche in chi identifica. L’operazione di identificazione serve dunque a dare una identità certa a qualcuno la cui identità è potenzialmente sconosciuta ed è quella che si fa anche in caso di documenti che si sospettino essere falsi o di persone che non hanno alcun documento.

Quando esibiamo un documento in un’operazione che è gestita da soggetti diversi dai pubblici ufficiali con potere di identificazione dobbiamo essere consapevoli che le persone davanti a noi non hanno potere di identificarci. Esse si limitano ad acquisire il nostro documento a conferma della bontà dell’operazione svolta. In caso di problemi il documento verrà verificato da chi ha potere di identificarci. Ad esempio, l’operatore telefonico che rilascia una SIM non è in grado di verificare la nostra identità, esso ritira il nostro documento e ne trasmette i dati al Ministero degli Interni. Può farne una sommaria verifica ma non è titolato all’identificazione (fermo restando che chi presenta documenti falsi, anche in quella sede commette un reato).

In alcuni casi la Legge prevede invece che anche soggetti privati si debbano accertare della nostra identità. E’ il caso, ad esempio, degli adempimenti antiriciclaggio bancari cui siamo periodicamente chiamati se abbiamo un conto corrente o una carta di credito.

E’ anche il caso del rilascio della firma digitale, che prevede l’intervento di un pubblico ufficiale a conferma dell’identità della persona cui la firma viene attribuita, perché la firma ha il potere di certificare l’identità della persona di chi firma con lo stesso valore di una firma autografa.

Se si appone una firma digitale davanti a un notaio, per capirsi, si può vendere casa senza che inchiostro tocchi penna e per tale motivo occorre essere identificati al rilascio.

Altra cosa è l’identità digitale che ha a che fare con l’accesso ai servizi della PA. Essa non è rilasciata con la finalità di permettere atti dispositivi (es. una richiesta di pensione), ma di consentire l’accesso al sito. L’ente potrà richiedere sicurezze aggiuntive per certi tipi di atti che si andranno ad abbinare a una certa identità digitale. Ad esempio potrebbe richiedere a chi si presenta con l’identità digitale di confermare alcuni dati all’atto del primo accesso o di fornire una copia del documento di identità o, ancora, effettuare una verifica di carta di credito/SMS.

Ciò risponde al fatto che quando accediamo ad un sito e ci registriamo, la nostra identità non entra in gioco, è un fatto di credenziali.

Anche se ci rechiamo a uno sportello pubblico e domandiamo un servizio, in molti casi non ci viene chiesto un documento, compiliamo un modulo, autocertifichiamo quanto occorre, ma non siamo identificati.

Qualora la prestazione che richiediamo sia di una certa importanza, in genere, viene chiesto di esibire il documento.

Questo è il parallelo che vorrei fare: un conto è l’accesso ai servizi, altro è confermare la richiesta con una identificazione (questione tra l’altro dove anche il tipo di identità SPID rilasciata è rilevante).

Se devo richiedere un certificato che chiunque può richiedere, la mia identità non è rilevante, è importante che io abbia titolo ad accedere a quel servizio e che la richiesta sia tracciabile.

Se devo chiedere di andare in pensione è importante che la mia identità sia accertata.

Una soluzione potrebbe essere quella di utilizzare sistemi di identificazione indiretta, portare cioè a garanzia della mia identità un accertamento di identità già svolto altrove (es. in banca, alle Poste, al Comune all’atto del rilascio della mia carta d’identità), non occorre necessariamente che sia effettuata una identificazione ex novo. Attraverso l’IBAN e la carta di credito potrei, come già avviene in alcuni processi di rilascio della firma digitale e di servizi di telecomunicazione, portare “identificazioni” già avvenute nel processo di rilascio della identità SPID.

Teniamo conto che, sino ad ora, le richieste di servizi della PA sono state svolte, per la maggior parte, inviando un fax corredato da copia del documento. Questo solo, per legge (DPR 445/2000), è stato considerato sufficiente a dare certezza della provenienza da una determinata persona che si rivolge ad un ufficio pubblico. Non solo: da qualche anno anche una e-mail con pdf del documento è considerata dal Codice dell’Amministrazione Digitale avere lo stesso valore!

A fronte di questo sistema, in vigore da 15 anni, vi è ora chi dice che l’identità digitale non può che essere rilasciata tramite richiesta “di persona” perché altrimenti si minerebbe la certezza che le operazioni della Pubblica Amministrazione vengono richieste effettivamente dall’interessato.

A mio avviso, i sistemi e le cautele di rilascio dell’identità digitale, che prevedono comunque il passaggio per identity provider che effettuano operazioni di identificazione a monte e non precludono a chi riceve l’identità digitale di richiedere ulteriori conferme di identità (es. richiedere il documento) in corso d’opera, non possono che introdurre una migliore certezza nei rapporti tra cittadino e Pubblica Amministrazione.

Il punto da tenere presente è che SPID non è un sistema dispositivo: con il solo SPID non si firma nulla. Di per se' SPID serve unicamente a consentire un facile accesso ai servizi da parte del titolare di una certa credenziale. Il sistema consente al sito che eroga il servizio di accertare  che chi accede è il valido titolare di credenziali di accesso legittimo ed ha l'autorizzazione a navigare nel sito ed utilizzare i dati informativi abbinati a quel profilo. Una volta conseguito l’accesso ai servizi vi potranno essere nell'ambito del sito crescenti livelli di sicurezza che consentiranno, progressivamente, di arrivare alla certezza univoca anche della provenienza di una determinata operazione. Irrigidire i requisiti di rilascio dei livelli base di SPID potrebbe dunque essere una operazione vessatoria quanto contraria alla stessa ratio per cui, in Italia e nell’Unione Europea si è lavorato per istituire un sistema di identità digitale (meglio, di credenziali digitali uniche). Altro discorso è utilizzare SPID al massimo livello di autenticazione e validare come credenziali SPID credenziali che hanno anche valore identificativo e di firma. L'abbinamento tra questi sistemi consentira' operazioni dispositive ed aprirà scenari tutti da esaminare.

--

L'autore e' componente del tavolo per l'innovazione e l'agenda digitale della Presidenza del Consiglio ma le opinioni espresse nell'articolo sono personali e non impegnano in alcun modo tale Ente.

 

30 Ottobre 2014

TAG: spid, prosperetti, identità digitale