Identità digitale, un decreto la rivoluzionerà

L'analisi

Solo gli addetti ai lavori hanno notato che il decreto Fare avvia la nascita di un grande sistema per la gestione delle identità digitali. Un decreto attuativo stabilità come

di Eugenio Prosperetti

Il Decreto del Fare, approvato con L. 9 agosto 2013 n. 98, contiene, nella sua ultima stesura, un art. 17-ter intitolato “Sistema pubblico per la gestione dell’identità digitale di cittadini e imprese” che non ha ricevuto sinora molte attenzioni, con l’eccezione di testate di settore.

Si tratta dell’istituzione, a livello nazionale, di un vero e proprio sistema di “identità digitale”.

Un sistema che non va confuso con la carta di identità digitale che è cosa diversa: l’identità digitale è qualcosa che stanno adottando i principali Paesi al mondo in termini di evoluzione dei sistemi di amministrazione e cittadinanza digitale e costituisce uno dei principali punti dell’Agenda Digitale.

Si tratta di un sistema di credenziali associate ad una identificazione certa della persona che, una volta spese nell’accesso ad un sito Internet, sono in grado di assicurare la imputabilità certa ad una persona, fisica o giuridica, delle azioni svolte sul sito.

L’identità verificata attraverso documenti è invece cosa diversa e coinvolge profili anagrafici e di pubblica sicurezza (es. l’espatrio).

Ciò non toglie che l’identità digitale può divenire un “veicolo” che trasporta digitalmente i dati dei nostri documenti ed altri “attributi” della nostra persona, quale, ad esempio, il nostro status professionale, utile ad accedere al sito di una associazione che raggruppa chi è parte di una certa categoria di lavoratori o professionisti.

In sostanza, con l’identità digitale, si ottiene l’identità da un terzo, provider di identità, il quale si occupa poi di confermare ai siti sui quali l’identità viene utilizzata che chi accede ha una certa identità ed ha titolo di accedere al sito, senza rivelare nessuna informazione oltre il necessario.

L’identità digitale nel sistema nazionale sembra venire prevista come spendibile ex lege verso tutte le Pubbliche Amministrazioni.

L’art. 17-ter modifica infatti il Codice dell’Amministrazione Digitale, prevedendo l’obbligo per le pubbliche amministrazioni di consentire l’accesso in rete ai propri servizi solo mediante i servizi offerti dal medesimo sistema SPID, ovvero, mediante Carta d’Identità Elettronica o Carta Nazionale dei Servizi, escludendo altre soluzioni.

Sempre la norma approvata nell’ambito del Decreto del Fare ci dice che il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, secondo modalità definite con un Decreto del Presidente del Consiglio (su proposta del Ministro per la pubblica amministrazione e di concerto con il Ministro dell’economia), gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete, ovvero, direttamente, su richiesta degli interessati. Il Decreto in preparazione è chiamato a prevedere il modello architetturale e organizzativo del sistema, le modalità ed i requisiti necessari per l’accreditamento dei gestori dell’identità digitale; gli standard tecnologici e alle soluzioni tecniche e organizzative da adottare al fine di garantire l’interoperabilità delle credenziali e degli strumenti di accesso resi disponibili dai gestori dell’identità digitale nei riguardi di cittadini e imprese; le modalità di adesione da parte di cittadini e imprese in qualità di utenti di servizi in rete; i tempi e le modalità di adozione da parte delle pubbliche amministrazioni in qualità di erogatori di servizi in rete; le modalità di adesione da parte delle imprese interessate in qualità di erogatori di servizi in rete.

E’ altresì interessante notare la disposizione che prevede che l’adesione al sistema SPID per la verifica dell’accesso ai propri servizi erogati in rete per i quali è richiesto il riconoscimento dell’utente esonera l’impresa da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell’articolo 17 del decreto legislativo 9 aprile 2003, n. 70. Quest’ultima parrebbe significare che, laddove i servizi di identificazione sono svolti da terzi, non si potrà chiamare il gestore del sito o l’ISP in causa per attività di identificazione che non ha compiuto e gli eventuali obblighi di identificazione, previsti dal D.Lgs. 70/2003 saranno demandati al provider dei servizi di identificazione anziché al gestore del sito. Il provider dei servizi di identificazione sarà dunque il destinatario degli eventuali ordini e richieste che comportino informazioni sull’identità e sull’accesso a un certo sito, più che sulle attività compiute all’interno del medesimo.

La norma approvata nell’ambito del Decreto del Fare si chiude specificando che il sistema verrà realizzato utilizzando le risorse finanziarie già stanziate a legislazione vigente per l’Agenzia per l’Italia digitale, senza nuovi o maggiori oneri a carico della finanza pubblica.

Nulla viene specificato circa l’effettivo meccanismo di funzionamento/identificazione e circa il valore probatorio dell’identificazione effettuata attraverso il “sistema SPID”.

Si suppone che, se tale sistema – che potrebbe anche avere più livelli di sicurezza idonei a vari usi in quanto la norma primaria non lo vieta – debba essere utile parametro per accedere alla Pubblica Amministrazione, il tipo di sicurezza utilizzato sia abbastanza “robusto”, tale che una identificazione basata su credenziali del tipo “nomeutente/password” non sarebbe sufficiente.

Dal testo del Decreto del Fare viene naturale pensare che differenti identity provider potrebbero approntare, preservando l’interoperabilità delle credenziali, differenti tipi di metodi rilascio/uso/conservazione, con differenti strumenti hardware/software.

Tra l’altro il tutto deve essere messo in rapporto con la proposta di regolamento sull’identità digitale della Commissione Europea della quale è stata pubblicata una prima versione e che prevede che, qualora gli Stati membri notifichino alla Commissione Europea dei sistemi di identità digitale, questi debbano essere conformi ai requisiti del Regolamento stesso, ferma restando la facoltatività della notifica ma anche il fatto che gli Stati, comunque, devono accettare gli strumenti che sono stati notificati alla Commissione da parte di altri Stati, anche se non hanno notificato il proprio.

Saranno dunque da esaminare attentamente le misure di attuazione per comprendere nel dettaglio tempistiche, modalità e potenzialità di questo interessante strumento che sembra avere potenzialità innovative e che potrebbero rivoluzinare le nostre abitudini in molti campi, essendo una identità digitale “sicura” un veicolo unico per l’accesso a molteplici attività, nella tutela dei dati di chi accede, ma senza che questo comporti l’anonimato dell’accesso.

28 Novembre 2013

TAG: prosperetti, identità digitale