La CIE sconta le difficoltà dell'identità digitale: come risolvere?

Carta di identità elettronica

Analizziamo i rapporti tra CIE e SPID per capire come sarà il futuro dell'accesso ai servizi online. Tra l'altro, sarebbe necessario un più stretto coordinamento tra il rilascio della CIE e ANPR, come- ad esempio- l’integrazione del servizio di richiesta della CIE da parte del cittadino o dell’operatore del Comune con i servizi di ANPR

di Patrizia Saggini, Avvocato

E’ di pochi giorni fa la notizia della pubblicazione del Decreto del Ministero dell'Interno del 23 dicembre 2015 (emanato di concerto con il ministero dell'economia e delle finanze e con il ministero per la semplificazione e la pubblica amministrazione) che fissa le modalità tecniche di emissione della carta d'identità elettronica (CIE).

In rete è già stato detto tanto sul tema, con opinioni prevalentemente negative: ormai la CIE sconta le conseguenze di un’operazione innovativa, che dichiarata da oltre 20 anni, è invece risultata un flop, perchè a tanti annunci trionfali non sono mai seguiti risultati.

Infatti, l’emissione della CIE non è mai entrata a regime sul territorio nazionale, e solo pochi Comuni hanno sperimentato l’emissione di questo documento per qualche anno: e recentemente sono apparsi alcuni comunicati che annunciavano la sospensione a tempo indeterminato del servizio, a causa dell’obsolescenza delle infrastrutture utilizzate.

E soprattutto, la CIE non è mai stata utilizzata come modalità per accedere in rete ai servizi delle Pubbliche Amministrazioni, come invece prevede il CAD da sempre, in quanto il chip non conteneva probabilmente le informazioni necessarie o c'erano altri ostacoli di tipo tecnologico.

In ogni caso, è evidente che oggi il documento di identità non può che diventare digitale, come già avviene per il passaporto e il permesso di soggiorno, abbandonando l’attuale forma cartacea; a meno che non si pensi ad una radicale revisione dei documenti di identità in genere, che al momento sembra una possibilità alquanto remota.

Già nel DL 78/2015, all’art. 10 comma 6 sono state stanziate le risorse per l’emissione della CIE, e nel contempo è stata cancellata la disposizione che ne prevedeva l’unificazione con la TS, che quindi continueranno ad essere due strumenti separati.

La pubblicazione del Decreto è stata di poco preceduta dall’approvazione delle specifiche tecniche del chip contenuto nella CIE, pubblicate sul sito dell’AGID.

Per quanto riguarda gli aspetti più operativi, sarebbe necessario un più stretto coordinamento tra il rilascio della CIE e ANPR, come - ad esempio - l’integrazione del servizio di richiesta della CIE da parte del cittadino o dell’operatore del Comune con i servizi di ANPR.

Inoltre, al momento del completamento del subentro in ANPR di tutti i Comuni, sarebbe ipotizzabile pensare a semplificazioni sulle modalità di richiesta: il Decreto citato fa riferimento al “Comune di residenza” o al Comune di dimora” e quindi la richiesta del documento di identità potrebbe avvenire in qualsiasi comune, essendo ANPR un’unica banca dati; in questo modo si eviterebbe la richiesta di nulla osta del Comune che emette il documento di identità al Comune di residenza, come invece avviene oggi.

Tutto il tema sconta, a mio parere, una grande difficoltà a monte - a livello normativo e concettuale - legata all’identità digitale, cioè a come trasferire l’identità di una persona da un supporto cartaceo e fisico ad un supporto digitale e online, in assenza del riconoscimento diretto e con il supporto della firma autografa.

In questa sede, l’aspetto più interessante è quello che riguarda la CIE come strumento per l’accesso in rete ai servizi delle Pubbliche Amministrazioni.

Già da tempo i cittadini (al di là della categoria professionale a cui appartengono) e gli operatori della PA si pongono delle domande che riguardano in prima istanza le modalità di accesso ai servizi, e in seconda istanza, ma strettamente collegato alla prima, se l’accesso online corrisponda anche all’apposizione della firma sulla pratica/domanda/istanza presentata via web.

La normativa attuale in qualche modo ci dà delle indicazioni: l’art. 64. del CAD dice che “La carta d'identità elettronica e la carta nazionale dei servizi costituiscono strumenti per l'accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l'identificazione informatica.”; in assenza di questi strumenti, sono ammesse anche altre modalità, a condizione che “consentano l'individuazione del soggetto che richiede il servizio”.
Successivamente è stato introdotto in questo contesto SPID (Sistema Pubblico di Gestione dell’Identità Digitale); l’articolo comunque continua affermando che “L'accesso con carta d'identità elettronica e carta nazionale dei servizi è comunque consentito indipendentemente dalle modalità di accesso predisposte dalle singole amministrazioni”.

E qui si pone il primo interrogativo: quale rapporto c’è tra CIE e SPID?

Sul tema, il D.P.C.M. 24/10/2014, che contiene le caratteristiche di SPID, all’art. 7 prevede che il rilascio delle identità digitali avviene su domanda dell’interessato, presentando una richiesta di adesione; la verifica dell'identità del soggetto può anche avvenire tramite “identificazione informatica tramite documenti digitali di identità, validi ai sensi di legge, che prevedono il riconoscimento a vista del richiedente all'atto dell'attivazione, fra cui la tessera sanitaria-carta nazionale dei servizi (TS-CNS), CNS o carte ad essa conformi”.
Si nota subito una discrepanza, in quanto non viene assolutamente menzionata la CIE: forse perchè all’epoca dell’emissione del Regolamento SPID si parlava ancora di Documento Unico di Identificazione (cioè CIE insieme con la TS-CNS).

Nel successivo Regolamento attuativo di SPID, l’art. 9 conferma che “L’identificazione avviene tramite verifica dei documenti digitali di identità, validi ai sensi di legge, che prevedono il riconoscimento a vista del richiedente all’atto dell’attivazione, fra cui la tessera sanitaria-carta nazionale dei servizi (TS-CNS), CNS o carte ad essa conformi. Questa modalità di identificazione si basa su una presunzione di correttezza relativa al processo di identificazione espletato dal gestore che ha precedentemente rilasciato un documento digitale di identità”.

Analizzando le disposizioni di SPID, è evidente che il Sistema presenta notevoli vantaggi:

  • unica interfaccia per l’accesso ai servizi online;

  • accesso e utilizzo dei servizi anche su mobile, evitando infrastrutture fisiche, come i lettori di smart card;

  • autenticazione anche di persone giuridiche e gestione degli attributi specifici;

  • conformità alle specifiche EIDAS.

Ora ci possiamo chiedere: visto che si può richiedere l’identità digitale utilizzando la CIE o CNS-TS, si suppone che in questi dispositivi sia contenuta una firma elettronica (vedremo dopo quale); quindi si è già in possesso di un’identità SPID di livello 3? (che è il livello di garanzia più elevato e da associare a quei servizi che possono subire un serio e grave danno per cause imputabili ad abusi di identità)

Le modalità attuative di SPID all’art. 15 prevedono che “Per il livello 3 SPID il gestore delle identità digitali deve rendere disponibili sistemi di autenticazione informatica a due fattori, basati su certificati digitali e criteri di custodia delle chiavi private su dispositivi che soddisfano i requisiti dell’ Allegato 3 della Direttiva 1999/93/CE.  
L’allegato contiene i “requisiti relativi ai dispositivi per la creazione di una firma sicura”, che debbono garantire almeno che:

  1. i dati per la creazione della firma utilizzati nella generazione della stessa possono comparire in pratica solo una volta e che è ragionevolmente garantita la loro riservatezza;

  2. i dati per la creazione della firma utilizzati nella generazione della stessa non possono, entro limiti ragionevoli di sicurezza, essere derivati e la firma è protetta da contraffazioni compiute con l'impiego di tecnologia attualmente disponibile;

  3. i dati per la creazione della firma utilizzati nella generazione della stessa sono sufficientemente protetti dal firmatario legittimo contro l'uso da parte di terzi.

I dispositivi per la creazione di una firma sicura non devono alterare i dati da firmare né impediscono che tali dati siano presentati al firmatario prima dell'operazione di firma.”
La Direttiva 1999/93/CE risulta sostituita dal Regolamento europeo eIDAS n. 910/2014, entrato in vigore dal 17 settembre 2014, e che si applicherà negli Stati membri a decorrere dal 1 luglio 2016.

Al momento manca l’indicazione precisa delle tipologie di supporti che rispettano i requisiti descritti.

Un’ulteriore domanda riguarda anche il tipo di livello SPID necessario in relazione alla tipologia di servizio: nell’Appendice A del Regolamento Attuativo si afferma che “L’Agenzia, al fine di rendere omogenei i LoA associati ai servizi su tutto il territorio nazionale, promuove e pubblica, nella sezione SPID del proprio sito istituzionale il LoA da associare alle categorie di servizi che presentano carattere di omogeneità.”
E’ evidente che non possa essere la singola Amministrazione - fornitore di servizi che decide il livello di accesso, e quindi è indispensabile un’uniformità di regole per tutto il territorio nazionale, per evitare difformità di trattamento.

Abbiamo quindi chiarito fin qui che il ruolo di SPID dovrebbe essere quello di “contenitore” delle identità digitali, anche in presenza di documenti di identità digitali già in possesso della persona: in seguito alla richiesta verrà comunque rilasciata una credenziale di accesso, che avrà il vantaggio di non essere subordinata alla disponibilità di altre infrastrutture, che ne permettano l’utilizzo in modalità “mobile”.

Approfondiamo ora invece il secondo aspetto, relativo alla validità delle istanze presentate online, sotto l’aspetto della sottoscrizione.

L’art. 65 del CAD prevede che “Le istanze e le dichiarazioni presentate per via telematica alle pubbliche amministrazioni e ai gestori dei servizi pubblici sono valide:

a) se sottoscritte mediante la firma digitale o la firma elettronica qualificata, il cui certificato è rilasciato da un certificatore accreditato;

b) ovvero, quando l'autore è identificato dal sistema informatico con l'uso della carta d'identità elettronica o della carta nazionale dei servizi, (...);

c) ovvero quando l'autore è identificato dal sistema informatico con i diversi strumenti di cui all'articolo 64, comma 2 (cioè SPID).

Continua affermando che “Le istanze e le dichiarazioni inviate o compilate su sito secondo le modalità previste dal comma 1 sono equivalenti alle istanze e alle dichiarazioni sottoscritte con firma autografa apposta in presenza del dipendente addetto al procedimento.”

A questo punto il cittadino e l’operatore della PA non sono però del tutto convinti che l’accesso ad un servizio possa avere lo stesso valore di una firma (digitale o autografa), soprattutto dal punto di vista “tecnologico”.

Qui ci viene in aiuto il DPCM 22 febbraio 2013, che contiene le “Regole tecniche in materia di generazione, apposizione e verifi ca delle firme elettroniche avanzate, qualificate e digitali”; vengono indicati, tra l’altro, i requisiti della firma elettronica avanzata, in cui può rientrare anche la fattispecie dell’accesso in rete; si chiarisce che “La realizzazione di soluzioni di firma elettronica avanzata è libera e non è soggetta ad alcuna autorizzazione preventiva” (art. 55), quindi non è collegata ad alcun supporto tecnologico specifico, e che per la sua validità debbono essere garantiti (art. 56):

a) l’identificazione del firmatario del documento;

b) la connessione univoca della firma al firmatario;

c) il controllo esclusivo del firmatario del sistema di generazione della firma, ivi inclusi i dati biometrici eventualmente utilizzati per la generazione della firma medesima;

d) la possibilità di verificare che il documento informatico sottoscritto non abbia subito modifiche dopo l’apposizione della firma;

e) la possibilità per il firmatario di ottenere evidenza di quanto sottoscritto;

f) l’individuazione del soggetto che eroga la firma;

g) l’assenza di qualunque elemento nell’oggetto della sottoscrizione atto a modifi carne gli atti, fatti o dati nello stesso rappresentati;

h) la connessione univoca della firma al documento sottoscritto.

Nel successivo art. 61, lo stesso DPCM prevede che “L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe), del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione, la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice.”

In un certo senso, questa disposizione chiude il cerchio rispetto alle domande che si siamo posti fino ad ora: l’utilizzo dei documenti di identità elettronici - oltre a permettere l’accesso in rete ai servizi - costituisce già di per sè firma elettronica avanzata, per cui l’istanza presentata via web è assolutamente valida a tutti gli effetti, e quindi si considerano rispettati i requisiti sopra citati dell’art. 56.

Ovviamente l’aspetto “tecnologico” anche in questo caso è fondamentale, perchè si afferma che “al fine di favorire la realizzazione di soluzioni di firma elettronica avanzata, l’Agenzia elabora Linee guida sulla base delle quali realizzare soluzioni di firma elettronica avanzata conformi alle presenti regole tecniche.”; di primaria importanza è quindi il ruolo di AGID, a cui spetta definire le caratteristiche tecniche per la generazione e verifica delle firme, i formati e le caratteristiche.

Abbiamo quindi chiarito che l’utilizzo di CIE, CNS o altri documenti digitali permettono l’accesso e la sottoscrizione di un’istanza online, valida e riconosciuta a tutti gli effetti, anche attraverso l’identità SPID.

Purtroppo, allo stato attuale, non si può essere certi che se l’identità SPID è ottenuta con CIE, CNS o altri documenti digitali corrisponda già ad un’identità di livello 3, in quanto il Regolamento attuativo nulla dice in proposito.

Si potrebbe ragionevolmente supporre che in questo caso l’identità SPID rilasciata dovrebbe contenere già in sè i diritti per avere il livello 3, in quanto i dispositivi utilizzati per la richiesta contengono già una firma; ma non è chiaro se la stessa regola può valere anche per chi ottiene l’identità SPID con un dispositivo di firma digitale, che già a monte comporta il riconoscimento della persona.

Inoltre, visto che tutti gli strumenti elencati hanno un costo (tranne la TS che è rilasciata gratuitamente), se il livello 3 di SPID fosse a pagamento, bisognerebbe sostenere un costo due volte per avere uno strumento di accesso e sottoscrizione online (che è già stato sostenuto per il documento di identità digitale).

E ancora, come deve essere trattato l’accesso e la sottoscrizione online di un soggetto che ha ottenuto l’identità SPID senza avvalersi di un documento di identità digitale? Può rientrare tra “gli altri strumenti ad essi conformi” citati dall’art. 61 del DPCM 22/2/2013, e quindi essere equiparato ai documenti di identità digitali?
Stando così le cose, sembrerebbe che per rispettare tutte le disposizioni richiamate sia quasi “indispensabile” il possesso di un documento di identità digitale, poi collegato ad un’identità SPID.

Se anche tanti dubbi dovrebbero essere stati risolti, emerge comunque una forte necessità di coordinamento e semplificazione tra CIE e CNS-TS e SPID: in questo senso è altrettanto forte il ruolo di AGID per la definizione di regole e strumenti.

15 Gennaio 2016

TAG: carta identità, saggini, spid