SPID al Polimi: un primo bilancio

L'ANALISI

A poco più di un mese dall’adesione a SPID da parte del Politecnico di Milano, tracciamo un primo bilancio dell’esperienza cercando di trarne alcuni spunti di carattere generale. Ripercorriamo a tale scopo i principali passaggi che hanno portato all’attivazione del servizio ponendone in evidenza gli aspetti rilevanti e valutando le possibili evoluzioni

di Fabrizio Pedranzini, dirigente dell’Area Servizi ICT del Politecnico di Milano
Fabrizio PEDRANZINI, Dirigente Area Servizi ICT del Politecnico di Milano

Allo stato attuale delle cose non vi sono obblighi che impongano ad un Ente l’attivazione in tempi stretti dell’integrazione con SPID, perché dunque affrettarsi?

Ce lo siamo chiesti sia come Ateneo che come comparto universitario ed abbiamo condiviso l’opinione che si trattasse di un’iniziativa da sostenere concretamente, rispetto alla quale concordare azioni e soluzioni condivise. Ci siamo confrontati per individuare le criticità ed opportunità del progetto, condividendole poi in un workshop al quale hanno partecipato anche i referenti di AgID e di tutti gli Identity Provider SPID. Ciò ha permesso al comparto di individuare le caratteristiche di una soluzione tecnologica condivisa ed il suo possibile impatto sui processi di gestione, nonché di attivare i necessari contatti per le successive attività di messa a punto, collaudo e rilascio in produzione.

E’ chiaro che a valle di ciò la decisione di procedere con l’attivazione del servizio spetta al singolo Ateneo, ma l’attività istruttoria condivisa costituisce una significativa base per le fasi successive. Questo modo di procedere si è dimostrato efficace e potrebbe essere adottato anche in altri comparti, evitando la dispersone di risorse alla ricerca di soluzioni locali e non coordinate.

Definizione dell’impatto sui servizi e sui processi 

Si tratta di un aspetto delicato, sul quale si gioca una parte significativa del contributo al successo complessivo del progetto SPID e che in sostanza definisce il livello di ingaggio di ciascun Ente rispetto all’iniziativa.

E’ chiaro che ci si potrebbe limitare a considerare SPID quale servizio di autenticazione alternativo e più sicuro rispetto all’uso delle credenziali rilasciate in precedenza dall’Ente. L’utilizzo dell’autenticazione SPID garantisce del resto un maggior livello di sicurezza e rende più confidenti della coincidenza tra l’identità digitale dell’utente e la sua identità fisica, limitando così il rischio di accessi impropri ai servizi ed ai dati personali, sia in consultazione che in modifica.

Tale finalità, per quanto importante, è scontata ed implicita nell’utilizzo di SPID, ma si può sicuramente fare di più. Ci si deve infatti chiedere in quale modo l’adozione di SPID possa incidere sui processi dell’organizzazione, semplificandoli e semplificando la vita agli utenti.

Va inoltre tenuto in conto il fatto che gli Enti, candidati Service Provider dell’ecosistema SPID, partono sicuramente dalle pregresse registrazioni nelle proprie anagrafiche degli utenti abilitati e profilati per l’accesso ai servizi offerti, alcuni dei quali peraltro fruibili solo previa registrazione nel sistema dell’avvenuto riconoscimento (tipicamente de visu con documento di identità).

Tenendo conto di ciò è opportuno considerare i seguenti casi d’uso rilevanti:

-          Acquisizione di istanze e dichiarazioni: ai sensi del Codice dell’Amministrazione Digitale (Art. 65), l’autenticazione SPID conferisce validità ad istanze e dichiarazioni presentate per via telematica alle pubbliche amministrazioni. Ciò costituisce una rilevante opportunità per semplificare l’interazione con l’utenza e rendere più efficienti i processi di gestione di ciascun Ente.

Certamente l’uso di SPID non è l’unica modalità di presentazione delle istanze prevista dal CAD, ma è lecito attendersi che possa avere tra i cittadini maggiore e concreta diffusione rispetto alle alternative indicate (firma digitale e casella PEC).   

-          Attivazione di un nuovo utente a partire da un’identità digitale SPID: un nuovo utente interessato alla fruizione dei servizi erogati da un Ente può trarre beneficio dall’autenticazione SPID poiché l’Ente è in grado di automatizzare la corrispondente l’attivazione della nuova utenza, marcandola peraltro come legata ad una identità digitale formalmente riconosciuta da un Identity Provider certificato. Ciò porta al duplice beneficio di sgravare l’Ente dall’onere e dalla responsabilità del riconoscimento e mette in condizioni l’utente di accedere da subito ai servizi, ovviamente entro i limiti previsti per il suo profilo di autorizzazione.

-          Binding di un utente preesistente con un’identità digitale SPID: l’accesso ai servizi dell’Ente previa autenticazione SPID da parte di un utente riconducibile ad una registrazione già presente nell’anagrafica dell’Ente (ad esempio tramite il codice fiscale) offre la possibilità di collegare le due identità digitali, definite rispettivamente in SPID e presso l’Ente, associando a quest’ultima la connotazione di “riconosciuta” nel caso in cui ne fosse priva. Anche in questo caso ciò porta ai benefici indicati al punto precedente.

Un Ente che saprà supportare i casi sopra esposti integrandone la gestione nel proprio sistema informativo potrà trarre un beneficio concreto dall’adozione di SPID e ciò sarà tanto più vero quanto più i suoi utenti (già attivi o potenziali) ne potranno avere contezza. Non sarà quindi una questione riconducibile ad aspetti meramente tecnologici, la partita si giocherà sulla capacità di attivare comunicazioni adeguate ed efficaci.

Come Ateneo abbiamo, contestualmente all’adesione a SPID, preso in considerazione i casi d’uso sopra indicati e deciso di supportarli rivedendo in parte i processi di gestione. A consuntivo del primo periodo di attivazione va però rilevato che l’uso dell’autenticazione SPID stenta oggettivamente a decollare. L’utenza dei servizi dell’Ateneo è variegata (potenziali studenti, studenti, laureati, docenti, personale tecnico ed amministrativo, collaboratori, …) ed in media la potremmo considerare sensibile al tema della sicurezza nell’accesso ai servizi online ed al valore aggiunto della gestione SPID dell’identità digitale. I primi riscontri sono però contraddittori: ci sono sicuramente gli “innovatori” che hanno subito apprezzato ed approfittato dell’opportunità offerta, però ci sono anche (molti) utenti che ancora si chiedono cosa sia SPID ignorandone completamente l’esistenza.

Nel transitorio di avvio ciò è sicuramente comprensibile e possiamo contribuire a far crescere negli utenti la consapevolezza del significato e del valore aggiunto della gestione centralizzata e sicura dell’identità digitale, però è un segnale della necessità di fare di più a livello di sistema generale. Ciò con riferimento sia alla comunicazione sul significato e ruolo di SPID che in merito alle procedure operative di attivazione dell’identità digitale presso i gestori. Procedure che devono essere assolutamente snelle e chiare, a prova di utente privo di competenze tecniche.

In tal senso vi sono ancora (ampi) margini di miglioramento sui quali intervenire anche per evitare che la generale mancanza di sensibilità rispetto a questi temi da parte degli utenti possa inconsapevolmente abbassare il livello di sicurezza e favorire accessi fraudolenti ai servizi.

Una leva significativa per il successo sarà quella di dimostrare concretamente che il sistema funziona, facendo percepire il valore aggiunto dell’operazione ed incentivando quindi l’adesione da parte dei cittadini. A tal fine va notato che la valutazione dell’impatto di SPID sui processi del singolo Ente sopra descritta è rilevante, ma si potrebbe e dovrebbe fare di più.

Dall’Ente al sistema di Enti: SPID a supporto dei processi trasversali

Ci dovremmo infatti chiedere quali benefici potrebbero derivare dall’adozione di SPID nell’ambito di processi trasversali rispetto agli Enti, poiché ciò potrebbe portare a significative semplificazioni per gli utenti e farebbe concretamente percepire che si sta finalmente “facendo sistema”.

Per capire concretamente ciò, e non lasciarlo ad un’astratta dichiarazione di intenti, istanziamolo su un caso concreto, ad esempio prendiamo in considerazione il processo di passaggio dalla Scuola Superiore all’Università. Un processo che è sotto gli occhi di tutti e che interessa ogni anno centinaia di migliaia di ragazzi.

Proviamo anche solo ad elencare i differenti contesti nei quali ciascuno studente ha la necessità di effettuare una registrazione anagrafica con annessa, in alcuni casi, attività di riconoscimento:

-          Sistema informativo della Scuola Secondaria Superiore di conseguimento del Diploma

-          Portale web Universitaly www.universitaly.it  del MIUR (in caso di accesso a Corsi di Laurea a “numero chiuso”)

-          Sistema informativo di ciascun Ateneo nel quale il candidato studente desidera sostenere una prova di ammissione

-          Sistema informativo dell’Ateneo presso il quale lo studente procede all’immatricolazione (Ateneo che potrebbe anche essere differente da quelli del punto precedente)

E’ evidente che ciò implica:

-          La creazione, da parte di ogni studente, di una identità digitale presso ciascuno degli Enti coinvolti per le scelte effettuate (Scuola Superiore, MIUR, Atenei)

-          Che per ognuna delle proprie identità digitali l’interessato sia costretto a ripetere operazioni analoghe e a tener traccia delle credenziali di accesso assegnate

-          Che per ognuna delle identità digitali gestite ciascun Ente debba supportare a proprio carico e sotto la propria responsabilità il processo di registrazione e riconoscimento, garantendo la qualità e la coerenza dei corrispondenti attributi raccolti

-          Che non vi sia alcun legame certo tra le differenti identità digitali generate dalla stessa persona fisica presso i differenti Enti.

Cosa cambierebbe se gli Enti coinvolti aderissero tutti a SPID e gli studenti avessero le corrispondenti credenziali?

-          Ciascuno studente non dovrebbe generare nuove identità digitali, utilizzerebbe quella attivata presso l’Identity Provider SPID scelto, unico garante del legame tra la sua identità digitale e la sua persona fisica 

-          Ciascun Ente dovrebbe limitarsi, a fronte dell’autenticazione tramite SPID, ad attivare l’utenza raccogliendo soltanto eventuali attributi aggiuntivi necessari per supportare i propri specifici sottoprocessi (ad esempio di iscrizione alle prove di ammissione o di immatricolazione ad un Corso di Studi).

-          Il legame tra le differenti utenze di accesso ai sevizi attivate presso i differenti Enti sarebbe garantito da SPID.

Credo che ogni commento sia superfluo: è evidente il vantaggio che ne deriverebbe in termini di semplificazione e gestione ed è chiaro che ne beneficerebbero sia gli Enti coinvolti che gli studenti.

Sarebbero necessari grossi investimenti sui sistemi esistenti per ottenere ciò? No, però per arrivarci si rende necessario un cambio di mentalità che porti ad uscire dalla logica a compartimenti stagni, zavorra che impedisce di ragionare in ottica di sistema. E’ necessario imparare a lavorare insieme con un obiettivo comune.

SPID è uno strumento di innovazione nelle nostre mani: starà a noi saperlo usare nel modo corretto e convincere i nostri utenti del suo valore. Magari cogliendo l’occasione per mettere mano a processi che aspettano solo di essere rivisti.

Nota: per completare l’opera di revisione del processo di immatricolazione sopra descritto, potremmo anche considerare ulteriori interventi ipotizzando che MIUR funga da Attribute Provider SPID al fine di semplificare ulteriormente alcuni flussi informativi associati a verifiche amministrative (si pensi ai controlli puntuali dei titoli di studio effettuati dalle Università). Questa però è un’evoluzione che potrebbe richiedere ancora qualche tempo, per ora potremmo accontentarci di una cooperazione applicativa tra Enti implementata tramite web service. Soluzione efficace a poco costosa da realizzare.

18 Ottobre 2016

TAG: spid, polimi