Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

pa digitale

Dalla CIE a SPID, il percorso dell’identità digitale in Italia: dove stiamo andando

di Giovanni Manca, , esperto di dematerializzazione e sicurezza ICT

28 Set 2017

28 settembre 2017

La CIE 1.0 (ma anche la 2.0) è la prima testimonianza del tipico progetto di largo respiro della PA italiana. Il meccanismo è quello del “taglia il nastro” e poi dimentica. Poi è arrivato SPID, ma a parte le due impennate nelle richieste legate ad App18 e Carta del Docente, l’adozione stenta a decollare. Come recuperare?

Nell’informatica dei mainframe prima e dei mini computer distribuiti poi, l’identità digitale era costituita da un nome utente (username) e da una parola chiave (password) da tenere ben custodita e a mente (al peggio scritta su un post-it incollato al video).

Poi venne Internet, i servizi in rete e la mobilità degli stessi. Le credenziali utente quindi si sono moltiplicate e se avevate un posto di lavoro dove l’accesso sicuro era indispensabile e due conti in banca era certo che in vostro possesso c’erano tre OTP (generatori di password).

In questo contesto si sono sviluppati anche i servizi in rete della PA a partire da quelli previdenziali e fiscali con una ulteriore necessità di PIN (password) specifici per ogni servizio.

A partire dal 1998 si è iniziato a parlare di credenziale unica prima la Carta d’Identità Elettronica (CIE 1.0) e poi con la Carta Nazionale dei Servizi (CNS).

 

Di CIE e CNS o quasi

La CIE 1.0 (ma anche la 2.0) è la prima testimonianza del tipico progetto di largo respiro della PA italiana. Il meccanismo è quello del “taglia il nastro” e poi dimentica. Basta un esempio sulla banda ottica installata su questa versione della CIE. Essa è una striscia di materiale “ottico” scrivibile tipo CD WORM. Nei progetti iniziali, oltre a contenere le impronte del titolare, doveva contenere dati sanitari “permanenti”, come ad esempio un’ortopanoramica dentale.

Ma la disponibilità di capacità di trasmissione diventa adeguata, quindi i dati sono sui server e si consultano attestando la propria identità con la CIE.

La CIE non decolla mai completamente, costa troppo l’emissione a vista, il sistema anagrafico nazionale nonostante cospicui investimenti non riesce a essere diffuso e stabile e allora…

Vengono finanziati progetti con i fondi UMTS. Il Ministro Lucio Stanca dichiara che non si possono gestire i dati in rete senza una adeguata gestione dell’identità dei cittadini.

Nasce così la CNS che dopo varie vicende diventa Tessera Sanitaria (TS-CNS) e dopo ulteriori vicende è distribuita su base regionale.

Non c’è pace… Il progetto di unificazione CIE e CNS parte; viene redatto un decreto che viene inviato a Bruxelles per la notifica di rito delle regole tecniche. Il provvedimento sul Documento Digitale Unificato (DDU) viene approvato (il termine corretto è comunque non viene disapprovato) ma non diventa operativo.

CIE 3.0 e TS-CNS vanno per strade diverse e indipendenti.

 

E arriva lo SPID 

Nel mondo della Rete e dei servizi che imprescindibilmente devono essere erogati tramite essa arriva il Sistema Pubblico per la gestione dell’Identità Digitale per cittadini e imprese (SPID).

All’interno di un sistema gestito dall’Agenzia per l’Italia Digitale (AgID) dei soggetti accreditati svolgono il ruolo di gestori dell’identità, altri sono gestori degli attributi qualificati del titolare (per esempio l’appartenenza ad un ordine professionale).

I servizi della PA sono da erogare obbligatoriamente mediante il modello SPID. Le date sono spesso variabili, ma possiamo individuare la scadenza per questo obbligo nella fine del 2017 come descritto nelle FAQ pubblicate sul sito dedicato a SPID presso AgID.

I privati possono erogare servizi basati sul modello SPID e si è in attesa dello schema di convenzione che tali soggetti dovranno sottoscrivere con AgID.

Lo schema è pronto e pare imminente la sua attivazione.

 

SPID esiste e deve vivere

I soggetti privati sono cruciali per il modello di business di SPID. Alla data le credenziali SPID sono rilasciate gratuitamente ai cittadini. Le pubbliche amministrazioni non devono nulla ai gestori dell’identità per il pagamento dei singoli riconoscimenti ma i soggetti privati sì.

Per semplificare i rapporti tra soggetti, AgID potrebbe gestire direttamente il rapporto tra i 7 gestori dell’identità attivi (ma un altro è già accreditato e altri potrebbero arrivare) e i fornitori di servizi evitando a questi ultimi di sottoscrivere 7 e più contratti.

Si ricorda, infatti, che un fornitore di servizi accetta, senza discriminazione, tutte le credenziali rilasciate dai soggetti accreditati per la gestione dell’identità.

La tariffa dovuta per la singola validazione dell’utente dovrebbe essere equilibrata rispetto a parametri di sostenibilità economica, sia da parte del gestore dell’identità che del fornitore di servizi.

Una tecnica di prezzo amministrato è conforme alla normativa in materia di concorrenza e di mercato.

 

Il mercato è libero e l’offerta stimola la domanda

Tanti illustri esperti hanno detto e scritto circa la storia dei primi 15 mesi circa di SPID. Chi scrive si limita a osservare che due grosse impennate di richiesta credenziali si è evidenziata per gli obblighi derivanti da App18 e Carta del Docente.

Contemporaneamente si è attivata l’azione propulsiva delle Camere di Commercio che effettuano gratuitamente le operazioni di registrazione per i gestori dell’identità che aderiscono, liberamente, all’iniziativa. Ma si va a 1000 identità al mese. Quindi bisogna capire perché. Per la PA i servizi offerti tramite SPID sono sostanzialmente quelli offerti con PIN o CNS. Pochissimi servizi specificamente sono nati per SPID.

I professionisti utilizzano il PIN e in alcune aree geografiche la CNS e non hanno motivazione reale a passare a SPID. Dovrà essere gestita comunque la transizione di 25 milioni circa di PIN. Il Codice dell’amministrazione digitale ha reso facoltativo l’accesso ai servizi tramite CIE e CNS. Alcune amministrazioni interpretano la norma come “non sono obbligata a garantire l’accesso tramite le smart card”.

Infine risulta carente la linea di indirizzo sull’erogazione di servizi di natura sanitaria tramite SPID. Anche qui la differente velocità regionale crea scompensi territoriali.

Gli obiettivi da tenere a mente per lo sviluppo di SPID nel breve periodo sono comunque:

  • è obbligatorio (per esempio in ambito servizi NoiPA e con il dispiacere associato alla costrizione per la trasformazione digitale);
  • è sconosciuto (fuori dagli addetti ai lavori SPID è ignoto);
  • mi serve perché rende il procedimento amministrativo o privato più efficiente per l’utente. Vedi i servizi di home banking, prenotazioni alberghiere e gestione dei viaggi.

Non bisogna cedere alle sirene che cantano la circostanza che ottenere le credenziali SPID è “difficile”. Il processo deve essere sicuro allo stato dell’arte. Un livello inferiore crea insicurezza, sfiducia e distacco. Ovvero si perde la partita.

  • paolo

    non ho mai capito perchè la Tessera Sanitaria che mi ha dato la Regione Abruzzo (circa 3 anni fa) che dice di essere anche CNS non mi ha mai funzionato come CNS nonostante l’avessi attivata nella mia ASL

  • Federico

    Come al solito l’autore è ironico (purtoppo) e preciso. Ma cmq avere lo SIPD è un processo complesso. Finchè non sarà obbligatorio, aspetto: può sempre migliorare…

  • Lamefrog

    Cosa potrebbe indurre un’istituzione bancaria a pagare il servizio di identificazione agli ID provider e rinunciare al sistema di identificazione su cui ha investito o al più usarli entrambi?
    Senza dimenticare che dovrà integrare il suo sistema di gestione degli attributi con 7 Id provider?

  • Marco Deligios

    Sulla prima CIE l’Università di Tor Vergata, pagata profumatamente dal Ministero dell’Interno per lavorare sul progetto, non ha realizzato una parte fondamentale dell’infrastruttura tecnologica che sta alla base di un documento elettronico!

    L’argomento si è già guadagnato l’attenzione dell’Autorità Nazionale Anticorruzione che, alla chiusura del fascicolo, ha disposto “l’invio della delibera alla Procura della Corte dei Conti e al Nucleo Polizia Tributaria di Roma, per i profili di competenza”. (http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?id=3173b5180a778042508b9d1aad6eec0c)

    Ma in Italia tutto cade nel dimenticatoio

  • Monica

    Perchè non far cooperare le 2 infrastruttura CIE e Spid?
    Mi chiedo se era proprio necessario assegnare la funzione di IdP ai privati o se invece lo stato non avrebbe potuto trattenere per sè una funzione così importante e fondamentale per la sicurezza, avendo già disposizione e potendo utilizzare l’infrastruttura della CIE.
    La PA gestisce già un’infrastruttura, quella per il rilascio CIE, sicura e distribuita su (quasi) tutto il territorio nazionale perchè non avvantaggersene anche per il rilascio dello Spid?
    Altro vantaggio, semplificare la vita al cittadino permettendogli di richiedere CIE e Spid nello stesso momento nello stesso sportello del comune.

Articoli correlati