Le cronache delle ultime settimane hanno visto, da più parti il lancio di allarmi sul futuro di SPID.
Cerchiamo, pur con i pochi elementi a disposizione, di svolgere qualche considerazione su cosa potrebbe riservare il futuro per quanto riguarda questo sistema di identità elettronica.
I segnali di allarme per il futuro di Spid
La prima notizia che è girata è che sarebbero scadute tutte le convenzioni tra Agid e gli identity provider, per cui SPID sarebbe, “certamente” a rischio spegnimento in caso di mancato accordo sul rinnovo.
Cercando però le convenzioni sul sito di Agid[1] si scopre che, se è vero che le principali convenzioni con identity provider sono scadute, altre, con nuovi identity provider (Team System e Etna Hitech), sono state appena stipulate – hanno infatti data 2023 – e, dunque, anche nell’ipotetico (e non creduto) caso in cui i principali identity provider non rinnovassero le proprie convenzioni scadute, il sistema non “chiuderebbe” poiché vi sono nuovi identity provider che ancora hanno anni di servizio da svolgere.
Ma non è tutto. Leggendo il testo della convenzione si scopre che le convenzioni esistenti, tutte del 2016 e 2017, se non disdette entro la scadenza, si rinnovano tacitamente per uguale periodo e, ancora, che anche se vi fosse una cessazione, il gestore avrebbe l’obbligo di collaborare al trasferimento degli SPID cessati verso gli identity provider ancora in attività.
Dunque, non pare che la “scadenza” delle convenzioni, di per sé, rappresenti una criticità insormontabile.
I nodi del confronto tra Agid e Identity Provider
Questo non vuol però dire che il problema possa essere ignorato e gestito autoritativamente da Agid, senza confrontarsi con le istanze proveniente dal mondo degli IdP ed è questo confronto, probabilmente, ad aver catturato l’attenzione di alcuni osservatori.
Il sistema SPID prevedeva all’origine che la remunerazione della gratuità del rilascio da parte degli identity provider avvenisse tramite la possibilità di utilizzare e commercializzare l’identità SPID anche per uso privato, stavolta con pagamento dei relativi servizi. Il ritardo di Agid nell’attuare la regolamentazione relativa ai servizi privati, agli aggregatori, agli attribute provider ha fatto si che la fornitura del servizio gratuito, per anni, non sia stata controbilanciata dalla possibilità di offrire il servizio privato e questo problema non è certamente dipeso dagli operatori del mondo SPID. È stata una lentezza regolamentare ed attuativa della parte pubblica.
Si aggiunga che, negli ultimi tempi (e finalmente) si sono accreditati numerosi soggetti quali aggregatori pubblici e privati.
Ora, il sistema è maturo ed in grado di servire i privati e lasciandolo evolvere si potrebbe ragionevolmente arrivare a una situazione in cui è possibile per gli identity provider ripagarsi degli investimenti effettuati.
Chiudere Spid? Ma la CIE non può ancora sostituirlo, ecco perché
Cambiare mette a rischio gli ingenti investimenti fatti finora
Sia gli identity provider che gli aggregatori sono infatti soggetti che hanno fatto e stanno facendo investimenti nel sistema SPID privato e pubblico, volti a diffondere l’uso del sistema, abilitando realtà pubbliche e private, anche di importante rilevanza sociale. A loro volta, lo Stato – anche tramite il PNRR – ha fatto importantissimi ed ingenti sforzi, utilizzando anche fondi del PNRR, per rendere gli enti pubblici idonei ad accettare SPID. È stato un lavoro di anni, che tuttora va avanti.
Ogni sito di ente o realtà privata che si abilita a SPID (e CIE) è il risultato di un lavoro di integrazione ed aggiornamento dei sistemi e di compliance (privacy e contrattuale) che richiede mesi e che impiega – per le Pubbliche Amministrazioni – fondi pubblici. La cifra che il PNRR alloca per la transizione a SPID e CIE di enti e Comuni è di poco meno di 200 milioni di euro, che finirebbero sprecati se si decidesse, dopo solo pochi mesi dall’adozione, di cambiare identità digitale.
Rispetto a tale quadro, annunci che provocano informazioni stampa non accurate sulla “prossima” chiusura del sistema creano paura negli enti e privati in procinto di adottare il sistema, si genera paura di sprecare risorse e portare l’utenza su procedure destinate a divenire in poco tempo obsolete.
In tal modo si allontana la possibilità per il sistema SPID di autosostenersi, senza la necessità dell’intervento pubblico.
Cambiare il sistema di identità richiederebbe infatti nuovo lavoro di integrazione da ripetere su tutte le Amministrazioni e soggetti privati che hanno già adottato SPID e CIE e si deve tener conto che, per arrivare ai livelli attuali di diffusione, ci sono voluti dieci anni (e ancora non tutti gli enti la adottano).
L’unificazione di SPID e CIE in una identità digitale “nazionale”
Su questo tema non si può, dunque, non parlare dell’altra notizia che ha destato preoccupazione tra gli addetti ai lavori è stata la dichiarazione governativa di aver costituito una task force con il compito di studiare la unificazione di SPID e CIE in una identità digitale “nazionale” con annessi servizi di portafoglio dell’identità.
Non è chiaro se il Governo si volesse riferire al portafoglio di identità digitale europeo eIdas2, oggetto della proposta di revisione del Regolamento UE sull’identità digitale, la cui adozione sarebbe comunque facoltativa per la cittadinanza o se il Governo intenda lavorare alla creazione di una nuova identità nazionale con servizi di portafoglio dei documenti digitali, valida solo a livello nazionale e che si porrebbe in concorrenza, oltre che con SPID e CIE, anche con la nuova identità europea, se questa fosse lanciata.
Quel che è certo è che già il sistema SPID prevedeva, sin dall’origine il sistema dei c.d. “attributi”, certificazioni ed informazioni su titoli e documenti del titolare di SPID (es. un avvocato potrebbe avere nello SPID l’attributo del titolo di “avvocato”) che, però, a dieci anni dal lancio di SPID, non sono ancora partiti, dato che richiedono il concerto ed implementazioni tecniche da parte di tutti i soggetti chiamati a gestirli.
I problemi che si presenterebbero con la creazione di una nuova identità digitale
Sembra dunque irrealistico che, in pochi mesi, si riesca ad abolire SPID, sostituendolo con un sistema di portafoglio dei documenti digitali, che sarebbe proprio l’evoluzione di quel sistema di attributi che ancora stenta a partire, distribuire milioni di identità agli utenti (reidentificandoli) e riconvertire tutti i siti e le procedure.
Non è infatti pensabile che tale sostituzione sia indolore. Vi sarebbero, probabilmente, vari ordini di problemi da risolvere, che provo ad elencare.
Anzitutto i cittadini/utenti dovrebbero imparare nuove e diverse procedure e, con ogni probabilità, dato che l’identificazione per SPID è stata fatta dagli identity provider, lo Stato dovrebbe ripeterla, con tempi e procedure simili a quelli attuali per il rilascio di una CIE (3 mesi per l’appuntamento a Roma). Molti rischierebbero di rimanere senza la nuova credenziale per parecchio tempo, tagliati fuori dai servizi online.
Al tempo stesso, molti servizi online potrebbero non essere adeguati immediatamente, provocando lo stesso effetto di non essere accessibili per i cittadini con la nuova credenziale.
La situazione sarebbe quella di una transizione, simile a quando i canali televisivi passano al “nuovo” digitale terrestre: a seconda del canale da vedere e del televisore che si trova, si può non riuscire a ricevere il programma desiderato perché il canale non è migrato o il televisore non è adeguato, con frustrazione dell’utenza.
Si creerebbe, probabilmente, un ginepraio, in cui i cittadini poco avvezzi al digitale faticherebbero non poco a capire quale è l’identità giusta da utilizzare.
La nuova “identità”, diversa da SPID e CIE, dovrebbe essere notificata alla Commissione UE, per potere avere valenza transfontaliera, poiché l’Italia è obbligata ad offrire ai cittadini una identità che consenta di accedere ai servizi online degli enti pubblici degli altri Stati membri UE. Se cessassero SPID e CIE, questo ruolo dovrebbe assumerlo la nuova identità. Ma i tempi della procedura di notifica sono di circa un anno e mezzo e, dunque, giocoforza, SPID e CIE dovrebbero continuare ancora per tutto il periodo. Dovrebbe poi essere messo in campo l’adeguamento dei “nodi” degli altri Stati membri al nuovo sistema di identità, con tempi che potrebbero essere di un ulteriore anno o due per i collaudi necessari (basandosi sui tempi che ci sono voluti per attivare i nodi EIDAS per SPID e CIE).
Sarebbe poi, a dir poco, complesso sostituire la CIE: la CIE è una carta d’identità e, dunque, ciò che verrebbe meno sarebbe (forse) il sistema CIEId, ma, anche in questo caso ci sono già vari soggetti che hanno sottoscritto convenzioni con il Ministero dell’Interno per erogare il servizio che non può essere semplicemente dismesso da un giorno all’altro.
Se, invece, l’idea fosse di portare tutto il sistema su CIE, come ho già segnalato in precedenti interventi, sarebbe necessario rafforzare e potenziare il sistema di vigilanza del Ministero dell’Interno su queste tipologie di servizi, poiché, attualmente, mancano sia strutture che procedure regolamentari dedicate: il sistema CIE non ha infatti un apparato regolamentare minimamente paragonabile a quello di SPID e necessita ancora di molto lavoro per essere portato a pari livello.
Il Governo cambia SPID: bene, ma sarà difficile. Ecco perché
Conclusioni
Le considerazioni di cui sopra portano a dire che qualsiasi nuova credenziale dovrebbe essere retro-compatibile con SPID e con CIE e non sostitutiva. O, quanto meno, dovrebbe essere erogata e diffusa, mantenendo attive le altre identità.
Infine, sarebbe necessaria una opera di revisione della regolamentazione che prevede SPID e CIE come necessarie o idonee, anche in contesti specifici, come ad esempio nell’identificazione ai fini dell’antiriciclaggio bancario e nella identificazione per il rilascio delle firme elettroniche.
Come si vede, il percorso di cessazione delle attuali identità elettroniche per introdurre un diverso sistema, se pur in astratto possibile, non sembra il più agevole.
Diverso sarebbe se si volesse – come era sembrato sino a qualche mese fa – lasciare attivo SPID gradualmente potenziando ed evolvendo l’identità elettronica CIE, per favorire una sorta di migrazione volontaria dell’utenza. Solo con una base utenti consolidata che effettivamente utilizza un diverso sistema sarebbe possibile limitare o abbandonare il sistema attuale, senza creare disagi e discontinuità rilevanti.
- https://www.agid.gov.it/it/piattaforme/spid/identity-provider-accreditati ↑
