Salviamo Spid dal prossimo grande crash: ecco cosa fare | Agenda Digitale

le proposte

Salviamo Spid dal prossimo grande crash: ecco cosa fare

Il Governo ha spinto in modo inadeguato Spid e ha sostenuto pochissimo i provider privati, salvo poi sovraccaricare il sistema con click day come il bonus bici e stupirsi se questo va in tilt. Vediamo le cose più urgenti da fare perché non accada di nuovo, a partire dal sostegno ai servizi privati spid-based

13 Nov 2020
Eugenio Prosperetti

avvocato, docente Informatica Giuridica Facoltà Giurisprudenza "LUISS"


Il click-day del bonus mobilità (bici) ha posto all’attenzione nazionale alcune gravi ed importanti fragilità dell’infrastruttura nazionale SPID.

È una buona occasione per fare il punto della situazione e capire come risolvere alcuni nodi che rendono così vulnerabile il sistema di identità digitale italiano; anche in vista della sua crescita futura per l’accesso a un crescente numero di servizi digitali pubblici e (forse) privati.

La storia travagliata di Spid

SPID ha sinora avuto una storia abbastanza travagliata che forse vale la pena brevemente ripercorrere.

Chi scrive si occupa di SPID dal lontano 2013. Fui coinvolto in quell’anno in alcuni tavoli tecnici di brainstorming di esperti chiamati a riflettere sulla possibile creazione di un sistema di identità digitali nazionale, in linea con le ipotesi che stavano avanzando nei principali stati UE, in grado di superare le limitazioni della pre-esistente CNS e della mai decollata carta di identità elettronica per evitare che il delicatissimo tema dell’identità di accesso ai servizi pubblici, sempre più problematico da gestire a livello di singole amministrazioni per via dei costi e dei crescenti problemi di sicurezza, diventasse appannaggio dei privati senza alcun controllo da parte dello Stato.

Da quei tavoli emersero le proposte che poi, accolte e rielaborate in sede governativa, divennero SPID.

Il Governo dell’epoca accolse infatti l’idea di un sistema di identità federate, aperto all’adesione di qualunque soggetto rispettasse lo standard, che sarebbe diventato il futuro SPID.

La scelta di poggiare tutto su privati

Perché un sistema operato da privati e non dallo Stato?

La proposta sembrò convincente rispetto ad altre idee di un sistema 100% statale, perché non richiedeva investimenti, almeno nell’immediato da parte dello Stato, che sarebbe stato complessissimo mettere in campo stante il fatto che l’adozione avrebbe richiesto anni: gli investimenti dei privati che fossero voluti diventare gestori dell’identità si sarebbero d’altra parte potuti ripagare con future applicazioni e sviluppi dello SPID nei servizi privati creando un ciclo virtuoso. Nulla peraltro escludeva che, in futuro, lo Stato avrebbe potuto mettere in campo una propria versione dello SPID, per coloro che non si sentissero tranquilli a ottenere l’identità digitale da un gestore privato.

Fu altresì deciso di non perseguire la carta di identità elettronica come identità digitale primaria del Paese perché l’ottenimento sarebbe stato condizionato dai tempi di scadenza dei documenti cartacei e l’uso avrebbe richiesto una interazione con il documento stesso: un lettore, la lettura NFC o altro, risultando meno immediato per una persona anziana o con poche abilità digitali.

D’altra parte lo scarso successo della CNS era proprio dovuto alla necessità di installare un lettore della carta, con relativi driver e alla non garanzia di compatibilità tra tutte le tipologie di carte rilasciate e tutti i lettori in circolazione.

Solo di recente è stata sviluppata l’app Cie ID che rende facile l’uso della carta per i servizi digitali.

Lo Stato, attraverso l’Agid, manteneva però sempre vigilanza e controllo sulle identità rilasciate e questo garantiva questo tipo di servizio di identità rispetto a servizi analoghi del tutto privati.

Il sistema italiano veniva peraltro concepito, sin da subito, come sistema di identità che avrebbe potuto essere utilizzato nei servizi pubblici e nei servizi privati, questa è un’idea rivoluzionaria che pone lo SPID avanti rispetto agli analoghi sistemi degli altri Stati UE, concepiti ad uso esclusivamente pubblico.

Consente una vera semplificazione in prospettiva futura: l’identità che uso per accedere alla P.A., potenzialmente, può essere la stessa con cui entro nel conto bancario e faccio acquisti e-commerce, consentendo una garanzia per i fornitori di servizi e una tutela dell’utente da abusi e furti di identità senza precedenti.

Cosa non ha funzionato?

Premettiamo che ciò che non ha funzionato è qualcosa di risolvibile e che qualsiasi idea di smontare lo SPID e sostituirlo con altri sistemi è, ad avviso di chi scrive, non ragionevole: qualsiasi diversa soluzione impiegherebbe tempo, denari e vanificherebbe anni di sforzi: lo SPID è già nelle “tasche” virtuali di oltre 12milioni di cittadini e questo è un primato assoluto.

Si pensi infatti che le Carte di Identità Elettroniche rilasciate sono circa 17.661.000 ma che il semplice ottenimento della CIE non indica che l’utente la sta utilizzando come identità digitale, occorre infatti “attivare” la CIE come identità digitale, scaricare una app, ecc. Il rilascio di uno SPID invece indica l’ottenimento di una identità digitale e dunque un utente attivo. Dunque SPID ha una base utenti molto consistente e in continuo aumento che non ha senso abbandonare.

Quale è dunque il problema?

Anzitutto un problema di percezione: SPID è stato percepito politicamente come un servizio dei privati, il cui rilascio a distanza comportava un pagamento per l’utente e il cui futuro “livello 3” (il più sicuro) sarebbe stato rilasciato a pagamento.

Si scandalizza chi sostiene che lo Stato non possa far pagare una sorta di “documento” essenziale per accedere ai servizi della P.A.

Ma è veramente così? I documenti devono essere gratuiti? Forse. Ma al momento si pagano.

La carta di identità elettronica costa circa 17 Euro, il passaporto elettronico quasi 120 Euro! Un professionista per poter fare il proprio lavoro paga una firma digitale, senza la quale non potrebbe fare nulla, circa 60 Euro l’anno. Pensiamo poi al costo dei token bancari e non che, in potenza, lo SPID potrebbe sostituire…

La polemica sull’eventuale costo non ha dunque senso.

Eppure sinora ha frenato lo sviluppo di SPID.

Spid gratis rende il sistema fragile

I cittadini che lo ottengono non pagano sinora nulla (a meno che non vogliano farsi identificare a distanza). Nemmeno però lo Stato paga nulla per il servizio dei soggetti che gestiscono lo SPID. In sostanza questa infrastruttura essenziale gestita per conto del pubblico viene gestita in perdita dai privati che la hanno attivata, contando di rifinanziarsi lanciando servizi per privati basati su SPID.

Il problema è che SPID sinora è stato perseguito senza particolare convinzione dai Governi che si sono succeduti. Solo con l’emergenza COVID si sono intensificate le indicazioni alle Amministrazioni di convergere verso SPID, prendendo atto che era l’unico strumento disponibile e facilmente rilasciabile.

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

Sino a quel momento i Governi in carica hanno posto ai primi posti della trasformazione digitale priorità rispettabilissime, ma non SPID: i pagamenti elettronici, i dati pubblici, le app pubbliche e hanno, ripetutamente, lasciato intendere che SPID sarebbe stato abbandonato.

Ciò ha rallentato il lancio (avvenuto in sordina) dei servizi SPID per i privati, che avrebbero potuto dare al sistema la spinta di cui ha tuttora bisogno.

Spid non prioritario per il Governo per anni

SPID è stato confinato a sporadiche iniziative sporadiche sempre relative a incentivi la cui richiesta era conveniente e non obbligatoria: nello stesso anno in cui SPID era necessario per accedere ai bonus per i 18enni ed insegnanti le iscrizioni online dei figli alle scuole sulla nuova piattaforma MIUR utilizzavano come credenziale di accesso una e-mail ordinaria!

Ci si poteva identificare con una mail temporanea che sarebbe scaduta tre giorni dopo e allo Stato andava bene per accettare da chi si dichiarava genitore e tutore i dati personali di un minore per la durata di un ciclo scolastico… chiedere SPID non veniva ritenuto necessario. Alle poche categorie obbligate ad attivare SPID non veniva minimamente spiegato cosa fosse questa credenziale.

Molti di quelli che lo attivavano pensavano fosse solo una complicata credenziale per la app del bonus e se lo dimenticavano dopo averlo attivato: poteva essere l’occasione di diffondere al rilascio un breve corso di formazione sull’uso e funzioni o di qualche iniziativa divulgativa in TV. Quotidiani e rappresentanti istituzionali dell’epoca sbagliavano anche il nome, chiamandolo PIN unico, con ulteriore effetto di confusione tra SPID e PIN dell’INPS e dell’Agenzia Entrate.

A chi scrive il call center di un grande ente alla richiesta di conoscere lo Stato di una pratica attivata con SPID ha risposto “Lei non deve entrare nel sito tramite SPID perché poi le pratiche non le possiamo vedere nel gestionale e non riusciamo a gestirle: usi il nostro PIN”…

Dunque sino a pochi mesi fa l’uso di SPID non era incoraggiato dalle P.A. e non era ai primi posti nell’agenda governativa.

Anche quando le regole per i servizi privati di SPID furono pronte esse, ad avviso di molti, sembrarono poco flessibili rispetto ai modelli di business possibili: Agid aveva previsto una sorta di tariffa unica per l’identificazione in qualsiasi tipologia di servizio non ha molto senso: può una banca pagare 1 euro per identificare un utente per fare 1 bonifico che prevede 1 euro di commissione? Ha senso che un’agenzia paghi sempre la stessa cifra di 1 euro per identificare un utente che sta comprando una casa?

Mancano gli aggregatori spid

Agid sta ancora lavorando per rendere possibile l’attivazione della fondamentale figura degli “aggregatori” di servizi privati: soggetti che potrebbero intermediare l’uso di SPID tra gli identity provider e i soggetti privati non attrezzati per gestire tecnicamente le identificazioni SPID accreditandosi come service provider in prima persona, ma anche questa parte del sistema non è ancora pronta dopo anni dall’introduzione di SPID. Si tratta di una funzione importante perché è attraverso un aggregatore che il CAF, il piccolo studio professionale, l’artigiano, il commerciante locale e le piccole attività in genere potranno implementare SPID. Anche questa figura deve dunque essere messa da Agid in grado di iniziare la propria attività al più presto.

Sino ad oggi i gestori dell’identità hanno dunque gestito SPID in una sorta di costante attesa di un effettivo lancio di quei servizi privati che avrebbero consentito di far decollare gli investimenti e di quelle modifiche regolamentari che consentirebbero di elaborare veri e propri modelli di business a supporto del servizio.

Quanto sopra non è ragione per giustificare disservizi come quelli che abbiamo sperimentato durante il click day del bonus bici… ma, come ho scritto in altro articolo, è anche vero che c’erano altri modi di organizzare la richiesta del bonus e l’aver scelto una formula che certamente avrebbe posto sotto particolare carico i sistemi SPID avrebbe forse richiesto un miglior coordinamento preventivo tra istituzioni e gestori dell’identità, assicurandosi che il carico fosse sostenibile senza pregiudicare la normale erogazione dei servizi SPID, fornendo previsioni del carico atteso e cercando di bilanciarlo. Forse lo stesso Ministero avrebbe potuto farsi carico di dimensionamenti straordinari dei sistemi SPID per la giornata.

Lo Stato renda Spid sostenibile

Quello che ci insegnano questi episodi è che è urgente che lo Stato, tramite il Ministro e il Dipartimento per la Trasformazione Digitale, assegni all’Agid le risorse, di personale e fondi – sinora mancati – e il chiaro mandato di far entrare i servizi SPID in un regime per cui si possano sostenere da soli, mettendo i gestori dell’identità in grado di lavorare e fare investimenti su SPID e creando le condizioni regolamentari per cui per i privati utilizzare l’identificazione SPID nei propri servizi non sia una ulteriore complessità.

Occorre inoltre continuare l’opera di diffusione SPID facendo comprendere alle Amministrazioni che SPID è qui per rimanere e non ci sarà il mese prossimo una identità diversa o una virata verso la carta di identità elettronica.

La Carta d’identità elettronica, a sua volta, potrebbe essere integrata facilmente nella federazione SPID, come SPID livello 3 rilasciato dallo Stato, cessando questa paradossale rivalità interna tra SPID e CIE che il Governo stesso ha creato promuovendo app di identità elettronica antagoniste a SPID basate sulla carta di identità elettronica e dichiarandone la possibilità di utilizzo nei servizi privati quando nessuna norma consente l’utilizzo dell’identità elettronica CIE nei servizi privati.

Bisogna cambiare verso su Spid

A fronte del grande lavoro per mettere in campo lo SPID, si è sempre dovuto riscontrare un supporto molto scarso di tale sistema a livello governativo.

Le norme che venivano via via riformate per prevedere l’adozione da parte delle Pubbliche Amministrazioni dell’identità SPID venivano cambiate all’ultimo in maniera da non prevedere che tale adozione fosse obbligatoria.

Al contempo i vari Governi in carica sono sempre sembrati “indecisi” sull’effettivo ruolo dello SPID come identità digitale nazionale e si sono registrati amplissimi cambi di rotta verso la carta di identità elettronica, alla quale sono state affiancate app per l’uso come identità elettronica, arrivando a proporre emendamenti che avrebbero “detronizzato” lo SPID.

Mai è stata lanciata una massiccia campagna nazionale per formare la popolazione sull’ottenimento ed uso dello SPID,  come invece sarebbe stato necessario e come avvenne, ad esempio, quando vi fu l’epocale passaggio dalla tv analogica al decoder digitale terrestre.

I soggetti privati che si sono lanciati nell’agone del rilascio delle identità SPID sono stati, in buona sostanza, abbandonati in un limbo: da una parte rigide previsioni sulla gratuità dell’identità SPID per i cittadini e, dall’altra, nessuna previsione di un contributo dello Stato ai loro investimenti e, al contempo, nessuno sforzo per agevolare la partenza dei servizi SPID per i privati, tuttora ancora poco più che in fase sperimentale.

Per quanto sia grave un malfunzionamento in una giornata di “click day” è comprensibile che, senza una chiara idea sulla possibilità di ripagare gli ingenti investimenti effettuati, soggetti privati che, al momento, offrono SPID in perdita e senza alcuna reale possibilità di ritorno economico, non abbiano interesse a dimensionare i propri sistemi per affrontare carichi massivi di servizio e tendano a offrire i livelli minimi di servizio su questa infrastruttura.

E’ arrivato il momento di agire.

Il Governo deve prendere atto che con 12.500.000 di identità rilasciate, lo SPID ha raggiunto livelli di diffusione che non consentono di “cambiare idea” e testimoniano oltre 6 anni di lavoro per realizzare l’infrastruttura e diffondere le credenziali tra la popolazione.

Che cosa è urgente fare

Passiamo a un elenco di punti per migliorare lo status.

Spinta a servizi privati Spid e aggregatori

Una delle cose più urgenti da fare è consentire che decollino i servizi per i privati e per le imprese, attraverso servizi diretti degli identity provider e tramite aggregatori privati, il cui modello di convenzione è fermo sui tavoli di Agid da vari mesi.

Questo tipo di servizi è remunerativo per gli identity provider e sono stati studiati molti casi d’uso in cui SPID potrebbe portare valore aggiunto, specie in questo terribile periodo di COVID: le dichiarazioni fiscali a distanza, la firma di atti e documenti, la prenotazione di visite mediche e prestazioni sanitarie, il gioco online, la delega ai professionisti, gli adempimenti relativi a utenze elettriche, telefoniche, assicurative, gli adempimenti societari e delle grandi cooperative, ecc.

Tutto questo è sostanzialmente bloccato perché Agid ha posto in essere un sistema di tariffazione dell’uso di SPID per privati poco flessibile e poco modulare e che non tiene in alcun conto il costo del servizio nell’ambito del quale viene utilizzato SPID. Non può esistere una tariffa “unica” valida per tutti i servizi a prescindere. E’ come dire che qualsiasi spettacolo teatrale, concerto, cinema che sia, deve avere lo stesso costo o che qualsiasi tipologia di utenza telefonica deve avere una tariffa identica.

Gli aggregatori, cioè i soggetti che potrebbero aggregare ed intermediare le realtà più piccole, non in credo di implementare SPID, fornendo i servizi, non possono ancora partire perché la convenzione Agid che ne autorizza l’attività è ancora in definizione.

Via al dogma sull’uso di dati da parte degli identity provider

Al riguardo occorre abbandonare l’assurdo dogma (presente in alcune versioni di tali convenzioni) per cui i privati che offrono servizi SPID non possono utilizzare i dati personali cui hanno avuto accesso tramite SPID.

Il rigido divieto di utilizzo dei dati personali contenuti nelle identità SPID ha senso per evitare che i gestori delle identità abusino del proprio ruolo ma, una volta che l’identità viene utilizzata dall’utente in un servizio, pubblico o privato che sia, è evidente che chi offre tale servizio può utilizzare ai sensi del GDPR i dati che vengono comunicati ed anzi, SPID rappresenta un modo molto affidabile per certificare il consenso all’utilizzo dei dati.

Rassicurazioni del Governo su futuro di Spid

A ciò si aggiunga che, stanti i recenti tentativi di abbandonare SPID da parte governativa, qualunque impresa che stia pensando di adottare massivamente SPID per i propri servizi, esita a farlo: attende una decisa rassicurazione da parte del Governo, che però non arriva e gli stessi gestori dell’identità, prima di fare nuovi investimenti, probabilmente attendono anch’essi la medesima rassicurazione.

Non sarebbe una cattiva idea che tale “rassicurazione” assumesse la forma di un contributo dello Stato agli investimenti sostenuti o da sostenersi in ragione del mantenimento di adeguati livelli di servizio e di un numero minimo di SPID rilasciati ed attivi.

Sostenere in nodo Ficep Eidas

Occorre poi ricordarsi che SPID, ai sensi del Regolamento UE EIDAS, è – assieme alla carta di identità elettronica – l’identità elettronica che consente agli italiani di utilizzare i servizi digitali delle P.A. europee, questo per mezzo dei c.d. “nodi” transfrontalieri, che ogni Paese deve tenere attivi.

Anche l’Italia ha da tempo attivato un proprio nodo (c.d. nodo “FICEP”).

Tuttavia questo nodo, pur attivo e funzionante e correntemente in grado di traghettare verso i servizi che accettano SPID le identità digitali dei cittadini UE, giace in realtà quasi dimenticato presso Agid.

Nessuna norma ha mai dichiarato che il nodo FICEP è effettivamente il nodo EIDAS nazionale ed è dunque un sistema di interesse strategico nazionale.

Esso, al momento, rimane attivo solo in quanto finanziato e, se, per tagli di bilancio, finissero i fondi, nulla ne impedirebbe lo spegnimento. Questo comporterebbe una procedura di infrazione per l’Italia.

Investire nel nodo transnazionale vuole anche dire dare linfa alle opportunità di offrire servizi a distanza, pubblici e privati, a cittadini UE identificati, creando nuove opportunità.

Firma con Spid

Ultimo tema da risolvere è quello della firma con SPID.

Agid ha pubblicato delle linee guida circa un servizio di “Firma con SPID” sostanzialmente riservato ai gestori di firma: il rilascio e la gestione di tali “Firme con SPID” non potrebbe essere effettuato da un soggetto che si limitasse, quale service provider, ad offrire un servizio con accesso SPID.

Questa limitazione ha poco senso poiché la tecnologia di SPID, di per sé, si presta, compatibilmente con le disposizioni sulla firma elettronica, a mettere in grado qualsiasi service provider privato (o pubblico) di SPID, con tecnologia affidabile e conforme ai Regolamenti UE, in grado di rilasciare ed utilizzare nei propri servizi sistemi di firma elettronica avanzata basati su SPID.

Questo potrebbe democratizzare lo strumento della firma elettronica portando ad una effettiva semplificazione di molte procedure e creando, anche in questo caso, i presupposti perché SPID cessi di essere un peso e diventi un volano.

WEBINAR
WEBINAR - L’evoluzione verso il cloud ibrido: lo scenario di adozione e perché conviene
Digital Transformation
Software

@RIPRODUZIONE RISERVATA

Articolo 1 di 4