Spid e Cie accelerano, ma senza imprese non si va lontano: le mosse di Agid | Agenda Digitale

Identità digitali

Spid e Cie accelerano, ma senza imprese non si va lontano: le mosse di Agid

AgID – insieme agli Idp, imprese e esperti – è al lavoro su una bozza della convenzione che definirà in che modo i soggetti aggregatori di Spid privati offriranno alle imprese i propri servizi. Ecco le osservazioni dei soggetti interessati per arrivare a un documento efficace

07 Lug 2020
Luca Bertoletti

Club TI Milano

Ornella Fouillouze

Club TI Milano

Gianluca Marcellino

Club TI Milano


In mancanza di una adozione massiccia da parte delle imprese, SPID e CIE rischiano di restare due delle tante chiavi digitali del cittadino, più garantite ma molto meno diffuse di quelle che usiamo tutti i giorni.

Per SPID, in particolare, saranno i soggetti aggregatori di servizi SPID privati a colmare la lacuna principale che ha tenuto lontane le imprese finora: creeranno un mercato regolato ma aperto, dove acquistare i servizi di autenticazione e firma con SPID, e in futuro quelli che via via nasceranno, come si fa per qualsiasi servizio informatico: negoziandone la fornitura con imprese specializzate in concorrenza tra loro.

Proprio sugli aggregatori di servizi privati ha cominciato a lavorare AgID a maggio, preparando una bozza della convenzione che definirà come questi soggetti offriranno alle imprese i propri servizi.

Ora la sta rivedendo con gli IdP, e per la prima volta con imprese, coinvolte anche dal nostro Club TI Milano, e esperti indipendenti, compresi noi che scriviamo e altri con i quali ci siamo coordinati nel gruppo di lavoro aperto #ClubTI4SPID. Tutti questi soggetti hanno proposto le proprie osservazioni, che speriamo portino a una nuova versione della convenzione entro qualche settimana.

In questa revisione abbiamo evidenziato due esigenze chiave del rapporto tra imprese fornitrici e acquirenti dei servizi SPID:

  • la tutela della riservatezza commerciale fra IdP, soggetto aggregatore e impresa cliente (“soggetto aggregato”)
  • il bilanciamento dei controlli sui livelli di servizio e sull’uso delle informazioni personali

La tutela della riservatezza commerciale

Come per qualsiasi servizio informatico, compresi quelli che tutti usiamo centinaia di volte al giorno sui nostri smartphone, un servizio pubblico di autenticazione come SPID raccoglie informazioni importanti su quante persone usano ciascun servizio digitale, con che frequenza e in quali orari – e naturalmente l’identità stessa di queste persone.

Nel settore pubblico, l’aggregatore di servizi che fornisce il servizio di autenticazione (ad esempio una regione o una centrale servizi informatici) e la pubblica amministrazione che lo usa (un’altra organizzazione che non desidera sviluppare capacità tecnologiche autonome) hanno uno stesso obiettivo. Naturale quindi che collaborino anziché concorrere, e che condividano queste informazioni, nel rispetto della riservatezza dei cittadini utenti finali. Lo stesso GDPR prevede che quando l’uso dei dati personali è obbligatorio per legge, come spesso accade per le attività delle pubbliche amministrazioni non occorre richiedere il consenso del cittadino. Sono quindi superflui vincoli e controlli particolari sull’aggregatore pubblico.

Tra imprese, queste informazioni riguardano i cittadini clienti del soggetto aggregato, che in altri contesti può essere concorrente dell’aggregatore o dell’IdP, con questi stessi cittadini come clienti potenziali. Nasce quindi l’esigenza di limitare l’uso che l’aggregatore può fare di queste informazioni di grande valore commerciale. Il GDPR già impone che l’aggregato ottenga il consenso dell’utente finale, e l’aggregatore quello di entrambi. Qui è importante definire nella convenzione spazi opportuni e regole semplici perché:

  • da una parte l’aggregatore possa proporre all’aggregato e, solo per suo tramite, agli utenti finali, servizi aggiuntivi che usino i dati di questi utenti, con il loro permesso, per offrire nuove opportunità a loro, all’aggregato e magari ad altri partner
  • dall’altra, l’aggregato possa limitare l’uso che l’aggregatore fa dei dati degli utenti finali così come può fare in qualsiasi altro contratto di servizi informatici.

Il bilanciamento dei controlli

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

SPID è un’identità tutelata e quindi adatta al rapporto confidenziale e trasparente tra cittadini e erogatori di servizi.

Per garantire queste tutele SPID impone al suo ecosistema, a partire dagli IdP, impegni specifici, oggetto di controlli rigorosi, su:

  • qualità del servizio che erogano, e soprattutto
  • uso che possono fare delle informazioni relative a ciascun cittadino autenticato (in particolare, gli IdP non possono usarle affatto)

È proprio questo che rende SPID una scelta rispettosa della privacy, e quindi offre alle imprese che la adottano l’occasione di un gesto di rispetto e considerazione per i propri clienti oltre i vantaggi che vengono dall’identificazione certa dell’utente con un unico cittadino.

Anche per mantenere questo livello di tutela per il cittadino, oltre che per mantenere la riservatezza commerciale descritta più sopra, è utile definire per gli aggregatori controlli sulla qualità del servizio e l’uso delle informazioni, in qualche modo intermedi tra quelli particolarmente restrittivi imposti agli IdP e quelli imposti a qualsiasi impresa dalle regole sulla privacy.

Oggi, senza aggregatori di servizi privati, un service provider pubblico o privato firma una convenzione con AgID nella quale accetta limitazioni e controlli. Domani, quando sarà un soggetto aggregatore a gestire i servizi SPID per conto delle imprese aggregate, gestendo invece degli aggregati anche gli obblighi verso AgID e i controlli relativi, quali obblighi avrà senso imporre agli aggregatori e quali eventualmente agli stessi soggetti aggregati?

La questione è complessa. In attesa di svilupparla con AgID, crediamo utile limitare al minimo i controlli tra imprese che erogano e consumano servizi SPID, cioè tra aggregatori e aggregati.

Le imprese, infatti, già si tutelano reciprocamente nei contratti che stipulano, l’una rispetto alle inadempienze dell’altra. Per gestire il rischio di interruzione del servizio, per esempio, si possono prevedere penali, o accettare un servizio meno affidabile ma più conveniente.

Meglio quindi che AgID scelga con attenzione un insieme minimo di controlli che per motivi di tutela del mercato e della concorrenza vadano imposti alle parti e sottratti alla libera negoziazione. Crediamo e speriamo che questi saranno molto, molto pochi.

Prossimi passi nell’ecosistema SPID e CIE

In attesa dell’iniziativa che il ministero per l’innovazione, AgID e gli IdP annunceranno presto, e della promulgazione della convenzione per gli aggregatori di servizi SPID privati:

  • Aumenta il numero dei service provider privati SPID, che ora sono undici. Sono un prototipo prezioso del mercato che verrà, utile per esempio proprio per interventi come lo sviluppo della convenzione per gli aggregatori di servizi privati.
    Come #ClubTI4SPID Lavoreremo per aggiornare la fotografia che ne avevamo fatto quando erano sette.
  • Alcuni di questi stanno già cominciando ad integrare anche CIE, com’è naturale visto che i meccanismi tecnici per farlo e la logica di funzionamento sono molto simili.
    Stiamo seguendo l’esperienza di uno di loro in #ClubTI4SPID, ne trarremo conclusioni che condivideremo anche su queste pagine e aiuteranno altre imprese a fare lo stesso.
  • con lo sviluppo crescente di SPID e CIE diventa sempre meno significativo contare quanti profili hanno e più importante capire quanto lavorano questi profili.
    Abbiamo rinnovato ad AgID l’invito di novembre scorso a cominciare a comunicare pubblicamente almeno alcune informazioni aggregate iniziali sull’attività dei cittadini con SPID e con CIE.
  • Numerose imprese, in particolare identity provider SPID e altri trusted service provider, stanno realizzando modi diversi per sottoscrivere documenti tramite SPID.

Sembra lontana invece l’introduzione per SPID o per CIE degli Attribute Authority. Si tratta delle organizzazioni che oggi custodiscono attributi fondamentali per il ruolo di un cittadino nella società, come ad esempio la sua abilitazione a eseguire operazioni particolari (dalla certificazione di impianti all’esecuzione e alla valutazione di esami sanitari, alla ‘semplice’ guida di un veicolo – la patente!)
Osserveremo questo sviluppo con particolare attenzione perché gli attribute authority permetteranno di integrare in processi digitali aperti e innovativi proprio queste verifiche e la sottoscrizione dei documenti relativi; promettono quindi di avere sulla digitalizzazione del paese un impatto pari a quello delle firme con SPID, dei soggetti aggregatori privati e … della pandemia.

L’invito alle imprese che offrono servizi digitali

Sulla base di questi risultati e di queste opportunità, rinnoviamo insieme ad AgID il nostro invito pubblico alle imprese perché adottino SPID e semplifichino per altre imprese la sua adozione, assumendo a seconda dei propri obiettivi il ruolo di:

  • soggetto aggregatore di servizi SPID privati, che aiuti le imprese proprie clienti a usare SPID, o
  • service provider privato, in proprio o, più semplicemente, tramite un soggetto aggregatore

Segnala il tuo interesse direttamente ad AgID all’indirizzo protocollo@pec.agid.gov.it.

Se vuoi coordinarti con alcune altre imprese che lo stanno già facendo, scrivi anche a Club TI Milano: clubtimilano@pec.it.

Per seguire gli sviluppi dell’iniziativa, aderisci al gruppo LinkedIn di Club TI Milano.

Per partecipare al nostro lavoro sui soggetti aggregatori privati, iscriviti al Club.

WEBINAR
Promuovere la digitalizzazione nell'Healthcare: strumenti e network per l’innovazione
Digital Transformation
Open Innovation

@RIPRODUZIONE RISERVATA

Articolo 1 di 4