Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

privacy

Spid, ovvero l’eclissi dello Stato sulla nostra identità pubblica

di Andrea Monti, avvocato, associazione Alcei

18 Mar 2016

18 marzo 2016

Il Sistema pubblico dell’identità digitale non è altro che un ulteriore passo avanti nella perdita di centralità dello Stato nella gestione dell’identità. Se è un soggetto privato a definire la mia identità digitale, cambia il ruolo dello Stato che da garante dell’identità personale diventa soggetto che, al pari degli altri, deve fidarsi di un soggetto terzo (ma privato)

Lo SPID, il sistema pubblico di identità digitale è oggetto di critiche feroci prima ancora di entrare compiutamente in funzione. Gli (immancabili) detrattori di ogni iniziativa che cerca di svecchiare il nostro paese si concentrano essenzialmente sugli aspetti organizzativi e societari (capitale sociale minimo ecc. ecc.) che costituirebbero una barriera di ingresso per operatori meno dotati dal punto di vista finanziario ma altrettanto  – teoricamente – capaci dal punto di vista tecnico.

Tuttavia ritengo che, se riflessioni critiche devono essere fatte sullo SPID, queste non dovrebbero riguardare aspetti come quelli segnalati, ma piuttosto questioni strutturali che – bollate come “filosofie astratte” – vengono sistematicamente ignorate nell’immediato, salvo poi rispuntare quando “improvvisamente” sorgono problemi di non facile soluzione (un esempio fra tutti, la sistematica ed errata equiparazione fra “privacy” e “tutela dei dati personali”).

E dunque, il tema posto dallo SPID è “ chi definisce la nostra identità” o, meglio, “chi ha il diritto/potere di stabilire che io sono effettivamente io”.

Senza volersi addentrare in ricostruzioni socio-giuridiche, e limitandosi alla storia recente, prima dell’avvento della firma digitale (avanzata, qualificata, chiamatela come vi pare) in Italia l’unico garante dell’identità personale di un soggetto era lo Stato che garantiva il risultato con una pletora di strumenti come carte di identità, patenti, passaporti, licenza di porto d’armi e via discorrendo.

L’emanazione del DPR 513/97 (e in particolare dell’art. 9), atto di nascita della firma digitale in Italia, pose il problema del ruolo dei certificatori privati e del loro potere di attestare che il richiedente del certificato digitale fosse effettivamente chi diceva di essere.

La fantasia dei giuristi e quella delle lobby professionali si scatenò per dimostrare che il certificatore privato non aveva un potere di “identificare con certezza” di tipo notarile o pubblico ma che si trattava di qualcosa d’altro (ma non si è mai capito bene cosa). Fatto sta(va) che – come hanno dimostrato la storia e lo sviluppo dei sistemi di e-commerce – il concetto di identificazione personale è sostanzialmente privatizzato ed è rimasta solo la pubblica amministrazione a gingillarsi con carte di identità elettronica, carte nazionali dei servizi ecc. ecc.

Negli acquisti online, che presuppongono contrattualmente l’accertamento dell’identità del contraente e della sua capacità giuridica e di agire, l’identificazione avviene sostanzialmente tramite la carta di credito.

Provate a chiedere un leasing a qualche grande finanziaria, e scoprirete che l’intera procedura è a distanza, con il modulo con il quale il dipendente attesta di avere identificato di persona il proponente del contratto di leasing lasciato in bianco e compilato a posteriori sulla scorta della documentazione allegata.

Lo SPID, in questo senso, non è altro che un ulteriore passo avanti nella perdita di centralità dello Stato nella gestione dell’identità. Se è un soggetto privato a definire la mia identità digitale, cambia il ruolo dello Stato che da garante dell’identità personale diventa soggetto che, al pari degli altri, deve fidarsi di un soggetto terzo (ma privato).

E allora, anche il concetto di spazio personalissimo e individuale viene meno. Il fatto che un soggetto privato definisca in tempo reale e di continuo la mia identità digitale significa che questo soggetto diventa, di fatto, quello che definisce i confini della mia privacy e condiziona il modo in cui terze parti possono trattare i miei dati personali. Anzi, per meglio dire, questo soggetto terzo sarà esso stesso a decidere se, chi e come potrà accedere ai miei dati.

Non ho un approccio necessariamente catastrofista rispetto a questo scenario: con un atteggiamento scientifico aspetto di vedere cosa accade per poi trarre delle valutazioni.

Spero solo che chi ha deciso di creare lo SPID abbia realmente pensato a quello che stava facendo.

  • francesco.ongaro

    Andrea la tua preoccupazione è giustificata a mio parere. Tecnicamente lo SPID, come qualsiasi servizio di autenticazione centralizzata, può impersonificare e/o permettere di impersonificare qualsiasi suo utente. Sfortunatamente si tratta di un limite intrinseco dell’architettura del servizio, quello che conta è la qualità dell’esecuzione (terzietà, trasparenza nell’implementazione, sicurezza, etc). Per quanto riguarda questo ultimo punto sembra che SPID abbia già mostrato lacune dal punto di vista della Sicurezza Informatica. Speriamo bene e che vengano coinvolti auditor indipendenti.

  • elena

    Finalmente questo problema viene sollevato. Sarebbe stato meglio farlo prima, quando l’iter è iniziato, ma meglio tardi che mai. Per me è un passo indietro dello Stato in generale, e lo trovo pericolosissimo.

Articoli correlati