Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

Italia Login, che delusione: la “casa digitale” del cittadino è un garage

di Gianluigi Cogo, docente Social Media Università di Venezia

14 Nov 2016

14 novembre 2016

Alcune notizie messe in fila fanno capire che ci siamo e che la casa online del cittadino ha ora le sue solide fondamenta. Peccato che nei piani non ci sia più traccia della promessa più importante, fatta dal Governo: creare con Italia Login la prima scatola unica cloud e accessibile con tutto ciò che riguarda il cittadino

Dunque ci siamo, Italia Login è cosa quasi fatta e i cittadini italiani avranno finalmente la loro casa digitale.

Non aspettatevi disquisizioni tecniche o argomentazioni basate su articolati di legge, regolamenti attuativi e via di seguito. Dopo un preambolo di scenario vorrei affrontare il tema di Italia Login con l’occhio del cittadino servito e, ovviamente sarà una vista parziale, basata su esperienze dirette che spero facciano riflettere.

Dunque, alcuni avvenimenti fanno percepire che ci siamo e che la ‘casa degli italiani’ ha ora le sue solide fondamenta:

– Avviso Agid per il reclutamento di 15 profili amministrativi, 8 informatici e 3 a supporto della divulgazione delle attività legate al progetto. Come riporta Agid stessa: ‘il progetto che ambisce a diventare il punto di riferimento dei cittadini per dialogare in maniera semplice con la Pubblica Amministrazione‘;

– Stati generali di Italia Login con il metodo del confronto aperto: ‘Sono cominciati i lavori di progettazione e definizione di Italia Login, il punto di accesso centrale ai servizi online della pubblica amministrazione. Prima tappa di un percorso partecipativo che ha visto la collaborazione di circa 100 rappresentanti di amministrazioni pubbliche centrali e locali, associazioni di categoria e associazioni civiche‘;

– Nuovo provider per Spid che si aggiunge ai 3 originari (il più smart dei 4 e poi spiegherò il perchè);

– SPID obbligatoria per accedere al bonus cultura riservato ai diciottenni.

Ho elencato questi recenti fatti a riprova che il Governo ci crede, Agid fa sul serio e difficilmente si potrà tornare indietro.

Ma ora vediamo il tutto da un altro punto di vista, quello delle aspettative, per poi affrontare anche i problemi e le criticità.

Alcuni mesi fa stavo trattando con i miei studenti, il tema dell’autenticazione federata fra i vari servizi offerti sul web. Affrontai il tema della social login, ovvero come usare le credenziali di Twitter, Facebook, piuttosto che Google o altri, per accedere a servizi erogati da fornitori terzi.

Senza entrare nel tecnico (API, OAuth, standard, ecc.) spiegai che il tutto era semplice, conveniente e a portata di mano, quindi passai alla fase due dell’argomentazione che trattava la sicurezza delle credenziali, la loro veicolazione su ambienti sicuri e soprattutto l’attivazione dei due passaggi: ‘two steps verification’ con OTP erogate via SMS o via app dedicate, e via così.

Premetto che la platea dei miei studenti è costituita per la maggior parte da ventenni al terzo anno di università, i quali hanno grande familiarità con gli ambienti consumer dell’IT, siano essi social, commerce e/o cloud based. Usano già queste tecniche e opportunità con una facilità estrema, anche se spesso non leggono i TOS e quindi danno fiducia a prescindere a chi eroga credenziali, servizi e applicazioni.

A un certo punto chiesi a loro se conoscevano l’esistenza di SPID o come si accedesse ai servizi della Pubblica Amministrazione. Lo stavo chiedendo a uno spaccato microscopico di futura classe dirigente e dunque non pretendo che ciò sia rappresentativo, ma la scena muta fu eloquente. Su una sessantina di studenti erano presenti anche tre non più giovani e dunque abbondantemente fuori corso. Chiesi a questi (uno era anche dipendente PA) se avessero mai sentito parlare di SPID e anche in quel caso, scena muta e faccia piuttosto sorpresa.

Stravolsi il corso della lezione e cominciai ad illustrare un po’ il tema, cercando di portarli verso la comprensione e l’adesione di quella grande opportunità che prende il nome di Italia Login, di cui SPID è solo il portone di ingresso. Bene, quando lo spiegai più o meno con le parole di Paolo Barberis: ‘Italia Login sarà la dashboard attraverso la quale cittadini ed imprese potranno tenere sotto controllo, in tempo reale, tutte le loro relazioni con l’Amministrazione pubblica‘, più di qualcuno sorrise e alcuni arrivarono anche a criticare il progetto definendolo pura fantascienza.

Non mollai la presa, e stravolsi ancora di più la lezione, chiedendo loro come avrebbero immaginato una casa digitale pubblica semplice e a portata di tutti. La risposta più spiazzante fu quella di uno studente che mi disse: ‘basterebbe mettere i documenti sul cloud, come facciamo noi con Dropbox e non doverli scaricare, compilare e consegnare agli sportelli‘. Bingo! Che sintesi, spiazzante.

La lezione stava per finire, indicai il sito di SPID e consigliai qualcuno di darci un’occhiata e possibilmente riferirmi le impressioni personali alla lezione seguente, possibilmente off the record, per non inficiare troppo sulla didattica.

Un paio di loro mi raccontò l’esperienza disastrosa con SPID e non vado oltre. Procedura troppo macchinosa e semantica incomprensibile ai più.

Come dicevo in premessa, ora che si è affacciato come provider anche Sielte (l’unico che permette di effettuare tutto il processo gratuitamente, da remoto e senza ausilio di identità precedentemente acquisite come CIE, CNS, PosteID, Infocert o TIMID) le cose stanno cambiando e la speranza che altri provider più smart vengano qualificati da Agid è un buon auspicio oltre che un presupposto fondamentale per attirare su SPID i millenians.

Va detto che, comunque, lo scetticismo dei giovani rimane, in quanto non riescono proprio a comprendere il motivo di un’altra identità per la PA, quando già possiedono quella universitaria, quella associata alla SIM del cellulare (che usano per autenticarsi ovunque) e spessissimo quella dei social media per autenticarsi ai servizi web. Nella nostra università, ad esempio, usiamo Twitter per accedere all’app ufficiale.

No, a Venezia non siamo pazzi, anche perchè prima di noi il Governo UK, adottò l’uso dell’identità sociale per i servizi della Pubblica Amministrazione britannica già dal 2012 e dunque si fa di necessità virtù e soprattutto si sfrutta quello che c’è e che gli utenti utilizzano. Come il paradigma della IT consumerization indica da tempo.

Ma lasciamo da parte il tema dell’accesso con SPID e proviamo a immaginare cosa sarà a regime Italia Login. Da quello che il sito di Agid, le dichiarazioni di Barberis e le argomentazioni che i 100 rappresentanti di amministrazioni pubbliche centrali e locali, associazioni di categoria e associazioni della società civile hanno condiviso:

  • personalizzazione del service design;
  • progettazione, redazione e gestione dei contenuti;
  • realizzazione di interfacce per l’utente;
  • accessibilità dei servizi online.

aggiungo: e le notifiche, punto!

E Dropbox? Cioè, mi spiego meglio: e il grande Dropbox pubblico?



A dire il vero, ero quasi convinto che il punto di arrivo fosse un grande scatolozzo che contenesse tutti i documenti prodotti per noi dalla Pubblica Amministrazione: le pagelle scolastiche, le cartelle cliniche, le ricette e le impegnative, e poi le dichiarazioni dei redditi, le visure catastali, i documenti INPS, i certificati anagrafici, tutta la documentazione fiscale, i pagamenti, ecc.

Come fanno le banche che l’estratto conto e i bonifici mica te li stampano: li tengono in pancia, sul cloud e se vuoi li puoi stampare in pdf. Come fa Booking.com che tiene tutte le tue prenotazioni sul suo cloud. E come fa Trenitalia che tiene tutti i biglietti che hai comprato on line, e le fatture, ecc. Sarebbe davvero così difficile farlo per la PA?

Anche perchè il CAD ha sancito da tempo l’inutiltà della prova cartacea e dunque perchè non tenere tutto sullo scatolozzo pubblico al quale accedere personalmente con credenziali personali e applicativamente (Gov2Gov) fra amministrazioni, in modo da non stressare più il cittadino con le richieste documentali. In modo da non doversi mai più portare quintali di carta dal notaio, dal medico specialista e/o dal commercialista. E’ (sarebbe) così difficile?

Sembra di sì, dobbiamo accontentarci delle notifiche. Ovvero: caro cittadino ti avviso che il tuo estratto conto INPS è disponibile, accedi, prendilo, stampalo e portalo al tuo patronato sindacale dentro un bel faldone.

Sia chiaro, se a tendere sarà lo scatolozzo, Italia Login avrà senso e avrà successo, se invece si fermerà a SPID e al design dei siti a cui accedere con SPID come sembra, allora i cittadini non ne riceveranno alcun beneficio, mentre le Pubbliche Amministrazioni continueranno (come stan facendo da oltre 20 anni) a tentare un impossibile azione di convergenza per far interoperare sistemi che, di fatto, non vogliono interoperare e non vogliono adeguarsi agli standard che Agid sta tentando di imporre.

Ultimo elemento ma, credo più importante, di questa analisi: siamo sicuri che tutti questi sforzi siano propedeutici alla crescita digitale del paese?

Agid e il governo son convinti che entro il 2017 Italia Login sarà a regime e dunque tutti i servizi della PA potranno essere accessibili via SPID, disegnati secondo l’emulazione dei famosi GDS inglesi e soprattutto notificati in tempo reale ai cittadini. Beh, direi che forse è il caso di prendere i pop corn e vedere come andrà a finire perchè, nel contempo abbiamo problemi di sicurezza e soprattutto di cultura digitale.

Secondo voi i privati potranno mai fidarsi di un infrastruttura pubblica così debole?

Il caso delle Poste di Terracina, più su linkato, è forse emblematico della frattura generazionale che va sanata prima di procedere con gli switch-off. I milenians sono scettici, ma pronti al salto. Gli immigrati digitali vanno accompagnati con forti iniziative di acculturamento.

Ad oggi, vedo Itaia Login come un ennesimo progetto Gov2Gov che interesserà il back office delle PA e porterà la stessa a discutere per mesi e mesi su come far dialogare due tecnologie diverse, due sistemi di autenticazione diversi, due basi dati diverse, ecc. spesso arroccandosi e difendendosi per non rinunciare alle posizioni assunte e dominate.

Italia Login necessità di una grande sforzo di cessione di sovranità in primis da parte delle PA e delle aziende IT beneficiarie di appalti. Inoltre un grande ripensamento al federalismo tecno-digitale che non ha più ragione di esistere e che ha creato mostri di autoreferenza e inefficienza.

Italia Login funzionerà, e vincerà, se tutti faranno un passo indietro a favore dei serviti, rinunciando all’opportunismo dei serventi.

  • Luxnews

    L’articolo è interessante, ma personalmente vedo un ulteriore problema in SPID. Il voler concentrare tutto in un unica identità, rappresenta un vulnus troppo rischioso. Nessuno è in grado di garantire l’inviolabilità di qualsiasi sistema di gestione dell’identità, e la compartimentazione delle capacità delle nostre credenziali è, a parer mio, l’unica forma di minima garanzia al rischio, sempre più diffuso anche in Italia, del furto d’identità.

    Il Fatto Quotidiano ha già dimostrato questo rischio qui: http://www.ilfattoquotidiano.it/2016/11/04/identita-digitale-ce-un-buco-nella-sicurezza-cosi-ti-divento-matteo-renzi/3093093/

    Spero che si rivedano le procedure amministrative e tecnologiche con veri esperti e si valutino molteplici alternative quali quelle di gestione dell’identità gestita direttamente almeno da chi ne è in grado, senza obbligare a lasciare ad alcune società il mantenimento dei nostri dati.

    Ci sono molte soluzioni tecnologiche valide (opensource, free e verificabili), che consentono di tenere sotto controllo le nostre molteplici identità, perché affidarsi ad una soluzione governativa mal spiegata e mal veicolata dal punto di vista comunicazione?

    La cybersecurity è un rischio reale ed in crescita e personalmente penso che dovrebbe essere rivista tutta l’infrastruttura tecnologica ed amministrativa di SPID prima che sia troppo tardi.

    Se google, yahoo, Microsoft, Sony etc, che fanno del loro business la loro stessa ragione di vita, si sono dimostrati vulnerabili, allora bisogna pensarci davvero bene prima di mettere in piedi un’infrastruttura con SPoF (Single Point of Failure) come SPID!

    Il rischio di “impersonificazione” o furto d’identità è troppo alto e la nostra privacy è a rischio. Avere uno strumento software di gestione delle molteplici PA-identities, sarebbe la soluzione più semplice per limitare i rischi sopra descritti.

    Ci vorrebbe un minimo di ingegnerizzazione della soluzione ed una adeguata acculturazione dei nuovi cittadini digitali. Ovviamente lo sforzo di comunicazione fin ora attuato è decisamente insufficiente. Certe cose andrebbero insegnate nelle scuole ed andrebbero dedicati programmi TV nelle ore di maggior visibilità oltre ad articoli sui giornali (per i ochi che ancora li leggono). Cosa che il Governo si è ben guardato dal fare preferendo l’assurda propaganda alla vincita del proprio referendum costituzionale, al promuovere la formazione digitale.

    Attenzione poi all’autenticazione via Social. Il Garante Privacy ha giustamente avvisato che non è lecito da parte dei social chiedere i documenti d’identità, pertanto nulla vieta che chi crei un account, possa costruirlo con dati fittizzi. Personalmente non credo neanche che ciò sia sbagliato (per chi ami tutelare la propria privacy), nonostante la legge italiana (e la cassazione) lo vietino almeno in certi contesti o per alcuni fini (ma in realtà, purtroppo sempre più spesso, a prescindere dai fini).

    Argomento davvero molto delicato e complesso.

    Riferimenti: http://keepass.info/ e https://www.grc.com/sqrl/sqrl.htm ed ancora http://www.unemia.it/reato-di-sostituzione-di-persona-per-chi-crea-un-falso-account/

    L.

    P.S. Questo sito non accetta indirizzi con il “+” nel nome privato prima del dominio internet (prima del @). Questa è una violazione dell’RFC 2822!

Articoli correlati