SPID e CIE per le imprese: cinque cose da fare per una seconda svolta | Agenda Digitale

identità digitale nazionali

SPID e CIE per le imprese: cinque cose da fare per una seconda svolta

Dopo la svolta per i cittadini, concretizzatasi lo scorso anni, nel 2021 potremo assistere ad una seconda svolta altrettanto importante: l’avvio della adozione in massa di SPID e CIE da parte delle imprese. Cinque obiettivi da realizzare in priorità perché questo accada

01 Feb 2021
Luca Bertoletti

Club TI Milano

Luca Bonuccelli

Regione Toscana

Daniele Crespi

Maggioli SpA

Gianluca Marcellino

Club TI Milano

Eugenio Prosperetti

avvocato, docente Informatica Giuridica Facoltà Giurisprudenza "LUISS"

Nel 2020 SPID e CIE hanno svoltato per i cittadini: nel 2021 possono svoltare per le imprese.

A questa seconda svolta, sulla base del nostro lavoro del 2019 e 2020, siamo certi che associazioni, imprese e istituzioni possano contribuire direttamente, concentrando attenzione e azione su pochi punti essenziali: cinque cose da fare perché le imprese adottino SPID e CIE, nell’interesse proprio, della collettività e soprattutto di SPID e CIE stesse, che delle imprese hanno bisogno, come segnaliamo dal 2019.

Identità digitali nazionali: la svolta del 2020

Consideriamo SPID e CIE insieme, come un unico sistema di identità digitali, oggi più o meno equivalenti, in futuro speriamo convergenti. Questo ha senso soprattutto nella prospettiva dei service provider, le organizzazioni pubbliche e private che le usano per autenticare chi accede ai loro servizi digitali e quindi le integrano in questi servizi: SPID e CIE sono state progettate in modo che le procedure per integrarle in un servizio digitale siano sostanzialmente identiche.

NEWSLETTER
Cashbak, Open Banking e molto altro. Non perdere le notizie della Newsletter di Pagamenti Digitali
Dematerializzazione
Pagamenti Digitali

Prese insieme, sicuramente SPID e CIE nel 2020 hanno svoltato, per i cittadini: dall’inizio dell’emergenza sanitaria sono aumentati sia il numero delle identità, SPID e CIE, sia e soprattutto il numero degli accessi SPID, che continua ad accelerare: 24 milioni solo nel mese di novembre, quasi 31 milioni a dicembre, più di metà di tutto il 2019 in un mese solo! (Siamo convinti che anche il numero degli accessi CIE aumenti, pur con valori assoluti ancora molto più bassi, e fiduciosi che il Ministero dell’Interno e IPZS prima o poi risponderanno alla nostra richiesta di pubblicarlo.)

Hanno descritto e commentato questa svolta in maniera approfondita, in particolare, due eventi virtuali chiave per il panorama delle identità digitali in Italia:

  • il convegno del 2 dicembre organizzato da Club TI Milano con il gruppo di lavoro aperto interdisciplinare #ClubTI4SPID, il patrocinio di AgID e il sostegno di numerose imprese e associazioni, e
  • il primo convegno del nuovo Osservatorio Identità Digitali del Politecnico di Milano, il 17 dicembre, che ha presentato anche alcune esperienze internazionali, a nostro avviso particolarmente rilevanti per le imprese.

Grazie anche ai risultati dei due convegni e alla trasformazione profonda della nostra vita che la situazione sanitaria continuerà a stimolare, siamo convinti che nel 2021 potremo assistere ad una seconda svolta altrettanto importante: l’avvio della adozione in massa di SPID e CIE da parte delle imprese.

Cinque cose da fare perché le imprese adottino SPID e CIE

Le discussioni quindicinali con i molti esperti di identità digitali che partecipano volontariamente a #ClubTI4SPID, confermate dai risultati del convegno del 2 dicembre, ci hanno portato a identificare cinque obiettivi da realizzare in priorità, alcuni più vicini, alcuni noti e in corso di realizzazione da molto tempo. Si tratta di:

  1. Aggregatori di servizi privati SPID e CIE: grazie a loro le imprese troveranno finalmente un mercato nel quale comprare e vendere servizi di integrazione con SPID e CIE così come oggi ciascuna di loro compra e vende servizi tecnologici di ogni genere. Il valore di questi servizi, e quindi i prezzi che verranno contrattati, dipenderanno soprattutto dall’innovazione e dalla semplificazione che porteranno, e sempre meno dall’autenticazione in sé: l’identificazione certa, associata all’identità anagrafica, che solo queste identità permettono rimarrà un fattore abilitante, fondamentale ma secondario.
  2. Firme con SPID e CIE: un ambito di grande interesse per tutte le imprese ancor più che per i cittadini, con molte offerte diverse per ambito di validità, costo, maturità e facilità d’uso. Ce lo confermano le associazioni di imprese che partecipano alla nostra iniziativa.
  3. Gestori di attributi qualificati (Attribute Authority): necessari per realizzare appieno i benefici della digitalizzazione dei processi B2B e B2C, in particolare quelli che coinvolgono la pubblica amministrazione. Sono il secondo, fondamentale e ben più complesso, fattore abilitante della stessa innovazione e semplificazione dei processi. Temiamo, con grande dispiacere, che sia oggi in forte dubbio: se ne sono perse le tracce.
  4. Identità europee a standard eIDAS (eID): come le imprese italiane possono aprire i propri servizi digitali ai cittadini europei con identità eIDAS, e come potranno accedere ai servizi B2C delle identità eIDAS di altri paesi? Nate soprattutto per le pubbliche amministrazioni, l’Unione oggi sta intensificando l’azione di persuasione perché vengano aperte alle imprese – come utenti oltre che come erogatori!
  5. Open Data sull’uso di CNS, SPID e CIE con le pubbliche amministrazioni: una fonte di conoscenze sul comportamento e le esigenze dei cittadini online, preziosa per startup e imprese che sviluppano servizi digitali, oltre che per lo smart government delle pubbliche amministrazioni stesse.

Proviamo a descrivere per ciascuno cosa lo rende importante per SPID, CIE e le imprese, la situazione attuale, e come si potrebbe arrivare in breve tempo almeno a un primo risultato.

Gli aggregatori di servizi privati

Sono imprese specializzate nello sviluppo e integrazione di servizi digitali per altre imprese, già oggi un mercato consolidato e capace di soddisfare esigenze anche molto diverse, da quelle delle piccole e piccolissime organizzazioni a quelle dei grandissimi gruppi industriali e di servizi. Li abbiamo descritti meglio in un articolo precedente.
Saranno particolarmente utili per SPID, poiché oggi un’impresa che voglia adottarla per conto proprio deve farsi carico di requisiti onerosi, che gli operatori specializzati gestiscono invece agevolmente grazie alle economie di scala e di scopo, e soprattutto alla sinergia con altri servizi tecnologici simili che erogano da tempo.

Il valore di questi servizi, e quindi i prezzi che verranno contrattati, dipenderanno sempre più dall’innovazione e dalla semplificazione che porteranno, e via via meno dall’autenticazione certa e associata all’identità anagrafica, fondamentale solo come fattore abilitante.

Cosa manca per averli?

  • La convenzione che li disciplini, simile a quella attuale per gli aggregatori di servizi pubblici. Quella per i servizi privati era pronta a luglio, e ancora a inizio dicembre era data per imminente, forse già per fine anno. (Citiamo questa circostanza per evidenziare come la difficoltà oggettiva, anche per esperti di competenza e volontà indiscusse, a stimare realisticamente l’effettiva disponibilità di un servizio rimanga assoluta, nell’ecosistema delle identità digitali, oggi come nel 2017. Questa insondabilità degli obiettivi e dei piani, che vedremo ancor più forte nei due punti successivi, rappresenta oggi il più forte disincentivo per qualunque impresa a inserire le identità digitali nazionali nei propri piani.)
    Attualmente la convenzione sembra ferma in attesa di chiarire come gli aggregatori debbano gestire i “dati giudiziari”, cioè le informazioni sui reati informatici eventualmente commessi dai loro clienti. Per una bizzarria normativa, infatti, su questo è competente il Ministero della Giustizia e non il Garante per la Privacy. Sembra però un falso problema: gli aggregatori devono solo recepire una dichiarazione che i loro clienti non hanno commesso alcun reato informatico, che già oggi i service provider privati SPID rendono ad AgID, e non gestire dati su questi reati, come avviene in molti altri casi. Vogliamo augurarci che il nodo venga superato presto, magari con un veloce confronto tra le istituzioni coinvolti, nonostante l’esperienza di questi mesi.
  • Le imprese di servizi informatici interessate: siamo convinti che molte delle imprese che oggi fanno da aggregatori di servizi pubblici siano interessate e già pronte. Siamo in contatto con alcune aziende di servizi digitali per piccole e medie imprese, e altre che si rivolgono alle grandi imprese, che sono interessate – pur se tiepide, naturalmente, in attesa della convenzione. Più in generale, l’integrazione di SPID e CIE è simile a tanti altri servizi in cloud che qualsiasi operatore di questo tipo offre ai suoi clienti; ci aspettiamo quindi che tutti questi operatori faranno presto ad offrire questi servizi quando la convenzione arriverà.
  • La domanda del mercato, e la sua stessa consapevolezza. Tutte le associazioni di imprese con le quali abbiamo ragionato, a partire da Confartigianato Lombardia, che è intervenuta al convegno del 2 dicembre, indicano che i loro associati oggi si interessano a SPID (e si interesserebbero a CIE, se ne conoscessero l’esistenza) per uso individuale, professionale dei loro rappresentanti e dipendenti, senza ancora considerare l’opportunità di usarle per autenticare i cittadini che accedono ai loro servizi. Oltre alla comunicazione, per la quale parte ora la seconda fase della campagna che abbiamo lanciato a dicembre, percepiamo qui la divergenza di atteggiamento e quasi di filosofia tra pubblica amministrazione e imprese: anche questa convenzione è imminente, da mesi e chissà fino a quando, ma senza una data prevista o prevedibile di pubblicazione; se nessuno degli attori istituzionali ritiene utile prendersi un impegno temporale, perché un’impresa dovrebbe anche solo definire un piano?
    Abbiamo chiesto ad AgID, e al Dipartimento per la Trasformazione Digitale, quando. La risposta è cosa manca: la decisione del Garante della Privacy (o del Ministero della Giustizia). Lingue diverse, culture diverse: la fatica di comunicare al di là delle buone intenzioni.

Le firme con SPID e CIE

Qui la situazione è ben diversa: il quadro normativo è definito, la domanda delle imprese è viva, come ci confermano le associazioni di imprese, e fin troppo ricca di possibilità diverse e difficili da distinguere è l’offerta. Proviamo a passare in rassegna le diverse possibilità:

  • Firme elettroniche qualificate con identificazione tramite SPID. Sono quelle con il livello di garanzia più alto, e le uniche utilizzabili in tutta l’Unione Europea.
    Le offrono già almeno due Identity Provider: Infocert e Namirial. Tutti gli IdP che sono anche gestori di servizi fiduciari potrebbero offrirle se volessero, come offrono oggi firme elettroniche qualificate senza SPID.
  • La “sottoscrizione documenti ex art. 20 CAD”, che AgID ha disciplinato già a marzo 2020. È la soluzione pienamente interna all’ecosistema, perché con questa il cittadino usa SPID sia per identificarsi, sia per sottoscrivere la versione del documento che ha rivisto e approva. Perché un cittadino possa usarla, deve offrirgliela l’Identity Provider che gestisce il suo profilo SPID.
    Una limitazione ancora maggiore: per un service provider privato avrà senso adottarla solo quando tutti gli Identity Provider SPID la realizzassero. Finché anche un solo IdP sceglierà di astenersi, i service provider dovranno comunque usare un altro strumento tra quelli qui sotto per permettere a cittadini con profili SPID di quell’IdP di firmare – e allora meglio concentrarsi sulle firme che esistono già! Del resto, la prospettiva che tutti gli IdP la realizzino è remota: diversi di loro hanno avanzato forti obiezioni, condivise da esperti indipendenti e anche da alcuni membri del nostro gruppo di lavoro. A confermare questa situazione di difficoltà, finora solo Lepida la ha introdotta. La sottoscrizione ex art. 20 CAD è quindi in un vicolo cieco. Per uscirne in maniera trasparente crediamo occorra innanzitutto risolvere autorevolmente la questione della fattibilità, tecnologica e legale, poi offrire agli Identity Provider un incentivo per adottarla. Si potrebbe ad esempio partire dal fatto che esistono service provider privati diversi dagli IdP da tempo disponibili ad offrirla.
  • Firma elettronica avanzata con CIE, disponibile con una app a tutti i numerosi cittadini che hanno già CIE in tasca e uno smartphone in grado di riconoscerla. Occorre naturalmente che abbiano tenuto nota del PIN e PUK consegnati insieme alla CIE stessa, o richiedano ad qualunque comune una ristampa (sic).
  • Firma elettronica avanzata con CNS, attraverso l’utilizzo di una applicazione (CRS Manager). Disponibile e utilizzata da molti anni in diversi contesti, in particolare per dipendenti e collaboratori frequenti delle pubbliche amministrazioni. Due esempi: Regione Lombardia che per prima ha diffuso la CNS a tutti i cittadini già nel 2006, e Regione Toscana, dove da anni i cittadini possono usarla per sottoscrivere alcuni atti come i contratti di lavoro per il servizio civile, tanto che fino a luglio 2020 fa il numero di utenti distinti CNS attivi ogni mese era superiore a quello degli utenti SPID.
  • Firme elettroniche avanzate offerte da service provider privati SPID o CIE, diversi quindi dai prestatori di servizi fiduciari ai quali l’Italia ha tradizionalmente riservato questo servizio. Citiamo qui ad esempio FirmaSPID, che partecipa alla nostra campagna di comunicazione. Questa firma in particolare usa SPID sia per identificare chi accede al servizio, sia per firmare il documento stesso, a differenza per esempio dalle firme qualificate precedenti; consideriamolo un indicatore di quante altre soluzioni si prospettano al crescere della diversità degli attori in un ecosistema.
  • Una novità di queste settimane che arricchisce ulteriormente l’offerta: il doppio annuncio di CheFirma!, un servizio di firma elettronica qualificata offerto da uno dei prestatori di servizi fiduciari, Intesi Group. Ci pare particolarmente interessante per l’impostazione commerciale che adotta: un fornitore tradizionale di servizi di firma, diverso però dagli Identity Provider che erogano SPID, promuove un proprio servizio di firma proprio con riferimento a SPID: ne segnala l’utilità per poi richiedere un profilo SPID!
    In pratica, da una parte usa il successo di SPID per rendere interessante la propria offerta, e dall’altra offre un’alternativa ai servizi di riconoscimento online offerti dagli Identity Provider SPID per aprire un nuovo profilo. Interpretiamo il messaggio come: “se ti è difficile ottenere un appuntamento per il riconoscimento da un gestore SPID, fallo con noi online e poi usa la nostra firma per richiedere SPID!”

Cosa manca

Esiste poi il meccanismo per la sottoscrizione di istanze con SPID, che INPS ad esempio adottò già nel 2018 per la sottoscrizione dell’Anticipo Finanziario a Garanzia Pensionistica (APE). Questo meccanismo è però riservato alle pubbliche amministrazioni.

Viva la domanda, ricca l’offerta, con modi diversi per usare le stesse tecnologie in processi che privilegiano aspetti diversi: cosa manca allora?

  • I criteri per scegliere: in quali casi, con che criteri, conviene a una certa impresa o a un professionista usare una o l’altra delle firme con SPID e CIE? In aggiunta o in sostituzione di strumenti che magari usa già e non usano SPID e CIE? Pensiamo alla PEC, o alle firme digitali commerciali tradizionali, magari erogate proprio tramite un’associazione o ordine di cui l’impresa o il professionista fanno parte, e sicuramente offerta da un fornitore di servizi fiduciari come quelli ricordati sopra.
    Con il gruppo di lavoro #ClubTI4SPID stiamo lavorando per sviluppare degli orientamenti che aiutino a rispondere a questa domanda.
  • L’impulso del regolatore all’apertura del mercato alla concorrenza.
    Molti degli strumenti tra i quali scegliere, alternativi a quelli basati su SPID e CIE, sono offerte commerciali dei gestori di servizi fiduciari, imprese particolarmente affidabili perché rispettano requisiti particolari e sono sottoposte a controlli specifici, che hanno richiesto investimenti significativi.
    Qual è la direzione del regolatore nell’aprire questo mercato a servizi basati su SPID e CIE, basati su credenziali ormai ben più diffuse di quelle richieste dai servizi tradizionali e così accessibili a molti più cittadini e imprese?
    Quali requisiti dovranno rispettare gli operatori per poter erogare i diversi servizi di firma?
    Una comunicazione esplicita su questo tema aiuterà fornitori e clienti dei servizi di firma a scegliere sia il servizio di firma da usare, sia il fornitore, permettendo a cittadini e imprese di accedere a opzioni diverse a prezzi congrui ai vantaggi di ciascuna.

Ecco alcuni primi risultati dell’analisi del nostro gruppo di lavoro, che conferma queste mancanze.

Per quanto riguarda la “firma con SPID”, ex art. 20 CAD, innanzitutto:

  • presenta effettivamente dei vantaggi rispetto alle altre: rispetto alle soluzioni di firma elettronica avanzata è almeno altrettanto sicura, nativamente interoperabile, e vale immediatamente nei confronti di tutti i possibili attori in Italia (”erga omnes”). Rispetto alle soluzioni di firma elettronica qualificata, più sicure e valide nei confronti di tutti gli attori dell’intera Unione Europea, costa meno.

Per quanto riguarda le firme elettroniche avanzate con SPID, e quella con CIE:

  • Oggi i regolamenti impongono loro un limite significativo rispetto a quelle qualificate e a quella ex art. 20 CAD: valgono solo tra attori che hanno prima concordato di riconoscerle, mentre le precedenti valgono di fronte a chiunque.
  • Alcune di queste firme sono realizzate con criteri che le rendono più sicure di altre, criteri sui quali molti esperti concordano.
  • Per queste firme elettroniche avanzate, che rispettano questi criteri, si potrebbe allora ammettere la validità di fronte a chiunque

Questo processo, complesso ma apparentemente praticabile, permetterebbe a service provider privati e pubblici di SPID e CIE di proporre a qualsiasi utente SPID e CIE una firma valida di fronte a chiunque e accessibile semplicemente. Si amplierebbe così drasticamente il mercato dei servizi di firma digitale per cittadini, professionisti e imprese.

I gestori di attributi qualificati (attribute authority)

Si tratta delle organizzazioni, spesso pubbliche, che attestano una specifica caratteristica di una persona, necessaria per compiere una determinata azione all’interno di un servizio digitale: si pensi alla patente di guida o a un certificato di vaccinazione, a un titolo di studio o alla certificazione di appartenenza ad un ordine professionale.

Che questa conferma avvenga digitalmente e velocemente è essenziale per permettere alle imprese e alle pubbliche amministrazioni di offrire processi e servizi digitali più moderni e scorrevoli. Solo con questi gestori si potrà concretizzare appieno l’opportunità di efficienza e flessibilità che i processi digitali offrono; in loro mancanza ogni erogatore di servizi, in particolare quelli privati, deve raccogliere queste informazioni dall’autorità competente, o raccogliere un’autocertificazione dal cittadino, con meccanismi che oggi sono specifici di ciascuna organizzazione e spesso impongono pause nel servizio in attesa delle verifiche necessarie.

Previsti fin dall’ìstituzione di SPID nel 2014, si trovano ora in una situazione sconcertante almeno a partire dalla pubblicazione del nuovo piano triennale per l’informatica nella pubblica amministrazione dello scorso agosto. Come segnalavamo già in quei giorni su queste pagine, erano… spariti dal piano proprio quando questo finalmente diventava più concreto, operativo e misurabile. Nei mesi successivi AgID e il Dipartimento per la Trasformazione Digitale ci hanno cortesemente comunicato una situazione paradossale, ancor più oscura di quella degli aggregatori di servizi privati. Al momento di scrivere queste righe, infatti, se abbiamo capito bene:

  • è confermato che i gestori di attributi qualificati esisteranno
  • AgID avrebbe completato le linee guida per normarli, che il Dipartimento per la Trasformazione Digitale starebbe rivedendo
  • Il Dipartimento non avrebbe informazioni da condividere.

Ci sembra a questo punto prudente dubitare persino che AgID e il Dipartimento vogliano e possano normare a breve gli Attribute Authority: si pensa forse a realizzare un nuovo quadro di riferimento, normativo e tecnologico, all’interno del quale far ricadere l’accesso alle informazioni che gli Attribute Authority dovrebbero erogare? Magari in un quadro più ampio, definito e ancora in via di realizzazione, della condivisione dei dati da e tra le pubbliche amministrazioni?

O si fatica a definire un modello di incentivi per le organizzazioni pubbliche e private che offrono questi servizi?
Alcune di queste organizzazioni oggi certificano queste informazioni a pagamento per la generalità dei cittadini, salvo convenzioni particolari con chi svolge ruoli specifici.

Questa indeterminatezza ci sembra particolarmente dannosa per l’adozione di SPID e CIE da parte delle imprese. Come e più che per gli aggregatori di servizi privati, o per le “firme con SPID” ex art. 20 CAD che sono definite ma non realizzate, l’oscurità e l’indeterminatezza di tempi e contenuti rappresenta un ottimo motivo per continuare ad ignorare SPID e CIE, per tutte le imprese e in particolare per i potenziali erogatori di servizi digitali innovativi e a valore aggiunto.

Una situazione simile, lo ricordiamo, danneggia le pubbliche amministrazioni e i cittadini ben più delle imprese, che possono continuare a fare a meno di SPID e CIE come hanno fatto finora. Sarebbero SPID e CIE a trovarsi circoscritte ai servizi delle pubbliche amministrazioni, e quindi meno utili per i cittadini. Inoltre, il modello economico di SPID continua a dipendere dalle imprese che la adottano e rimane insostenibile finché le imprese aspettano informazioni necessarie per valutarne l’uso.

Le identità europee a standard eIDAS (eID)

Il progetto FICEP ha realizzato il “primo server [di autenticazioni] transfrontaliero italiano” per l’accesso con le identità digitali a standard eIDAS, o eID, dei diversi paesi. Tutti i cittadini europei con una di queste eID possono accedere ai servizi digitali delle pubbliche amministrazioni italiane che accettino SPID almeno al livello 2. Dallo stesso server passano i cittadini italiani che con SPID di livello 2 o 3 o CIE vogliono accedere ai servizi di altre PA europee.
Le conseguenze sono ancora limitate, perché è limitata l’utilità per i cittadini internazionali di questo servizio: la grande maggioranza dei servizi delle pubbliche amministrazioni italiane richiede un codice fiscale italiano e risulta quindi accessibile ma inutilizzabile per un cittadino comunitario che ne sia privo, anche per i servizi che tutti i cittadini europei hanno diritto di ricevere.
Sono allo studio misure per superare questa limitazione per quanto possibile a livello di questo stesso server. Nel frattempo le singole pubbliche amministrazioni che ne hanno la capacità stanno sostanzialmente imponendo ai cittadini dell’Unione di ottenere un codice fiscale italiano per servirlo.

Per le imprese, abituate a gestire ordini di imprese e cittadini esteri, aprire i propri servizi digitali all’accesso da parte di cittadini europei può essere un elemento chiave del vantaggio delle identità digitali nazionali. Questo potenziale vede oggi limitazioni importanti, che pure l’Unione Europea sta proponendo agli stati membri di superare.

Le limitazioni derivano dal fatto che eIDAS, e l’obbligo per ciascuna nazione di adottarlo, nasce per le pubbliche amministrazioni. Ciascun paese rimane libero di scegliere se aprirle alle imprese, come l’Italia ha fatto per SPID e CIE, e sono pochi quelli che lo hanno già fatto.
L’Unione raccomanda di farlo, e ne promuove i vantaggi per le imprese e gli stati. Oggi vediamo quindi una doppia opportunità per stimolare le imprese italiane ad adottare SPID e CIE per l’accesso al mercato digitale unico dell’Unione:

  • per l’Italia, usare meglio iniziative e contenuti dell’Unione che promuovono i vantaggi degli eID per le imprese piccole e grandi
  • per l’Unione, aumentare la visibilità dei benefici evidenziando ad esempio quali eID siano aperte alle imprese e come facciano le imprese a usarle, e casi concreti di benefici per imprese e comunità nei paesi dove le imprese usano gli eID nazionali.

Anche in questo ambito circoscritto, i residenti dei paesi che hanno un eID aperto alle imprese, si pongono due domande concrete dalle quali dipende come, e addirittura se le imprese italiane, adottando SPID e CIE per autenticare i cittadini, potranno effettivamente aprire i propri servizi digitali ai cittadini di altri paesi dell’Unione Europea:

  • Come fanno le imprese a far accedere cittadini europei con altri eID ai loro servizi digitali? A quali condizioni?
    Il gateway eIDAS realizzato dal progetto FICEP è riservato alle pubbliche amministrazioni.

Il corrispondente per i service provider privati fu oggetto di un progetto chiamato FICES, conclusosi nel 2019. Che seguito ha avuto?

  • Qual è il futuro dello stesso servizio per le pubbliche amministrazioni dopo la conclusione del progetto FICEP che lo ha realizzato? Chi se ne occupa, con quali responsabilità, e con quali risorse? Fino a quando si è impegnato a farlo? Come prevede di gestire il volume delle richieste quando finalmente diventasse significativo?
    Per quanto ne sappiamo l’iniziativa sta proseguendo a esaurimento delle risorse iniziali e attende ancora un quadro stabile.
    Questo è importante per le pubbliche amministrazioni, e potrebbe essere utile per le imprese almeno in attesa che siano disponibili soluzioni a loro dedicate.

In prospettiva vediamo un tema ancora più importante per lo stesso mercato unico digitale dell’Unione Europea: l’apertura dell’intera Unione ai servizi degli eID oggi nazionali.

Un’impresa di un paese potrebbe voler autenticare clienti esteri con un eID del loro paese. Questo semplificherebbe agli individui l’accesso al servizio, e all’impresa l’identificazione certa del cliente per i tanti servizi che la richiedono e sempre più la richiederanno: servizi bancari, assicurativi, turistici, prenotazioni nominative di qualsiasi tipo, in particolare quelle riservate a categorie particolari come gli iscritti a ordini professionali per un convegno di specialisti.

In futuro, quando i gestori degli eID nazionali lo permettessero, un’impresa potrebbe scegliere di offrire ai cittadini di tutti i paesi dell’unione i servizi di autenticazione di un gestore di identità eID preferito per i servizi migliori che offrisse. Per usare le firme digitali come esempio: oggi almeno un servizio eID, itsme del Belgio, offre ai residenti di quel paese una firma elettronica qualificata unica, integrata nell’esperienza utente complessiva e applicabile universalmente. Un’impresa italiana potrebbe scegliere di usare quel servizio per tutti i cittadini europei che in quel futuro potessero usare itsme per autenticarsi.

Quali di queste situazioni l’Unione Europea riterrà di promuovere per favorire lo sviluppo del Single Digital Market?

Open Data su come i cittadini usano CNS, SPID e CIE

Molte pubbliche amministrazioni rendono già disponibili come open data, per l’accesso e lo studio da parte di chiunque, a cominciare dai cittadini stessi, dati quantitativi più o meno dettagliati che ciascuna amministrazione produce o raccoglie lavorando con cittadini e imprese.

I dati su come i cittadini usano i servizi online delle pubbliche amministrazioni sono una fonte preziosa di informazioni sul comportamento online dei cittadini, e le loro esigenze attuali e future. Oggi, poi, che i cittadini usano SPID 30 milioni di volte al mese, 11 volte al secondo, sono anche dati molto ricchi: un tesoro simile a quelli che le grandi piattaforme come Apple, Facebook, Google, Microsoft e le altre raccolgono su di noi e si tengono per sé (anche se miliardi e miliardi di volte più piccolo, naturalmente).

Queste informazioni, anonimizzate, sono un tesoro che esiste sicuramente eppure nessuno ha mai visto, dal quale si possono ricavare informazioni importantissime per identificare esigenze ancora inespresse e non soddisfatte dei cittadini, e progettare servizi innovativi che le soddisfino, pubblici e privati – o innovare i servizi che esistono perché siano ancora più utili.

Per questo abbiamo cominciato a chiedere alle organizzazioni che li gestiscono, a cominciare dagli aggregatori di servizi pubblici, di rendere disponibili a tutti quando e quanto i cittadini accedano a ciascuno dei loro servizi digitali: con CNS innanzitutto (molto usata, in particolare da dipendenti e collaboratori delle pubbliche amministrazioni), SPID e CIE.

La prima a risponderci positivamente è stata Regione Toscana, che già condivideva dati simili aggregati tra tutti i servizi e che ora, grazie anche alla nostra richiesta, condivide dati molto più dettagliati sul numero di accessi giornalieri ai servizi digitali della regione, distinti per tipo di identità usata.

Inviteremo gli altri gestori di questi dati (aggregatori di servizi pubblici, Identity Provider SPID, IPZS e Ministero dell’Interno) a rendere disponibili queste informazioni, e segnaleremo la loro disponibilità a startup e imprese interessate ad analizzare informazioni simili.
Siamo ottimisti che nel corso del 2021 cominceranno ad emergere risultati delle prime ricerche, e magari già servizi digitali pubblici e privati migliorati e nuovi grazie proprio a questi dati.

Cinque cose da fare per le imprese: uno stimolo all’ecosistema delle identità digitali italiane

Quali sono le più importanti tra queste cinque cose da fare? La valutazione sarà diversa per ciascuno degli operatori dell’ecosistema di SPID e CIE, dagli identity provider, ai service provider, agli aggregatori pubblici e ai futuri aggregatori privati, alla galassia dei fornitori di servizi a valore aggiunto che già oggi lavorano con imprese e pubbliche amministrazioni digitali anche con SPID e CIE, a chi studia il mercato e l’amministrazione dei servizi digitali. Lo stiamo chiedendo ad alcuni, a partire da quelli che ci hanno sostenuto fin qui nella nostra campagna di comunicazione, per

  • rivedere la formulazione di questi cinque punti ed eventuali altri simili,
  • capire quali siano i più importanti per ciascuna,
  • lavorare su ciascun punto con le organizzazioni più interessate, e con il regolatore.

La campagna di comunicazione su SPID e CIE per le imprese continua: per facilitare la seconda svolta

Abbiamo identificato queste cinque cose prioritarie da fare sulle identità digitali per le imprese mentre lavoravamo, con l’aiuto di varie imprese, amministrazioni e associazioni, per comunicare alle imprese i vantaggi di SPID e CIE.

Ora vogliamo comunicare alle imprese anche i benefici che deriveranno proprio da ciascuno di questi sviluppi, via via che verrà realizzato – sia per trasmettere l’idea dell’opportunità in prospettiva, sia perché alcuni sono già in parte disponibili e altri potrebbero diventarlo molto presto.

Per questo stiamo preparando, con l’aiuto di chi ci ha sostenuto fin qui e di altri che via via si stanno aggiungendo:

  • l’evento principale della campagna, con il patrocinio di AgID che ringraziamo anche qui, già fissato per il 10 marzo 2021 alle 15:30. Questo evento sarà imperniato sulle due aree di azione che identificheremo come prioritarie tra queste cinque ed altre che emergeranno nella preparazione.
  • altri eventi monografici e attività di comunicazione che via via organizzeremo sugli altri temi, con le organizzazioni che saranno interessate a ciascuno di essi.

Siamo convinti che i vantaggi di SPID e CIE per le imprese, lo sviluppo progressivo di queste cinque importanti realizzazioni e la crescita dell’uso di SPID e CIE da parte dei cittadini porteranno alla seconda svolta delle identità digitali italiane: il 2021 sarà l’anno nel quale le imprese cominceranno ad adottare in gran numero SPID e CIE per autenticare gli utenti dei propri servizi digitali.

Per contribuire all’evento online del 10 marzo e alle cinque cose da fare, contattaci sul gruppo LinkedIn di Club TI Milano.

Per conoscere i vantaggi di SPID e CIE per le imprese e seguire le prossime iniziative della campagna, a cominciare dall’evento del 10 marzo, registrati qui.

Diventa partner
FORUM PA 2021 (21 - 25 giugno), scopri come diventare partner
Open Innovation
PA
@RIPRODUZIONE RISERVATA

Articolo 1 di 4