Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

lo stato dell'arte

Spid e Cie, prove di convivenza futura tra i due strumenti di identità digitale

La convivenza tra il sistema pubblico di identità digitale (Spid) e la carta d’identità elettronica (Cie) – che entrerà a breve nella fase di peer reviewing Ue – potrà risultare difficile e per certi versi concorrenziale. Tutte le criticità, le possibili evoluzioni e i fattori a cui prestare attenzione

21 Gen 2019

Giovanni Manca

consulente, Anorc


La presenza nel nostro paese di ben quattro strumenti di identificazione personale – Pin, Carta nazionale dei servizi, carta d’identità elettronica e Spid – pone un concreto problema di “convivenza” e concorrenza, in particolare – sotto certi determinati aspetti – tra questi ultimi due, quando la nuova carta d’identità elettronica sarà più diffusa.

La convivenza tra Cie e Spid è un tema sul tavolo delle istituzioni competenti (leggi Team Digitale alla presidenza del Consiglio, Agid, Funzione Pubblica, Poligrafico dello Stato) e si lavora ad alcune ipotesi per il futuro.

Cerchiamo di capire come mai si è venuta a creare questa pluralità di identità e se e come questi strumenti devono/possono convivere, in quale modo devono evolvere o estinguersi.

La gestione dell’identità personale in Italia

In Italia dopo decenni di Pin e password si è introdotta la Carta Nazionale dei Servizi (CNS) poi legata alla Tessera Sanitaria (TS-CNS) e contemporaneamente la Carta d’Identità Elettronica (CIE) che nell’ultima generazione (3.0) rappresenta l’evoluzione definitiva del documento di riconoscimento. Dal marzo del 2016 è iniziato il rilascio delle credenziali nell’ambito del Sistema pubblico di identità digitale (Spid) che alla data di scrittura è attivo con nove gestori dell’identità digitale.

Questa pluralità di identità è generata dalle decisioni politiche e amministrative stabilite in successivi periodo storici. Ciascuna delle decisioni è stata determinata da specifici scenari e obiettivi di Governo creando comunque gli appena citati strumenti di identificazione personale.

L’utilizzo dello spazio cibernetico è legato in modo profondo al concetto di identità digitale. L’assenza di fisicità obbliga a collegare la persona reale alla persona virtuale in modo da garantirne la massima sicurezza in termini di protezione dal furto di identità e dal tracciamento delle operazioni che si possono considerare nell’ambito della protezione dei dati personali.

Il Pin

Iniziamo dal più anziano dei sistemi di autenticazione che è il Pin. Questo sistema ha raggiunto decine di milioni di rilasci ed è ancora il più utilizzato nei servizi fiscali e previdenziali. L’avvento di Spid è stato determinato proprio dal fatto che, a servizio differente corrisponde una utenza differente con una pluralità di istanze talvolta elevata. In alcune regioni si è sviluppato, soprattutto in ambito sanitario, l’utilizzo della TS-CNS che comunque è limitata nell’utilizzo in mobilità dal fatto che si deve disporre di un lettore di smart card.

Qualche piccolo sollievo è stato determinato dall’utilizzo di token USB con CNS e dalla disponibilità (peraltro poco nota e diffusa) di APP per utilizzare la CNS su smart phone Android che consentono l’utilizzo dell’interfaccia NFC (contactless). In tal modo è utilizzabile anche la nuova Cie che dispone solo di interfaccia contactless; nel seguito si illustra qualche dettaglio sul tema.

Spid e il suo futuro

Il sistema Spid, in linea con le regole comunitarie e con il successo del riconoscimento europeo come strumento di identità transnazionale e transettoriale, si avvicina al terzo anno di vita senza aver risolto i suoi atavici problemi. Poche credenziali rilasciate (poco oltre 3.150.000) rispetto alle previsioni, un modello di business scarsamente definito e una lenta adesione delle amministrazioni al modello di erogazione di servizi. Il sistema comunque evolve all’interno di una galassia di nuove regole cercando di trovare un punto di stabilità.

Si va quindi verso la possibilità di usare Spid con validità di firma semplice, per esempio nei confronti di banche (un po’ come avviene ora per l’Ape volontaria).

Tecnicamente è Spid di livello due (password più Pin dinamico) utilizzato per la firma remota.

Questa opzione sta per essere regolamentata con una Linea guida di AgID che consentirà di focalizzare il servizio di autenticazione Spid consentendo la sottoscrizione di documenti da remoto.

Questa circostanza porta la sottoscrizione digitale verso il cittadino e garantirebbe il completamento dei cicli di vita amministrativi insieme ai pagamenti gestiti in ambito PagoPA.

Il futuro di Cie con l’App

Cie invece permette un livello di sicurezza tre, perché contiene i dati biometrici dell’utente. Potrà quindi essere usato per i servizi pubblici che ora richiedono la firma digitale o di persona. La comodità è che il cittadino avrebbe già la Cie, mentre per la firma digitale dovrebbe attrezzarsi (e pagare un servizio all’azienda che lo fornisce).

Ad oggi l’uso della Cie per l’accesso ai servizi pubblici e di privati convenzionati è previsto solo via smart card (possibilità in parte solo teorica, dati i pochi servizi al momento disponibili).

La situazione migliorerà grazie a un’app che a breve sarà distribuita gratuitamente dal Ministro dell’Interno (sviluppata dal Poligrafico dello Stato). 

Permetterà di utilizzare la Cie per accedere via smartphone Nfc (senza smart card, quindi) ai servizi che richiedono il più elevato livello di sicurezza.

Rispetto all’uso di Spid (per servizi di livello di sicurezza 1 e 2), resta la scomodità di dotarsi di uno smartphone compatibile: per ora solo Android (niente iPhone) 

In tempi rapidi questo accesso dovrà essere coordinato con Spid nell’ottica di utilizzi in mobilità o “da scrivania”. L’App CIE consentirà anche l’accesso ai servizi pubblici europei come già garantito dal riconoscimento comunitario per SPID con la nuova notifica della CIE come credenziale nazionale.

Cie, a breve l’avvio del peer reviewing Ue

In questo senso il prossimo 30 gennaio si terrà a Bruxelles la prima riunione presso la Commissione Europea nel corso della quale, AgID introdurrà agli altri Stati membri il progetto CIE, dando ufficialmente avvio al cosiddetto “peer reviewing” a seguito del quale tutti gli Stati membri valutano la conformità della proposta ai requisiti del regolamento eiDAS.

E’ previsto che il confronto tecnico si concluda a maggio 2019.

Alla riunione parteciperanno  oltre ad AGID anche rappresentanti del Ministero dell’Interno, titolare del progetto CIE, del Team per l’Italia Digitale e dell’Istituto Poligrafico e Zecca dello Stato.

Al completamento del procedimento di notifica la Commissione pubblicherà lo schema nella Gazzetta Ufficiale Europea. E’ previsto che, entro i successivi 12 mesi, tutti gli Stati membri adeguino i sistemi per permettere l’accesso ai servizi in rete oltre che con l’identità digitale SPID, anche tramite la CIE.

I tre cardini per lo sviluppo dell’identità digitale nazionale

Tutte queste iniziative devono comunque integrarsi con altri elementi essenziali per lo sviluppo del sistema di identità digitale nazionale.

La prima è la disponibilità di servizi in rete completi e utili al cittadino. Questo scenario dovrebbe essere omogeneo, ben pubblicizzato e comunicato in modo efficace ai cittadini.

Chi scrive molto spesso rileva una totale assenza di informazioni su Spid e sui possibili e già disponibili utilizzi. Invece la quasi totalità della comunicazione è su come e dove si possono richiedere le credenziali Spid mentre i reali utilizzi pratici sono poco comunicati (e anche poco disponibili) a livello della pubblica amministrazione locale.

I problemi di Spid

Un altro volano può essere rappresentato dagli erogatori di servizi privati. Ma questi soggetti devono pagare una tariffa verso i gestori dell’identità Spid per la verifica delle credenziali.

Le tariffe pubblicate da AgID sono, al momento, considerate troppo elevate dal mercato e quindi nessun soggetto è realmente attivo in questo contesto.

Questo basso interesse da parte di soggetti privati a erogare servizi tramite Spid porta anche alla mancanza della base economica di finanziamento dei gestori dell’identità che, appunto, dovevano finanziare i servizi Spid a loro carico tramite i ricavi delle verifiche di identità per conto dei privati.

Poi bisogna aiutare le piccoli amministrazioni locali a disegnare il modello di erogazione dei servizi e a mettere in opera il sistema di autenticazione utilizzando quanto sviluppato dal Team Digitale.

Può essere utile anche un finanziamento ad hoc per il supporto economico a questa attività in analogia con quanto fatto per la migrazione dei sistemi di anagrafe comunale verso l’Anagrafe Nazionale della Popolazione Residente.

Una convivenza Spid-Cie possibile?

Possiamo concludere osservando che il sistema continua a muoversi dal lato dei promotori istituzionali ma con risultati poco evidenti dal lato degli utenti e poco remunerativi per gli operatori Spid.

La convivenza con la Cie (che ad oggi è stata rilasciata ad oltre 7.100.000 di cittadini) può essere difficile e anche concorrenziale rispetto alle credenziali di livello 2 dello Spid (a danno quindi degli investimenti fatti, finora a vuoto, dagli identity provider), soprattutto quando essa sarà diffusa in modo ampio.

Ne consegue che particolare attenzione dovrà essere prestata a diffondere servizi “mobili” per lo Spid e “da scrivania” o professionali per la CIE.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4