Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Direttore responsabile Alessandro Longo

identità digitale

Spid, la privacy è ok, “sono altre le vere incognite”

di Luca Bechelli, Clusit

24 Mar 2016

24 marzo 2016

Sono molti gli aspetti del sistema SPID ritenuti controversi in questi giorni da vari commentatori. Ma lo sono davvero? C’è bisogno di superare i temi già dibattuti per concentrarsi, finalmente, sui reali problemi di sviluppo del modello

Dall’avvio di SPID di pochi giorni fa (16/03/16) sono aumentate in modo significativo le voci del coro di coloro che avanzano dubbi sulla sicurezza e sulle garanzie di tutela della privacy del Sistema Pubblico per la Gestione dell’Identità Digitale.

Personalmente, sono convinto che SPID possa costituire un’opportunità per la digitalizzazione e la semplificazione dei processi della PA di questo paese. Naturalmente il mezzo non realizza il fine, l’abbiamo imparato 15 anni fa con la Firma Digitale: i vantaggi potenziali non sono un argomento sufficiente per opporsi alle critiche e ai dubbi.

La mia delusione deriva però dai presupposti su cui si basano molte delle critiche che, nello specifico, riguardano aspetti che potrebbero essere facilmente chiariti da un’attenta analisi dei decreti, dei regolamenti e di tutta la documentazione che da due anni a questa parte AgID rende disponibile on-line, nelle varie versioni ed evoluzioni.

Su una cosa bisogna infatti rendere merito alle istituzioni coinvolte: se paragonata a molti altri cantieri della digitalizzazione italiana, SPID è un’iniziativa che fino dagli albori ha goduto di una trasparenza notevole. Ciò ha consentito una discussione (anche serrata) su alcuni temi chiave, sia tra i tecnici che sui tavoli istituzionali, la quale ha fatto emergere una serie di problematiche che via via sono state indirizzate nella (complessa) messa a punto dell’infrastruttura. Molte scelte sono state criticate, alcune critiche le condivido (in primis, l’assenza di un concreto modello di business), ma non riesco a essere d’accordo con chi sostiene l’inadeguatezza intrinseca dell’infrastruttura dal punto di vista della sicurezza e della tutela dei dati personali dei cittadini.

In materia di privacy, SPID è infatti fortemente incardinato nel sistema di norme italiane (e Europee di prossima pubblicazione). Nasce come uno spazio di cittadinanza digitale in alternativa all’Internet “libera” dalle giurisdizioni nazionali ma sempre più in balia dei colossi dell’Information Technology. Il Garante stesso ha partecipato alla revisione del framework di regolamenti e schemi di accreditamento dei Gestori di Identità Digitale, con effetti concreti. Alcuni esempi: i Gestori sono obbligati a vincolare il trattamento dei dati a finalità ben specifiche, che impediscono la profilazione dei cittadini, anche quando i Gestori sono essi stessi dei fornitori di servizi. In aggiunta, essi sono tenuti alla notifica degli incidenti di sicurezza e dei data breach, anticipando ed estendendo de facto alcune delle previsioni del nuovo Regolamento Europeo.

Il coinvolgimento, poi, di soggetti privati per l’erogazione di servizi fiduciari, che per alcuni costituisce un abbattimento delle prerogative dello Stato ed il vulnus di future violazioni delle garanzie dei cittadini, non è accettabile nel 2016: le sinergie pubblico-privato più illustri che precedono SPID sono la Firma Digitale e la PEC, ere geologiche fa nello spazio-tempo informatico. Possono non piacere di principio, ma non costituiscono un argomento valido a favore o contro lo SPID.  

Infine, questa iniziativa è nata nell’ambito del percorso di attuazione dell’agenda digitale europea ed è coerente con la Direttiva EIDAS: ciò ha vincolato alcune delle scelte (il lettore giudicherà se in senso positivo o negativo), in primis quelle tecniche per futura interoperabilità tra gli stati mediante l’aderenza a standard tecnici identificati dall’Unione. Tra questi, dobbiamo dare positivamente rilievo agli standard di sicurezza informatica come le norme ISO 27001, ISO 29115 e ISO 19790 a cui i Gestori e le loro soluzioni tecniche dovranno attenersi, ed in base alle quali essi dovranno essere valutati e periodicamente soggetti a verifica. 

Si può pertanto dire che la centralizzazione delle identità presso Gestori specializzati, certificati, monitorati e periodicamente valutati innalzerà il livello di sicurezza dell’accesso rispetto all’attuale situazione fatta da molteplici account distribuiti tra le varie pubbliche amministrazioni, spesso in difficoltà anche solo a reperire competenze informatiche, figurarsi se di natura specialistica. 

Con questo non voglio dire che la discussione si debba esaurire, ma dovrebbe costruttivamente focalizzarsi sui temi all’orizzonte.

In primo luogo, si deve lavorare per garantire che il ruolo di indirizzo, accreditamento e vigilanza sull’Infrastruttura e sui Gestori, che esercitano AgID e l’Autorità Garante per la Protezione dei Dati Personali ciascuno per propria competenza, possa essere adeguatamente sostenuto anche in termini di risorse e continuità.

Inoltre, la centralizzazione delle identità presso i Gestori non garantirà l’abbattimento di una parte dei rischi informatici, che resteranno comunque in carico alle applicazioni on line. In questo ambito, dalla sanità ai piccoli comuni come nelle PA centrali, vi sono criticità sulla sicurezza che da tempo attendono risposta. L’integrazione con SPID, che prevede procedure di accreditamento specifiche per i fornitori di servizi, potrebbe costituire un’occasione unica di intervento e se ben indirizzata, potrebbe addirittura liberare le risorse per gli investimenti necessari.

Per fare questo dobbiamo però smettere di guardare la pagliuzza e concentrarci sulla trave perché, piaccia o non piaccia, SPID è partito.

  • Andrea Monti

    Caro Luca,
    Intervengo perche’, pur non facendo nomi, hai citato il mio articolo sul tema della perdita di centralita’ del ruolo dello Stato nella gestione dell’identità.
    Non trovo, nel tuo articolo, degli argomenti a sostegno della tua critica, ma pittosto una mera una celebrazione “a prescindere” delle “magnifiche sorti e progressive” dell’ennesimo progetto mastodontico.
    Nel mio articolo ho criticato per primo i “catastrofisti a prescindere” e non ho espresso giudizi di valore su SPID (anche se, sapendo come sono andate le cose, pure ci sarebbe da discutere).
    Detto questo, mi sono limitato a rilevare un cambio (non so quanto consapevole) dello Stato su un tema fondamentale per i cittadini.
    Nel merito, possiamo parlare di tutto, ma per favore, evita di nasconderti dietro la “foglia di fico” della sicurezza garantita dal ruolo del Garante dei dati personali, dal controllo rigoroso, dal data-breach ecc. ecc.
    La storia italiana della sicurezza informatica (che seguo da prima di avere contribuito alla nascita del CLUSIT, con Danilo Bruschi) disegna scenari profondamente diversi.
    E a proposito di travi e pagliuzze, liquidare in questi termini il tema dell’identità e del suo controllo dimostra, appunto, la scarsa attenzione alle questioni strutturali che, una volta definite, non si cambiano piu’.
    E i danni di questo approccio li stiamo gia’ pagando.

  • Luca Bechelli

    Ciao Andrea,
    è un piacere risentirti dopo tanto tempo.
    Sì, ho letto il tuo articolo. Non l’ho trovato apprezzabile come altri che leggo sempre con molto interesse e curiosità, come ad esempio il tuo ultimo “Spid bocciato perché la nostra identità richiede maggiori garanzie”, che consiglio a chi leggerà questo nostro scambio, e che trovo decisamente più equilibrato. Ma no, non mi rivolgevo specificatamente a te.
    Se leggi bene, parlo in primo luogo a coloro i quali muovono critiche con argomenti che dimostrano che non hanno neppure letto i decreti, regolamenti et al. , e tu non appartieni certamente a questa categoria. In ordine, mi rivolgo poi a coloro i quali rivendicano la centralità dello stato dopo aver rivenduto firme digitali e PEC come operatori di RA per anni. E, ancora meno comprensibili per me, coloro i quali rivedicano tale centralità richiedendo (pur legittimamente) nel contempo l’abbattimento dei vincoli economici per esercitare il ruolo di Gestore.
    Semplicemente, mi limito a dire che questo, cito, non è un “argomento valido a favore o contro lo SPID”, ma è un tema che riguarda una riflessione più profonda, organica, estesa, che spero verrà sollecitata con l’avvento della Direttiva EIDAS.

    Invece, è vero che sono un tecnico. In quanto tale, credo di poter ribattere alla tua critica affermando che la direzione in cui si sta andando porta certamente ad un miglioramnto dello status quo se si parla di sicurezza IT. Ad oggi le mie credenziali sono sparse per decine di servizi la cui sicurezza, per non parlare del know how di chi li gestisce, non solo non è garantita, ma neppure verificata e, se devo dirla tutta, quando poi si va sul campo a verificarla, decisamente inadeguata. E seppure ci separa qualche anno di vita, ritengo di poter vantare esperienza sufficiente per dire qualcosa in materia.

    Ma come sai da tempo essere un mio modo d’essere, sono un interprete del nostro novello “secol superbo e sciocco” facendo del pragmatismo dei tecnici un modo d’essere, anche costruttivo (orgogliosamente!). Non mi pare di aver nascosto delle criticità, ma credo di aver provato ad essere ragionevolmente pragmatico nell’invitare chi legge a fare quello che anche tu,nell’articolo che ritieni abbia criticato, non fai:
    1) migliorare SPID senza doverlo necessariamente affossare a priori, magari con un minimo di approccio propositivo;
    2) sfruttare SPID per migliorare tante criticità “croniche” della sicurezza che fanno da sfondo ad un futuro che sarà necessariamente sempre più digitalizzato.

    Perchè sarà pure limitata, ma la mia prospettiva è quella della Sicurezza IT. Di questo volevo parlare. Di questa posso parlare a ragione. Di questa ho parlato.

Articoli correlati