Dal giorno della nascita di SPID leggiamo nelle norme istitutive che si tratta di una identità digitale che consente l’autenticazione nei servizi pubblici e privati.
Attualmente, il sistema pubblico di identità digitale è diffuso tra circa 5 milioni di utenti e con diffusione in ulteriore aumento.
La diffusione di SPID trova però un freno nel fatto che, dopo l’adesione delle principali PA, vi è un certo rallentamento nell’adesione delle Pubbliche Amministrazioni più piccole e stentano a decollare i servizi privati in cui è possibile l’utilizzo del sistema. L’utente non vede cioè la necessità e la possibilità (men che meno l’obbligo) di utilizzare SPID in servizi di proprio interesse e, stante l’assenza di campagne istituzionali e di informazione, spesso non ne conosce nemmeno l’esistenza.
Succede anche che utenti che abbiano attivato lo SPID per servizi di proprio interesse (es. i 18enni per il bonus governativo 18app), non trovino successive occasioni di utilizzo in servizi di proprio interesse e così perdano – per così dire – l’abitudine ad utilizzare SPID, vanificando l’effetto incentivante ottenuto abbinando il bonus alla necessità di attivare l’identità.
Al momento è disponibile un primo esempio di servizio privato con sola possibilità di accesso SPID, offerto dall’Acquirente Unico che consente agli utenti di conoscere lo storico dei propri consumi luce e gas, comunicati all’Acquirente Unico dai propri gestori.
Il servizio in questione trae grande beneficio dall’utilizzo dello SPID poiché i dati che rilascia sono particolarmente delicati dal punto di vista privacy e non possono assolutamente essere rilasciati a qualcuno che non sia il titolare della fornitura (si pensi al fatto che attraverso i consumi è possibile comprendere se e quando un certo immobile viene abitato).
L’uso di una identità certificata dallo Stato consente al fornitore del servizio di evitare di caricarsi della responsabilità di identificare il proprio utente e conservarne i relativi dati a comprova dell’avvenuta identificazione.
Perché Spid per i privati non decolla
Ma perché allora l’uso di SPID per i servizi privati è ancora limitato ad un unico caso?
L’Agid ha pubblicato le regole di accreditamento dei gestori privati SPID e dunque, così come ha fatto l’Acquirente Unico, è ben possibile per un privato iniziare ad accettare tale identificativo in luogo di una registrazione in-house.
Ad avviso di chi scrive, parte del motivo di tale timidezza dei service provider privati è dovuta ad una sorta di duplice “prudenza”: in primo luogo i service provider privati potrebbero temere che una base utenti pari a meno del 10% della popolazione sia insufficiente per adottare SPID come unico sistema di identificazione esterno; in secondo luogo potrebbero non essere convinti dal tariffario proposto da Agid (comunque derogabile) relativamente al costo dell’identificazione che il privato deve pagare all’identity provider.
Il tariffario Agid
Agid ha infatti pubblicato con la propria determinazione 166/2019 un tariffario che prevede i pagamenti dovuti agli identity provider, rispettivamente per le autenticazioni e per la registrazione tramite SPID su servizi privati.
In base a tale tariffario, i primi 1000 accessi di utenti unici da ciascun Identity Provider in modalità “autenticazione” (ricezione della sola anagrafica) sono gratuiti e si paga però da subito un corrispettivo per ogni “registrazione” (ricezione di attributi extra anagrafica) di utente unico.
Oltre i 1000 utenti unici, si pagano anche le autenticazioni, con una tariffa diversa a seconda se si tratti di livello 1 e 2 oppure 3.
I prezzi fissati da Agid sono di 3,5 Euro per le registrazioni di utenti (7 Euro per le registrazioni livello 3) e di 0,4 centesimi per le autenticazioni (da pagarsi oltre i 1000 utenti) e, anche qui, 7 Euro al livello 3. I livelli di tali prezzi sono probabilmente giustificati dal risparmio che ottiene il service provider privato nel delegare la gestione della sicurezza delle identità e la relativa responsabilità.
Tuttavia, come si diceva, per un service provider privato, l’adozione di SPID come unico sistema di autenticazione sarà possibile quando vi sarà una diffusione ampia dell’identità digitale.
Sembrerebbe allora che, nel definire le tariffe, Agid non abbia tenuto conto della necessità di graduarne l’applicazione in ragione della diffusione di SPID.
Si pensi alle tariffe della terminazione telefonica, le quali subivano un décalage in ragione dell’ammortamento dell’investimento iniziale degli operatori.
Nel determinare le tariffe SPID si doveva probabilmente tenere conto sia della necessità di una applicazione graduale delle medesime, sia, nel medio-lungo termine, della necessità di considerare i tempi necessari affinché tali tariffe ripagassero gli ingenti investimenti degli identity provider per poi calare progressivamente.
La registrazione utenti (non l’autenticazione) invece, viene da subito a dover essere pagata – per così dire – a “prezzo pieno”.
Dunque un servizio privato (facciamo l’esempio di una banca o un e-commerce) che volesse utilizzare SPID si troverà a operare come segue.
Se si accontenta di avere l’anagrafica degli utenti autenticati tramite SPID, potrà accettare “gratis” 1000 utenti per ogni identity provider (quindi 1000 da Infocert, 1000 da Poste, 1000 da Aruba, ecc.) per “testare” – per così dire – il sistema, senza pagare nulla.
Se invece volesse avere dati diversi, come ad esempio avere conferma che si tratta di uno studente, un avvocato, un medico con conferma dell’attributo in questione, pagherà la cifra stabilita anche per i primi 1000 utenti.
Ma le tariffe, come si diceva, sono negoziabili e, dunque, laddove ci sia interesse per l’uso del servizio, gli Identity Provider possono certamente applicare regimi migliorativi per particolari tipologie di servizio.
Non sono così le tariffe a frenare la diffusione di SPID nei servizi privati ma l’oggettiva timidezza del Governo nel promuovere il sistema tra gli utenti.
Le norme per promuovere Spid ci sono già
E’ un problema simile a quello dei pagamenti digitali ed il dilemma è quello tra switch-off e misure incentivanti.
Probabilmente occorre un equilibrato mix di entrambi.
Infatti, come si diceva, per rendere SPID attrattivo per i privati occorre che la base utenti sia il più ampia possibile e che l’uso da parte delle Pubbliche Amministrazioni non sia limitato alle sole grandi Amministrazioni. SPID deve diventare un sistema di uso corrente e lo Stato deve mostrare di “crederci”.
Un modo è cercare di sfruttare le potenzialità di SPID, affinché sia percepito dagli utenti come un vantaggio e non come “una cosa in più”.
Una norma che sembra la candidata naturale a “promuovere” SPID tra gli utenti è quella, di cui più volte ho parlato su queste colonne, di cui all’art. 43, comma 1-bis del CAD ma, “repetita iuvant”. Essa prevede che “Se il documento informatico è conservato per legge da uno dei soggetti di cui all’art. 2 comma 2 [Pubbliche Amministrazioni ed equiparati e gestori di pubblici servizi NdR], cessa l’obbligo di conservazione a carico dei cittadini e delle imprese che possono in ogni momento richiedere l’accesso al documento stesso ai medesimi soggetti di cui all’articolo 2, comma 2. Le amministrazioni rendono disponibili a cittadini e imprese i predetti documenti attraverso servizi on-line accessibili previa identificazione con l’identità digitale di cui all’art. 64 ed integrati con i servizi di cui agli articoli 40-ter [sistema di ricerca documentale che deve promuovere la Presidenza del Consiglio NdT] e 64-bis [accesso telematico ai servizi della PA, in sostanza il progetto “IO” del Team Digitale, NdT].”.
In sostanza la SPID (e non la Carta di Identità Digitale, si badi) è prevista dall’attuale normativa come la chiave per evitare di conservare e produrre documenti all’Amministrazione e provocare l’interoperabilità dei dati della PA.
Se questo avvenisse, è giocoforza che essa si diffonderebbe su larga scala e diverrebbe molto conveniente per i privati servirsene, con grande vantaggio del Sistema Paese.
Altro “vantaggio” che può presentare la SPID è quello di essere facilmente integrabile con servizi di firma e gestione dei dati personali.
Il privato, avendo dati di identità certificati, può facilmente acquisirli a fini di consenso privacy e/o firma, con applicazioni della SPID che potrebbero essere facilmente studiate e che avrebbero una validità ed opponibilità ben maggiore di un semplice clic.
E’ una vastissima area dell’Agenda Digitale su cui Governo e sistema delle imprese dovrebbero fare sistema e coordinare i propri obiettivi fissando obiettivi comuni, a vantaggio della digitalizzazione del Paese.
