SPID per i minori: le linee guida Agid e come migliorarle - Agenda Digitale

identità digitale

SPID per i minori: le linee guida Agid e come migliorarle

Un’analisi delle “Linee guida operative per la fruizione dei servizi SPID da parte dei minori” e alcuni aspetti su cui si possono attuare dei miglioramenti

08 Giu 2021
Luca Bonuccelli

Regione Toscana

Gianluca Marcellino

Club TI Milano

Valerio Paolini

esperto di identità digitali, già membro del Team per la Trasformazione Digitale

Da una prima lettura delle “Linee guida operative per la fruizione dei servizi SPID da parte dei minori”, pubblicate da Agid il 13 maggio, emergono difficoltà che, se non corrette o gestite, rischiano di minare l’ottimo intento e il buon lavoro che le linee guida stesse rappresentano.

Esaminiamo pertanto le linee guida per indicare alcune opportunità di miglioramento significative che riteniamo importante affrontare prima di promulgare le linee guida.

Identità digitale in Europa: stato dell’arte e strategie

L’iniziativa Agid

Questa iniziativa mostra quanto l’evoluzione e il completamento del sistema pubblico di identità l’identità digitale siano ancora oggi fondamentali per lo sviluppo del sistema paese, in particolare per estendere i benefici e le garanzie della digitalizzazione a “minoranze” che esulano dal nucleo di adulti sani, colti e con buone disponibilità economiche cui tradizionalmente si rivolgono le innovazioni tecnologiche.

WHITEPAPER
Come si paga con PagoPA e cosa è possibile pagare? Scopri di più
PA
Pagamenti Digitali

Tra queste “minoranze” i minorenni si collocano in una posizione chiave in quanto:

  • attori soggetti a particolare tutela in quanto con una parziale capacità di comprendere le implicazioni dell’utilizzo dei servizi da una parte,
  • d’altra parte, spesso abituati all’uso degli strumenti digitali fin dalla tenera età e con una manualità e immediatezza d’uso degli strumenti digitali – e quindi considerati, con qualche ragione, preziosi per diffondere la consapevolezza del digitale tra gli adulti e gli anziani
  • soprattutto obiettivo di grandi interessi commerciali ed economici, anche meritori e positivi, per la loro forte apertura al consumo di servizi digitali e la capacità di influenzare l’evoluzione digitale delle comunità in cui operano: famiglia, scuola, associazioni di volontariato e di intrattenimento e persino luoghi di lavoro.

I due oggetti principali delle linee guida

Le linee guida hanno due oggetti principali:

  1. il rilascio dell’identità digitale ai minori e
  2. le modalità di utilizzo di questa identità per l’accesso ai servizi on-line, in particolare come i genitori potranno controllare questo accesso.

Un’iniziativa parallela a questa, di forma diversa ma orientata nella stessa direzione, è la previsione nel decreto “Semplificazioni” del Sistema Gestione Deleghe al fine di permettere anche a persone “digitalmente fragili” di far accedere per loro conto (“delegare all’accesso”) ai servizi digitali altri soggetti di loro fiducia.

I due scenari (agire in nome e per conto del minore o di un soggetto “digitalmente fragile”) hanno molti punti in comune. In entrambi:

  • il delegato/genitore/tutore digitale è autorizzato ad agire per conto di un’altra persona
  • il servizio necessita di avere certezza tanto di chi sia il soggetto che vi accede (per imputare correttamente eventuali false dichiarazioni, controllo logico degli accessi ed altro) quanto del fatto che abbia diritto di agire (leggere, scrivere, transare) su dati che sono riferiti al soggetto delegante.

II diritto-dovere derivante dalla responsabilità genitoriale è certo diverso dalle azioni delegabili tra adulti; rimane il fatto che il modello logico di entrambi gli scenari si può sintetizzare in: “l’utente connesso (rappresentante/delegato) può agire in nome e per conto di un altro soggetto (rappresentato/delegante) in virtù di una autorizzazione. dalla cui natura (responsabilità genitoriale, procura, amministrazione di sostegno o altro) il servizio può individuare i limiti delle operazioni che il delegato può svolgere”.

Le principali difficoltà

Riguardo alla fase di rilascio dell’identità SPID del minore, la bozza di linee guida prevede una distinzione specifica in funzione dell’età del futuro titolare dell’identità: fino ai 14 anni il minore non effettua alcuna dichiarazione, mentre dai 14 anni è richiesto anche il suo consenso unitamente a quello di chi esercita la responsabilità genitoriale.

L’impersonificazione del minore

La bozza di linee guida prevede che “L’IdP che rilascia l’identità digitale al minore espone un apposito servizio accessibile dal genitore attraverso credenziali SPID dallo stesso rilasciate, che consente al genitore di gestire l’identità del minore (si pensi, ad esempio, alla possibilità di revocare l’identità).” e poi “L’IdP predispone un servizio per consentire al genitore di chiedere il rilascio dell’identità digitale per il minore. Tale servizio, accessibile con credenziali SPID di livello 2, prevede l’inserimento dei dati identificativi del minore (nome, cognome, codice fiscale, data di nascita).“

L’identità così creata è riferita a un minore e, di fatto, gestita e utilizzabile da parte del genitore o di chi esercita la potestà genitoriale sul titolare dell’identità. Si configura quindi come una impersonificazione del minore da parte di colui che è in possesso delle credenziali.

Non sarà possibile, infatti, immaginare che un bambino di pochi mesi di vita sia in possesso delle conoscenze basilari per utilizzare un sistema o servizio on-line che lo riguarda quando ancora non ha ancora maturato la necessaria capacità critica per l’utilizzo del servizio.

Se le linee guida verranno promulgate e realizzate in questa versione, i fornitori di servizio non conosceranno quindi chi è la persona che sta accedendo per conto del minore, ma solamente che sta accedendo qualcuno in possesso delle credenziali del minore – al limite il minore stesso! – presupponendo che ne abbia titolo (senza poter distinguere tra la responsabilità genitoriale tipica del genitore o i doveri dell’eventuale affidatario o del tutore legale) a fronte dei controlli effettuati dall’identity provider.

La “maggior tutela” prevista per i minori non può essere garantita nel migliore dei modi tramite la funzione dell’impersonificazione da parte del genitore; sarebbe invece opportuno che il fornitore di servizio fosse a conoscenza dell’identità del genitore o tutore che sta agendo e, riconoscendolo come autorizzato ad operare per conto di un minore (in virtù, ad esempio, della responsabilità genitoriale), possa tenere traccia di “chi ha visto / fatto cosa” riguardo al minore stesso.

Il poter tenere traccia delle azioni svolte dal genitore in nome e per conto del minore permetterebbe, in caso di problematiche legate a sospensioni o decisioni anche da parte del giudice tutelare sulla potestà genitoriale in situazioni particolari, di tutelare sia il minore che i genitori, individuando chiaramente chi è responsabile di eventuali atti fatti in nome del minore senza averne eventualmente diritto (o, come accennavamo prima, dal minore che ottenesse le credenziali della propria e si spacciasse paradossalmente per il proprio genitore che lo tutela).

Insomma, l’impersonificazione espone l’identità del minore a usi impropri non controllabili da parte degli altri soggetti che sono chiamati a esercitare la potestà genitoriale, e del minore stesso!

Solo per fare qualche esempio, casi particolari applicati alla situazione dei minori di problemi che in generale si pongono tutte le volte che una persona ne impersonifica un’altra per “rappresentarla”:

  • diventa impossibile sapere chi effettivamente usi un servizio in ogni momento dato: il minore o il genitore? Chi dei due è responsabile del comportamento associato a questa identità (condivisione di informazioni confidenziali, commenti magari negativi al comportamento di altri utenti…);
  • un adulto, per il solo fatto di essere genitore di un minore, può usare liberamente servizi digitali riservati a minori, e comunque fingere di essere un minore in qualsiasi attività online.

La situazione del “genitore non richiedente”

Un altro aspetto che desta perplessità è la situazione del “genitore non richiedente”, che si trova a cedere completamente all’altro genitore, quello che ha chiesto e ottenuto un’identità digitale per il figlio, qualsiasi controllo su come il figlio si comporta online.

La bozza attuale delle linee guida prevede infatti che solamente uno dei due genitori sia individuato come amministratore dell’identità digitale del minore, mentre la norma prevede che entrambi i genitori siano chiamati a svolgere le funzioni collegate alla responsabilità genitoriale, e ne abbiano il diritto.

In una società, come quella odierna, dove è ampiamente superata la netta ripartizione “gerarchica” dei ruoli tra uno principale di “padre di famiglia” e uno dedito all’educazione dei figli, quella della coppia “modello anni 50”, appare quantomeno singolare che una regola tecnica ripresenti una distinzione netta tra i ruoli tra i due genitori, con un ruolo attivo riservato ad uno solo dei due, almeno per quanto riguarda l’accesso ai servizi digitali della società dell’informazione che utilizzeranno SPID.

Secondo la linee guida in consultazione, infatti, solo uno dei due genitori potrà autorizzare i servizi a cui il minore potrà accedere. In più, la scelta di chi sarà il plenipotenziario sulla vita digitale del minore può essere del tutto accidentale: chi primo arriva (a creare per un minore un’identità digitale) ottiene un potere esclusivo (controllando a propria discrezione l’attività digitale del minore)!

Altro aspetto importante che emerge dalla prima lettura è la necessità che il genitore autorizzi “l’accesso allo specifico servizio indicando la durata dell’autorizzazione In ogni caso non potrà essere superiore ad 1 anno“, comprimendo il diritto dei giovani che abbiano compiuto 14 anni di esprimere autonomamente il consenso al trattamento dei propri dati in relazione all’offerta di servizi della società dell’informazione, come d’altronde previsto dal GDPR.

Occorre tener presente che, mentre il minore di anni 14 è generalmente particolarmente tutelato come soggetto passivo in quanto si presuppone non sia in grado di intendere e di volere, al compimento del 14° anno si inizia a configurare uno scenario diverso: si presuppone che il minore inizi a formare la propria capacità di intendere e di autodeterminarsi e, gradualmente, assuma sempre più consapevolezza dei propri diritti, della propria libertà d’azione e delle proprie responsabilità, che diventano piene al compimento dei 18 anni.

Ipotizziamo che SPID per il minorenne sia utilizzato in una scuola superiore per permettere allo studente l’accesso alla piattaforma scolastica all’interno della quale trova i compiti assegnati o un forum per il confronto con i compagni di classe della scuola e tutti gli altri servizi che ormai vanno a corredo del registro elettronico.

Lo studente non potrà usufruire dei servizi offerti dalla scuola modalità digitale a meno che entrambi i genitori abbiano acconsentito rilascio dello SPID, trovandosi d’accordo sia sul rilascio dell’identità digitale sia sulla scelta di quale fornitore di identità utilizzare. Inoltre, sarà necessario che i genitori siano concordi nell’individuare uno dei due come amministratore dell’identità del figlio e che il genitore con il compito di gestire l’identità del figlio dovrà autorizzare almeno una volta all’anno l’accesso da parte del figlio ai servizi della scuola. Conosciamo tutti situazioni, sgradevoli quanto frequenti, nei quali questo controllo esclusivo, come tante costrizioni pratiche del mondo analogico che un genitore volendo può imporre all’altro, potrebbe essere usato come strumento di prevaricazione in una situazione familiare di tensione.

Appare evidente come questa esperienza utente esponga il minore al rischio di non poter fruire dei servizi della scuola ai quali ha un diritto fondamentale e obblighi i genitori ad operazioni alle quali nella teoria non dovrebbero essere chiamati, come ad esempio il fatto di autorizzare almeno annualmente il minore 15enne a seguire le attività scolastiche, autorizzazione che non dovrebbe essere richiesta in quanto la norma prevede l’obbligo formativo fino al compimento dei 18 anni e l’obbligo scolastico fino al compimento dei 16 anni.

Il diritto di riservatezza del minore

Ulteriore aspetto di maggiore tutela del minore, che non viene apparentemente garantito dalle linee guida messe in consultazione, è il diritto di riservatezza del minore prevista già dalla UN Resolution on the Rights of the Child, detta Omnibus Resolution, adottata dall’ONU nel 1989.

In particolare, in Italia sono previsti alcuni atti sanitari che, su richiesta del minorenne stesso, non più infante o bambino, bensì adolescente, sono effettuati a prescindere dal consenso o dal dissenso del genitore, e in alcuni casi addirittura anche all’insaputa di questi; ad esempio in casi di:

  • accertamenti diagnostici, anche di laboratorio, e cure per malattie trasmesse sessualmente. art. 4 legge 25 luglio 1956, n. 837 sulla riforma della legislazione per la profilassi delle malattie veneree e artt. 9 e 14 del relativo regolamento di attuazione emanato con d.p.r. 27 ottobre 1962, n. 2056,
  • dei trattamenti di prevenzione, cura e riabilitazione della tossicodipendenza previsti dalla legge 22 dicembre 1975 n. 685 e poi dal DPR 9 ottobre 1990 n. 309. Soltanto nel caso in cui il medico accerti l’incapacità dell’interessato di comprendere il significato dell’accertamento o del trattamento da praticare, nonché le possibili conseguenze, l’intervento richiede necessariamente il consenso dei genitori la cui volontà, comunque, non prevale su quella del minore,
  • interruzione della gravidanza e scelte in ordine alla procreazione responsabile (legge 27 maggio 1978 n. 194) per le quali la legge prevede che un minore possa accedere ai consultori per ottenere la prescrizione medica di esami, farmaci e dispositivi contraccettivi escludendo ogni ingerenza dei genitori

Dal momento che oggi mondo digitale e mondo analogico sono fortemente interconnessi – anzi, è l’ipotesi di poterli ancora separare a creare difficoltà significative, in particolare per soggetti con competenze digitali limitate come quelli di cui si tratta in questo caso – ci pare molto opportuno che, così come nel mondo reale sono previsti meccanismi di salvaguardia dell’autonomia e della riservatezza del minore, questi vengano previsti nel mondo digitale che è di fatto una estensione del cosiddetto mondo analogico.

Anche il diritto di accesso libero e in riservatezza al proprio Fascicolo Sanitario da parte di un sedicenne non appare di fatto tutelato dalle linee guida portate in consultazione.

Un ultimo aspetto importante che ci sembra utile introdurre nelle linee guida sono le indicazioni per i fornitori di servizi che dovranno realizzare servizi con un linguaggio tale da essere compreso anche da bambini o adolescenti, offrendo così ai minori ulteriori tutele specifiche della loro fascia d’età nell’uso dell’identità digitale.

Come superare le criticità di oggi

Dalle riflessioni fatte emergono alcuni aspetti su cui si possono attuare dei miglioramenti rispetto alle attuali linee guida. Li riassumiamo così:

  • la soluzione proposta nella linea guida comporterà almeno per i minorenni fino a 14 anni l’impersonificazione da parte dei genitori. In ambito sicurezza la tecnica del l’impersonificazione viene associata a un modello di furto di identità, dove un soggetto utilizza credenziali che non sono direttamente associate solamente a lui stesso. La “condivisione delle credenziali del minore”, di fatto imposta da questo modello, tra genitori rende impossibile il tracciamento corretto delle operazioni effettuate (chi ha fatto cosa per conto di chi) con evidenti problematiche emergenti.

Sarebbe invece auspicabile che il genitore/tutore/rappresentante di un soggetto “digitalmente inabile” si presentasse al sistema con la propria identità, arricchita da attributo certificato da un soggetto deputato alla raccolta dei poteri di rappresentanza. Questo soggetto difficilmente può essere individuato nel fornitore di identità che si troverebbe a gestire processi di controllo delle dichiarazioni effettuate dall’utente che non sono proprie del ruolo. La proposta di modifica con l’inserimento dell’articolo 64 ter del Codice dell’amministrazione digitale prevede una soluzione di controllo logico degli accessi basato sui poteri di rappresentanza tramite la realizzazione di un sistema che “consente a chiunque di delegare l’accesso a uno o più servizi a un soggetto titolare dell’identità digitale”. L’adozione del modello basato sull’identità del delegato e sugli attributi qualificati che definiscono i poteri di rappresentanza di ogni soggetto delegato non richiede ulteriori sviluppi da parte dei Gestori di Identità, si basa sul modello nativo degli attributi qualificati previsti fin dal 2014 e riconduce il caso del genitore, del tutore, del delegato a una soluzione generale e scalabile che potrebbe comprendere anche i rappresentanti legali, o altre figure delle organizzazioni pubbliche e private.
Osserviamo che questa gestione è un esempio concreto della necessità e dell’importanza di realizzare i gestori di attributi qualificati o attribute authority. Da tempo ne sottolineiamo l’essenzialità per una gestione delle identità digitali compiuta e realmente efficace per cittadini ed imprese.

  • I minori non sono tutti uguali; al crescere dell’età e del livello di scolarizzazione si può presupporre una maggiore consapevolezza dello strumento digitale e in generale della tutela della propria personalità e autodeterminazione , come presuppongono oggi le norme relative alla tutela dei minori nel mondo analogico tradizionale.
    Occorre quindi differenziare in funzione dell’età sia le modalità di rilascio dell’identità digitale, sia le modalità di utilizzo da parte del minore, e soprattutto quelle di controllo da parte del genitore. Esemplificando possiamo immaginare che l’identità del minore sia completamente gestita (con lo strumento dell’attributo qualificato “esercente di potestà genitoriale ” e non tramite l’impersonificazione) da tutti i soggetti che hanno il compito della responsabilità genitoriale dal momento della nascita fino al momento in cui si può presupporre il minore abbia acquisito gli strumenti di base per l’accesso a determinati servizi disegnati e costruiti per lui o lei, momento che è individuabile al compimento del 14° anno di età, coerentemente alle previsioni dell’autonomia nel prestare il consenso per i servizi della società dell’informazione e momento dal quale viene meno la non imputabilità assoluta del minore, ovvero il minore può recarsi in autonomia e senza che i genitori siano necessariamente informati presso strutture sociosanitarie specifiche.
  • Così come oggi è possibile per un 15enne essere intestatario di una SIM telefonica senza la necessaria autorizzazione da parte del genitore, pare plausibile che alla stessa età minore possa ottenere la propria identità digitale e che la possa utilizzare per accedere ai servizi scolastici o sanitari a lui dedicati senza la preventiva autorizzazione esplicita da parte del genitore, autorizzazione che giustamente potrebbe rimanere necessaria per l’accesso a servizi commerciali di gioco o di social per i quali la norma prevede l’esplicita autorizzazione del genitore.
  • I servizi non sono tutti uguali: esistono servizi il cui utilizzo da parte del minore non pare poter essere arbitrariamente negato da parte di un genitore (servizi della scuola, parte della salute, del lavoro in caso di minore tirocinante) e servizi che invece appartengono ad una sfera dell’intrattenimento. Per distinguere i contenuti a cui si espone il minore si può trarre ispirazione dal progetto PEGI che prevede una classificazione in base all’età, classificazione che “consiste in un sistema utilizzato per garantire che i contenuti di intrattenimento quali i giochi, ma anche film, programmi televisivi o applicazioni mobili, riportino un’etichetta chiara e una raccomandazione relativa all’età minima sulla base dei contenuti. Le classificazioni in base all’età orientano i consumatori, in particolare i genitori, aiutandoli nella decisione di acquisto di un determinato prodotto destinato a un bambino”.

Conclusioni

Concludendo, riteniamo utile:

  • tenere meglio conto delle differenze tra un adolescente e un bambino o tra un servizio scolastico e un portale di gaming oltre a saper bilanciare il diritto dovere del genitore e i diritti del minore in modi diversi nelle varie fasi della sua crescita.
  • identificare un modello di gestione del controllo genitoriale che vada al di là dell’impersonificazione. Se l’urgenza di permettere ai minori un accesso controllato ai servizi digitali con la propria identità certa lo rendesse opportuno, forse si potrebbe indicare l’impersonificazione come soluzione provvisoria, e prospettare o meglio ancora pianificare l’introduzione di una soluzione migliore in futuro.

Per questi motivi, riteniamo utile che le linee guida vengano riviste prima di essere promulgate, o almeno che alla promulgazione si accompagni la previsione di una revisione futura che ne mitighi le criticità.

Per commentare le linee guida sull’identità digitale per i minori, e seguire la discussione in corso, segui questo link entro il 14 giugno 2021, data di scadenza del periodo di consultazione pubblica.

Per partecipare al tavolo lavoro aperto sull’identità digitale #ClubTI4SPID , contattaci sul gruppo LinkedIn di Club TI Milano.

Per conoscere i vantaggi di SPID e CIE per le imprese e seguire le prossime iniziative, segui la pagina LinkedIn di Club TI Milano.

NEWSLETTER
Cashbak, Open Banking e molto altro. Non perdere le notizie della Newsletter di Pagamenti Digitali
Dematerializzazione
Pagamenti Digitali
@RIPRODUZIONE RISERVATA

Articolo 1 di 3