l'analisi

Spid, tutti gli errori che ne hanno frenato la diffusione e come rimediare

Il mancato successo del Sistema Pubblico d’Identità Digitale (SPID) può essere attribuito a svariati fattori, ma la soluzione, allo stato delle cose, non può essere una riforma, un cambiamento delle regole, che dovrebbe essere notificato e comporterebbe quindi un ulteriore tempo di attesa

24 Gen 2020
Paolo Coppola

Professore associato di informatica, Università di Udine


Cosa ha frenato l’implementazione della componente pubblica di Spid? Serve davvero, in questo momento, una riforma per consentire allo Stato di diventare identity provider? E ancora, cosa fare per realizzare un modello di business sostenibile per i privati?

Sono tante le domande suscitate dal mancato decollo del Sistema pubblico di identità digitale. Proviamo a fare chiarezza.

Identità digitale e sicurezza

Il Sistema Pubblico d’Identità Digitale nasce come sistema federato. Nel 2013, il panorama italiano dei servizi online vedeva già una nutrita serie di identità digitali rilasciate da vari attori: esistevano le identità di INPS, di Agenzia delle entrate, delle università, di molte amministrazioni regionali e comunali, come pure le identità di Poste, dei fornitori di PEC o dei servizi di home banking. Metterle insieme e permettere di utilizzarle per l’accesso non solo ai servizi di chi le aveva rilasciate, ma anche a tutti gli altri era un modo per cercare di semplificare la vita ai cittadini italiani permettendo loro di usare sempre una sola coppia di credenziali (il famoso “PIN unico”) e tentare quindi di risalire la classifica DESI (Digital Economy and Society Index) della Commissione Europea che misurava una percentuale bassissima di accessi ai servizi online in Italia.

Chiaramente per “mettere insieme” le identità digitali rilasciate da vari gestori occorreva definire delle regole comuni che assicurassero la correttezza delle procedure di identificazione iniziale e la sicurezza dei sistemi, oltre che l’efficienza del sistema federato. Le identità digitali rilasciate da un gestore possono essere usate per accedere ai servizi degli altri solo se i processi sono sufficientemente sicuri. È per questo che il rilascio delle credenziali SPID, la prima volta, è un po’ macchinoso: chi le rilascia deve controllare bene l’identità perché poi la “garantirà” nei confronti di tutti i fornitori di servizi online. Una catena è forte quanto il suo anello più debole e quindi tutti gli “anelli” devono fidarsi. Questo vale soprattutto a livello europeo perché SPID è un tassello di Eidas. Un cittadino italiano può autenticarsi con SPID su un sito danese e viceversa e questo sarà progressivamente sempre più importante per le imprese nel commercio europeo che per alcuni servizi online vorranno autenticare in modo sicuro gli utenti. Per questo motivo le nostre scelte devono essere concordate con i partner europei (e le loro con noi) e, infatti, SPID è stato notificato alla Commissione. Una riforma di SPID, un cambiamento delle regole, dovrebbe essere notificato e comporterebbe quindi un ulteriore tempo di attesa.

Va ricordato che il ciclo di vita delle autenticazioni è molto costoso: il rilascio, la sospensione, la revoca, la cancellazione ecc. per questo i fornitori di servizi online lo implementano solo dove il gioco vale la candela. Mettendo l’infrastruttura di autenticazione a fattor comune, il costo per chi sviluppa si abbatte.

Le identità digitali rilasciate da Google, Facebook o dagli altri social network, ad esempio, vengono usate da molti servizi online, ma per molti servizi della PA non potevano andar bene, perché, come sappiamo, non esiste nessun reale controllo rispetto all’identità anagrafica associata. Quelle che invece ho citato all’inizio, andavano bene in molti casi e quindi potevano essere federate.

Cosa ha frenato l’implementazione della componente pubblica di Spid

Purtroppo, durante il 2014, mentre SPID “nasceva”, pur mantenendo dal punto di vista legislativo un modello federale e misto, pubblico-privato, dal punto di vista implementativo è stata sviluppata solo la componente privata e frenata quella pubblica. Più volte mi è capitato di esprimere disappunto e chiedere spiegazioni quando venivo a sapere per vie informali che AgID frenava le PA che volevano fare da identity provider dicendo loro che dovevano occuparsi di fornire i servizi, non le identità e che a quelle avrebbero pensato i privati. Era un’indicazione sciocca, perché federando le identità digitali di quelle amministrazioni, automaticamente anche tutti i loro servizi online sarebbero stati accessibili tramite SPID. Più volte ho cercato di capire chi avesse deciso che nonostante la legge prevedesse la possibilità anche per le PA di diventare IdP bisognava impedirlo. Non ci sono mai riuscito e chissà se prima o poi chi ha preso quelle decisioni avrà il coraggio di uscire dall’anonimato e assumersi le sue responsabilità, o rivendicare i propri meriti, dipende da come si valutano i risultati di quella scelta. (Per essere esatti, fortunatamente non tutte le PA hanno seguito quell’indicazione e infatti Lepida è un IdP pubblico).

Perché si cambia modello?

WHITEPAPER
Come è cambiato in Italia il quadro normativo dei pagamenti digitali verso la PA?

Nell’attuale sistema federato pubblico-privato cosa vieta allo Stato di aggiungere un suo IdP? Nulla. È necessaria una “riforma” per fare in modo che PagoPA S.p.A., la società in-house della Presidenza del Consiglio, diventi un fornitore di identità? No. È sufficiente che chieda l’accreditamento ad AgID e se rispetta i parametri di sicurezza come tutti gli altri può benissimo essere aggiunta alla lista. Analogamente potrebbe fare il Poligrafico, che gestisce la CIE. Perché, quindi, cambiare il modello? Perché “riformare”? Io temo che il motivo sia dovuto al fatto che i fornitori di identità digitali attuali non riescono a trovare un modello di business che li soddisfi. Come rientrano dagli investimenti visto che l’uso dei loro servizi di autenticazione deve essere gratuito per lo Stato ed il rilascio delle identità fino ad ora è stato gratuito per i cittadini? Se dal 2013, anno in cui Caio introdusse il progetto, ad oggi si fosse lavorato alla parte “utile” di SPID, cioè la diffusione di servizi online per cui valesse la pena avere un’identità digitale e quindi fossimo nella condizione di usarla molto spesso per semplificarci la vita, allora, forse, renderla a pagamento potrebbe anche essere un’opzione praticabile. Qualcuno griderebbe allo scandalo, ma d’altra parte anche la CIE si paga e, in generale, se la cifra è modica e serve a coprire i costi, non è sicuramente una tragedia dover pagare anche per un servizio essenziale.

Il problema è che in questi anni si è spesa molta più energia a cercare di inventarsi modelli di business per rassicurare gli IdP piuttosto che diffondere i servizi online “SPIDdizzati” e quindi un eventuale costo di SPID a carico dei cittadini ne renderebbe ancora più ardua la diffusione e, probabilmente, porterebbe a infinite, e giustificate, polemiche da parte di tutti quelli che SPID l’hanno dovuto fare solo per poter accedere a 18App e bonus cultura o APE volontaria.

Alla ricerca di un modello di business sostenibile

Una possibile fonte di introito per gli IdP, a legislazione vigente, potrebbe essere la tariffazione del servizio di autenticazione nei confronti dei fornitori privati di servizi online. L’articolo 64 comma 2-quinquies del CAD prevede che “Ai fini dell’erogazione dei propri servizi in rete, è altresì riconosciuta ai soggetti privati, secondo le modalità definite con il decreto di cui al comma 2-sexies, la facoltà di avvalersi del sistema SPID per la gestione dell’identità digitale dei propri utenti. L’adesione al sistema SPID per la verifica dell’accesso ai propri servizi erogati in rete per i quali è richiesto il riconoscimento dell’utente esonera i predetti soggetti da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell’articolo 17 del decreto legislativo 9 aprile 2003, n. 70.”, cioè i fornitori privati di servizi online possono autenticare i propri utenti con SPID e se lo fanno ottengono una semplificazione degli adempimenti relativi alla sorveglianza delle attività, quindi invece di gestire in proprio la registrazione degli utenti o usare meccanismi come Google connect o Facebook login, possono usare SPID, naturalmente, in questo caso, a pagamento.

Evidentemente, però, anche questo modello di business non viene ritenuto sostenibile (e, francamente, concordo). Ho sempre sostenuto che non esisteva un modello di business accettabile ed ho sempre lottato contro l’introduzione di vincoli normativi che di fatto creano artificialmente un mercato come potrebbe essere, ad esempio, l’obbligo di utilizzo di SPID per tutti i cittadini o per determinate categorie. Penso che l’unico possibile modello di business per l’identità digitale sia collegarla a servizi aggiuntivi e quindi, ad esempio, fornire a pagamento altri servizi fiduciari come il domicilio digitale o la firma elettronica qualificata remota oppure, ancora, servizi di home banking o altri servizi fintech. D’altra parte, una volta che un cittadino ha fatto “la fatica” di farsi identificare in modo sicuro da un fornitore di servizi accreditato, perché non permettergli di utilizzare la sua identità per inviare e firmare documenti oppure svolgere transazioni finanziarie? Sarebbe un ulteriore passo di semplificazione, pur mantenendo la massima libertà di avere fornitori diversi per servizi diversi.

Se si vuole che PagoPA diventi fornitore di Identità SPID per poter aumentare la diffusione, lo si faccia pure, ma non serve cambiare nulla dal punto di vista legislativo. Si mantenga la separazione tra controllore e controllato, ponendo anche questo ultimo IdP sotto la sorveglianza di AgID. Si mantenga anche la libertà in capo ai cittadini di poter scegliere l’IdP che preferiscono e la libertà di diventare IdP per tutti i pubblici e privati che lo vogliono e che sono in grado di rispettare i requisiti di sicurezza. In questo modo non sarà necessario notificare nessuna modifica. Soprattutto, però, non si usino soldi pubblici per “ricomprare” le identità già erogate con la scusa di “convertirle” e, invece, permettere ad alcuni IdP di “rientrare” dal business che non c’era (i privati che si lamentano se la prendano con chi gli ha raccontato la frottola, non facciano pagare il pubblico).

La “bulimia” di PagoPa

Un’ultima osservazione sul comportamento “bulimico” che sembra avere in questi ultimi tempi PagoPA. La in-house della Presidenza del Consiglio nasceva per gestire i pagamenti verso la pubblica amministrazione e il punto di accesso ai servizi io.italia.it, ma ora, pur essendo lontana dall’aver concluso i due importanti progetti, diventerebbe anche l’unico fornitore di identità digitali per i servizi della PA e anche il gestore di quasi tutte le notifiche, come si può intuire dai commi 402 e 403 della Legge di Bilancio appena approvata. Forse una concentrazione un po’ eccessiva anche alla luce di quello che abbiamo imparato dai lavori della Commissione d’inchiesta sulla digitalizzazione della PA: quando il Legislatore decide chi deve realizzare un progetto software invece di definirne i criteri e affidarsi al mercato, quasi sempre otteniamo progetti di scarsa qualità e un considerevole spreco di denaro pubblico. L’abbiamo visto quando per legge è stato affidato a SOGEI lo sviluppo di ANPR. Lo vedremo di nuovo ora che per legge viene affidato di nuovo a SOGEI lo sviluppo della piattaforma delle notifiche che gestirà PagoPA? Nel caso di ANPR, AgID aveva messo in guardia con pareri contrari che però non erano vincolanti e non erano stati considerati né dal Ministero dell’Interno né da SOGEI. Ora che la spesa sarà di due milioni di euro, AgID esprimerà il suo parere e PagoPA e SOGEI ne terranno conto? Sinceramente spero di sì.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4