Nel suo intervento programmatico alla Camera dei Deputati, il Presidente del Consiglio, Giuseppe Conte, ha voluto includere, con sorpresa di molti, un passaggio sull’identità digitale.
In particolare, ha rimarcato la necessità di arrivare presto ad un’unica “riassuntiva” identità digitale per tutti i cittadini.
Non è noto se ciò preluda a uno stravolgimento delle politiche digitali del Governo sul tema dell’identità digitale, che, tuttavia, erano tra quelle sinora caratterizzate da una certa continuità tra Governi. E’ allora interessante sul punto svolgere alcune considerazioni per cercare di contestualizzare tale affermazione rispetto a quanto sin qui attuato sul tema dell’identità digitale e vedere cosa è stato fatto e cosa manca, soprattutto alla luce del dualismo tra il sistema SPID (Sistema Pubblico dell’Identità Digitale) e la CIE (Carta di Identità Elettronica).
Il Sistema Pubblico dell’Identità Digitale
L’Italia ha ormai da vari anni istituito un sistema di identità nazionale con il sistema SPID, che è pensato come credenziale idonea sia per l’uso verso servizi della pubblica amministrazione che verso servizi di privati.
L’uso del sistema SPID è stato reso obbligatorio per tutti i soggetti tenuti al rispetto del CAD (enti pubblici e gestori di servizi di interesse pubblico).
L’identità SPID è stata inoltre tra le prime ad essere notificate alla Commissione UE per l’uso transfrontaliero e, da qualche mese, è riconosciuta così come valida per l’accesso ai servizi delle Pubbliche Amministrazioni online in tutti gli Stati membri della UE in forza delle disposizioni del Regolamento UE 2014/910 (EIDAS). Tale riconoscimento è operativo in forza del Regolamento EIDAS grazie ad appositi “nodi” che convertono le varie identità rendendole idonee ad essere riconosciute dai servizi operanti nelle varie nazioni. In Italia è da tempo operativo il nodo FICEP, gestito dall’Agid. Recentemente l’Agid ha potuto registrare i ringraziamenti di alcuni italiani all’estero che, grazie allo SPID, erano riusciti a utilizzare i servizi dei Paesi UE in cui operavano, senza dover effettuare complesse registrazioni e ottenere nuove credenziali proprio per la valenza transfrontaliera dello SPID.
La SPID ha la particolare caratteristica per cui ogni cittadino può possedere più identità SPID a sé intestate, cosa che la rende unica in Europa: normalmente le identità digitali sono uniche per ogni intestatario.
L’identità SPID non è però l’unica identità digitale italiana: il Codice dell’Amministrazione Digitale riconosce altri due sistemi: la risalente CNS (Carta Nazionale dei Servizi) che ha valenza però solo nazionale e la CIE (Carta di Identità Elettronica), che è stata notificata, come SPID, alla Commissione UE per poter essere riconosciuta a livello transfrontaliero nell’Unione Europea.
Spid e Cie, le differenze
La differenza fondamentale tra lo SPID e la CIE è che, pur essendo entrambe identità transfrontaliere, la CIE è legata all’ottenimento della carta di identità CIE, per cui, in mancanza della medesima (ad esempio, per quei cittadini che ancora non hanno la carta di identità cartacea scaduta e non possono richiedere la CIE), non è possibile ottenerla e, soprattutto, che la CIE è prevista solo ed esclusivamente per l’accesso, in Italia e all’estero, ai servizi della Pubblica Amministrazione e gestori di servizi pubblici.
Non ne è previsto né consentito un uso verso privati, a differenza di quanto avviene per SPID. Il CAD infatti prevede che la CIE possa essere utilizzata verso privati solo come strumento per l’effettuazione di pagamenti ma non per l’accesso online ai servizi dei medesimi, come invece avviene per SPID.
In sostanza, se una banca vuole utilizzare un sistema di identità certificato dallo Stato e utilizzabile solo online deve usare SPID rilasciata dal Poligrafico ma solo verso Pubbliche Amministrazioni.
Come superare il dualismo
Essendo così presenti almeno due sistemi di identità digitale di valenza transnazionale, appare difficile comprendere il senso di quanto affermato dal Presidente Conte.
Eliminarne uno dopo il lungo percorso di adozione, anche transfrontaliera?
Unificarli in qualche modo?
Dunque, solo ipotizzando, che l’intenzione del Presidente Conte, fosse quella di risolvere il dualismo CIE/SPID (dando per scontato che la CNS è fuori da questa contesa), occorrerebbe in ogni caso riflettere sul fatto che essi sono strumenti dalle caratteristiche diverse e che, la razionalizzazione dei due sistemi in uno unico, potrebbe significare la scomparsa di uno strumento garantito dallo Stato, quale è SPID, per l’identificazione verso privati. I privati possono infatti utilizzare la CIE attraverso appositi lettori in cui si inserisce materialmente la carta di identità, ma non ne possono usare la componente di identità elettronica contenuta nel chip per i propri servizi online perché non esiste normativa che lo consenta.
Peraltro – paradossalmente – non tutti i cittadini che operano online con delle credenziali hanno necessità di uno strumento con identificazione forte.
In questo senso, i livelli di garanzia che offre SPID offrono una versatilità che alla CIE sembra mancare.
Per accedere a un servizio della PA (o di privati) che offre prestazioni non individualizzate, come ad esempio l’acquisto di biglietti di musei, non è essenziale la conferma dell’identità ma solo l’autenticazione. E’ sufficiente cioè l’uso di SPID livello 1, con autenticazione basata su nome utente e password.
La CIE, in questo senso, è una credenziale “eccessiva”: si comunica al provider molto più di quel che deve sapere spendendo tale credenziale perché, normalmente, ad un sito di acquisti non si fa vedere la carta di identità.
SPID è però migliorabile perché, le contingenze normative legate alla sua nascita hanno prodotto un tipo di vigilanza e di apparato sanzionatorio di scarso impatto rispetto alla portata del sistema. Inoltre, un limite “storico” di SPID riguarda il fatto che è onere dell’utente aggiornare i dati di cui dispone il gestore dell’identità, ad esempio in caso di cambio di residenza o altre variazioni anagrafiche.
Se il senso dell’affermazione del Presidente Conte riguarda un prossimo lavoro di integrazione delle identità digitali, in maniera che il cittadino che possiede CIE, SPID (e magari la CNS) trovi un consolidamento dei dati in un unico e polifunzionale sistema o che, a colui che richiede la CIE sia contestualmente rilasciata anche SPID con certezza di verifica dei dati da parte dell’ufficiale anagrafico, tale lavoro non può che essere migliorativo dell’attuale sistema ed auspicabile.
Peraltro, la CIE potrebbe, in linea teorica, essere inserita, con un intervento normativo di non ampia portata, nel sistema SPID come una credenziale di livello 3 e anche tale operazione porterebbe a una identità “riassuntiva” nel senso indicato nell’intervento di ieri.
