Per consentire la fruizione di alcune delle misure a sostegno nell’ambito dell’emergenza coronavirus, come il bonus babysitter e il bonus 600 euro, è stata data la possibilità di utilizzare un PIN INPS semplificato per accedere ai servizi INPS online. La circostanza offre l’occasione per riflettere sull’adeguatezza di questo strumento, in relazione alle politiche nazionali ed europee sull’identità digitale.
Il pin Inps e Spid
L’INPS si avvale da molti anni del celeberrimo “PIN” come chiave di accesso principale ai propri servizi. Questo PIN è stato ottenuto da milioni di cittadini con un procedimento, a dir poco lento e farraginoso che prevede l’invio in due parti, la seconda tramite raccomandata. Quando fu pensata e normata SPID, l’identità elettronica “unica” nazionale, era quasi scontato tra chi partecipava ai lavori, che, i PIN INPS, sarebbero “presto” stati convertiti in SPID, venendo così a costituire una solida base di utenti per l’identità digitale. Questa operazione si sarebbe ben potuta congegnare prevedendo, da una parte, un termine per lo switch-off del PIN verso l’identità SPID e, dall’altra, affidando la scelta dell’identity provider SPID all’utente, senza che l’INPS dovesse caricarsi esso stesso di divenire identity provider.
La scelta invece, tuttora, rimane di concentrare i servizi INPS sul PIN, con la mera concessione di far accedere “anche” i cittadini che si fossero dotati di SPID ha da subito penalizzato la diffusione di SPID. Con l’emergenza, visto che SPID è una infrastruttura strategica dello Stato, diffusa tra oltre 6 milioni di cittadini, che si può ottenere a distanza, sarebbe stato – a parere di chi scrive – logico che lo Stato ne potenziasse l’uso per i vari servizi INPS (non ultimo il bonus 600 euro) necessari alla cittadinanza in questo periodo, cogliendo così l’occasione per diffonderla una volta per tutte tra la popolazione, rendendo così i servizi pubblici resilienti per questa emergenza e per future emergenze.
Nessuno sostiene che si sarebbe dovuta cogliere l’occasione dell’emergenza per deliberare lo switch off verso SPID, ma sorprende invece si sia fatta la scelta di dirottare nuovamente la nuova utenza verso lo strumento del PIN, quando questo non solo non è previsto dal Decreto Cura Italia ma vi è normativa primaria (il Codice dell’Amministrazione Digitale) che chiaramente prevede si debbano usare SPID o la Carta di Identità Elettronica.
Il Pin Inps semplificato per i bonus
A fronte di questo, l’INPS, cui il Decreto Cura Italia delegava all’art. 23 comma 10 solo di deliberare le “modalità operative” per accedere agli incentivi ha previsto, in aperta deroga la disposto del CAD, la possibilità di ottenere il proprio PIN (non quindi SPID) con una procedura “semplificata”, per cui l’intero PIN viene comunicato via SMS previa video-identificazione e ha quindi innovato la propria credenziale unica, che invece dovrebbe essere in via di dismissione, incentivandone il rilascio.
Si badi che tale procedura non appare idonea a semplificare la vita in questo particolare periodo a chi il PIN lo aveva già, anche perché questi cittadini potevano già usarlo per richiedere ogni prestazione senza problemi. Si tratta di una procedura diretta ai nuovi utenti che però, con azioni identiche, possono ottenere SPID. Quindi il cittadino viene chiamato a un medesimo “sforzo” telematico per poter però accedere solo a procedure INPS quando, con identiche azioni, avrebbe potuto ottenere la credenziale unica per tutti i servizi.
Pin Inps semplificato e problemi del sito istituzionale
Si dirà che il cittadino sceglierà liberamente cosa chiedere… ma il problema, specie in questi giorni, è cosa viene comunicato al cittadino e molti stanno comunicando che le provvidenze emergenziali si richiedono con il PIN semplificato, tralasciando che chi ha già SPID o chi la voglia richiedere, non deve affatto richiedere il PIN INPS. Questo, peraltro, sembra aver generato non pochi problemi perché la procedura “semplificata” appare essere bloccante laddove ci sia incogruenza tra i dati riportati nelle basi dati INPS (magari aggiornati anni prima) e quelli riportati nella richiesta di PIN semplificato.
A questo si aggiungono i problemi del sito INPS nella giornata del primo aprile, che – non volendo entrare nel merito del problema in assenza di elementi certi – sembrerebbero comunque far ritenere sia preferibile (anzitutto per lo stesso INPS) che la gestione dell’identità sia effettuata mediante la credenziale sicura SPID, piuttosto che con “PIN” rilasciato direttamente dall’ente, rendendo così il sito, di per sé, meno vulnerabile ad attacchi perché un eventuale attacco non potrebbe certo trafugare le credenziali SPID degli utenti.
Cosa dice il Regolamento Eidas
Merita, da ultimo, evidenza riguardo al tema del PIN INPS una norma del Regolamento EIDAS che mi pare dai più trascurata: l’art. 27 in tema di firma elettronica avanzata nei servizi pubblici. Ora, il PIN INPS, tecnicamente non è una identità elettronica ma una firma elettronica avanzata perché risponde alla definizione di firma elettronica avanzata ed è disponibile anche quale PIN dispositivo idoneo a sottoporre istanza all’ente.
L’art. 27 del Regolamento EIDAS prevede al paragrafo 1 che “se uno Stato membro richiede una firma elettronica avanzata per utilizzare i servizi online offerti da un organismo del settore pubblico, o per suo conto, tale Stato membro riconosce le firme elettroniche avanzate, le firme elettroniche avanzate basate su un certificato qualificato di firma elettronica e le firme elettroniche qualificate che almeno siano nei formati o utilizzino i metodi definiti negli atti di esecuzione (del Regolamento EIDAS)”.
È più che evidente dalla formulazione che poiché l’INPS, un importante ente pubblico, rilascia ed accetta una firma elettronica avanzata per l’accesso ai propri servizi, la conseguenza è che lo Stato italiano deve riconoscere, per l’accesso ai propri servizi online (tutti) anche le firme elettroniche avanzate conformi al Regolamento EIDAS, secondo un principio di neutralità tecnologica, non potendo l’INPS o lo Stato essere – per così dire – “selettivo” al riguardo per ovvie ragioni di rispetto dei principi della concorrenza. L’unico discrimine riguarda la conformità di tali firme elettroniche agli standard fissati dal Regolamento EIDAS mediante la Decisione di Esecuzione 2015/1506 della Commissione dell’8 settembre 2015. E anche questo passaggio è tuttora assente nelle considerazioni dell’Ente e del Governo. Immaginiamo la semplificazione che deriverebbe per intermediari quali CAF, fiscalisti e per il semplice cittadino dal poter sottoporre all’Ente istanze e documenti tramite la firma elettronica avanzata di cui sono dotati per altri servizi (es. la FEA della propria banca, della propria associazione di categoria, del proprio CAF, ecc.), senza doversi dotare di uno specifico PIN INPS e, anche qui, senza onerare l’Ente di una apposita gestione della sicurezza.
Conclusione
È chiaro a tutti che siamo in emergenza, ma, proprio per questo, le soluzioni adottate dovrebbero sforzarsi di essere – ora più che mai – laddove non vi siano motivi impellenti per distaccarsene, coerenti con le infrastrutture nazionali strategiche, per evitare di creare frammentazioni e contraddizioni, che, ad emergenza finita, ci trascineremo per anni e di disfare, in pochi giorni, anni di lavoro.
