Lo SPID prende il via tra entusiasmi e qualche perplessità

L’8 marzo si è tenuta, alla presenza del Ministro Madia, la conferenza stampa di presentazione dello SPID, il sistema pubblico di identità digitale che si candida a essere lo strumento privilegiato di accesso in rete ai servizi delle PA (e delle aziende private che vorranno aderire), prospettando per i cittadini la possibilità di un’interazione più immediata, semplice e ampia e dando loro la possibilità di effettuare diverse operazioni (dalle prenotazioni sanitarie al controllo della situazione contributiva) attraverso pc, smartphone e tablet. Tutto ciò mettendo a disposizione tre livelli di SPID, corrispondenti a tre diversi livelli incrementali di sicurezza.

Le tappe

Nel corso dell’evento sono state delineate le prossime tappe per la concreta realizzazione del progetto: a partire dal 15 marzo 2016, infatti, gli unici tre (per ora) gestori di identità digitale accreditati da AgID (ovvero InfoCert, Poste Italiane e Tim) renderanno disponibili le prime identità digitali da utilizzare per l’accesso ai servizi, da questa data fino a giugno 2016 è prevista l’attivazione di più di 600 servizi fruibili tramite SPID, tutto – così è stato annunciato – nel rispetto delle norme di tutela per i dati personali, auspicando che abbiano trovato concreto accoglimento le indicazioni dell’Autorità garante per la protezione dei dati personali, fornite in merito con il provvedimento del 23 aprile 2015. Ad aderire sarà inizialmente un gruppo più ristretto di amministrazioni (tra quelle centrali Agenzia delle Entrate, Equitalia, Inps, Inail, più alcune Regioni e Comuni) nella previsione, entro 24 mesi, di estendere il sistema di login SPID a tutta la PA italiana e distribuire 6 milioni di identità digitali entro fine anno.

Accreditamento Identity Provider

Il percorso dello SPID sembra quindi fare uno scatto, dopo essere andato a lungo a rilento: basti pensare che quando la bozza del relativo decreto attuativo venne notificata, nel luglio 2014, alla Commissione europea, si prevedeva che la generalizzazione del suo utilizzo per i cittadini e per le imprese sarebbe avvenuta entro il 2015, ma così non è stato. L’attivazione di questa infrastruttura risulta invece essere in forte ritardo rispetto a quanto annunciato e solo da pochi mesi è stata aperta la procedura di accreditamento per gli Identity Provider. E proprio sugli Identity Provider, in particolare, si sono addensate le principali difficoltà, una serie di frenate e intoppi che hanno riguardato l’ammontare del capitale sociale richiesto per accreditarsi come gestori di identità digitale, argomento sul quale gli animi sono ancora piuttosto divisi. Dopo, infatti, che la sentenza del Tar del Lazio del 21 luglio 2015 ha annullato il requisito dei 5 milioni di euro di capitale sociale inizialmente richiesto dal DPCM per poter diventare Identity Provider, tale requisito è stato introdotto nuovamente, quasi in un gioco di tira e molla, nello schema di decreto legislativo sulle norme di attuazione dell’articolo 1 della legge 7 agosto 2015, n. 124, recante modifiche e integrazioni al D.Lgs. 82/2005 (CAD), provocando l’accesa reazione di molte associazioni di categoria, le quali sostengono che questo requisito provocherà l’ingiusta esclusione dai giochi di molte realtà medio-piccole.

Sovrapposizione dei PIN

Possibile confusione rischia di essere generata, poi, dalla sovrapposizione o convivenza di diversi PIN per ogni utente. Anche l’emissione della nuova CIE (Carta d’Identità Elettronica, le cui modalità tecniche di emissione sono state definite dal recente decreto 23 dicembre 2015), infatti, comporterà il rilascio di codici PIN/PUK che dovrebbero permettere all’utente di accedere a servizi online dedicati, ai sensi dell’art. 64 del CAD: quello dello SPID non sarebbe più quindi un “PIN unico” ma ci sarebbero più PIN per ogni cittadino, e non è dato ancora sapere a cosa servirà il PIN della Carta d’Identità Elettronica – se non per ottenere un’identità SPID di terzo livello – una volta che sarà pienamente fruibile il sistema SPID.

Privacy e cybersecurity

L’impressione è quella che lo SPID, presentato come un servizio già pronto per essere attivo e funzionante in tutti i suoi aspetti, in realtà presenti ancora delle criticità irrisolte: i provider accreditati finora sono sole tre, i primi due livelli di SPID saranno gratis per due anni ma non sappiamo cosa succederà dopo, mentre il sistema di terzo livello (quello che garantisce massima sicurezza e prevede l’uso di smart card) è ancora in attesa di certificazione e sarà distribuito più avanti (ma a pagamento), i servizi attivati finora dalle PA, inoltre, sono ancora pochi. Ci auguriamo soprattutto che non vengano trascurate le misure di sicurezza predisposte per il sistema SPID.Gli aspetti privacy sono di fondamentale importanza, a maggior ragione considerando che il nostro Paese parte già da una posizione di parziale debolezza, dettata anche dalla mancanza delle regole tecniche previste dall’art. 51 del Codice dell’amministrazione digitale – e non ancora promulgate – che dovrebbero definire le modalità per garantire l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture, mancanza a cui si aggiunge ora anche la proposta, contenuta nel decreto di modifica al CAD, di eliminare con l’art. 50bis l’obbligo per la PA di predisporre piani di disaster recovery e business continuity, scelta in netta antitesi con la linea espressa dal “Regolamento generale sulla protezione dei dati” di matrice europea e di ormai prossima emanazione.

Bisogna augurarsi, infine, che ci sia un forte impegno di tutte le amministrazioni pubbliche per organizzare e rendere disponibili servizi e procedimenti amministrativi, affinché l’avvio dei lavori dell’Agenda digitale sia davvero concreto.

* Andrea Lisi è presidente ANORC; Silvia Riezzo responsabile comunicazione presso Digital&Law Department – Studio Legale Lisi