Spid: numeri (forse) positivi, ma molti problemi ancora irrisolti

A quattro mesi dalla conferenza stampa che ha dato il via libera ufficiale al Sistema Pubblico di Identità Digitale, grazie al monitoraggio disponibile sul sito dell’Agenzia per l’Italia digitale abbiamo dei dati aggiornati sulla sua applicazione e diffusione: 3 sono finora gli identity provider accreditati (Infocert, Poste e TIM), 183 le amministrazioni attive, più di 7.700 le identità erogate e più di 550 i servizi disponibili.

Se i numeri, dunque, sembrano testimoniare quanto meno un riscontro (positivo?) alla fase di avvio del progetto, restano tuttavia molte – e di non scarso rilievo – le questioni ancora irrisolte in tema di Sistema Pubblico di Identità Digitale .

Innanzitutto, ad oggi non sembra siano stati tenuti nella dovuta considerazione i rilievi critici formulati in tema di SPID dalla Commissione speciale del Consiglio di Stato nel suo secondo parere (dopo quello interlocutorio del 17 marzo 2016), reso lo scorso 11 maggio, sullo Schema di decreto legislativo di riforma del CAD .

Nello specifico, infatti, lo schema di decreto modificherebbe l’art. 64 del CAD, introducendo un’organica disciplina del “Sistema pubblico per la gestione delle identità digitali” , ovvero il cosiddetto SPID, definito dal medesimo articolo come “ insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agid, secondo modalità definite con il decreto di cui al comma 2-sexies, identificano cittadini, imprese e pubbliche amministrazioni per consentire loro l’accesso ai servizi in rete ” attraverso l’utilizzo di un solo nome utente e password. Proprio su tale profilo, il Consiglio di Stato aveva ribadito che le disposizioni che si intendono introdurre relativamente allo SPID non si coordinano sufficientemente – e in alcuni passaggi arrivano a sovrapporsi – con la disciplina relativa all’utilizzo degli altri strumenti previsti dal Codice dell’Amministrazione Digitale (ad esempio PEC, CIE e CNS), attraverso i quali i soggetti privati possono interloquire con la pubblica amministrazione.

Normal 0 false false false IT JA X-NONE /* Style Definitions */ table.MsoNormalTable {mso-style-name:”Table Normal”; mso-tstyle-rowband-size:0; mso-tstyle-colband-size:0; mso-style-noshow:yes; mso-style-priority:99; mso-style-parent:””; mso-padding-alt:0cm 5.4pt 0cm 5.4pt; mso-para-margin-top:0cm; mso-para-margin-right:0cm; mso-para-margin-bottom:10.0pt; mso-para-margin-left:0cm; line-height:115%; mso-pagination:widow-orphan; font-size:11.0pt; font-family:Calibri; mso-ascii-font-family:Calibri; mso-ascii-theme-font:minor-latin; mso-hansi-font-family:Calibri; mso-hansi-theme-font:minor-latin;}

Con particolare riferimento, inoltre, alla CIE e alla CNS, occorre considerare che con le modifiche previste dallo schema di decreto attualmente allo studio delle Camere si intendono introdurre all’art. 64 del CAD due nuovi commi (e ciò genera particolare preoccupazione), ovvero il comma 2-octies – in base al quale “ le pubbliche amministrazioni consentono mediante SPID l’accesso ai servizi in rete da esse erogati che richiedono identificazione informatica ” – e il comma 2-nonies – secondo cui “l’accesso di cui al comma 2-octies può avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi ”. Non si può non tenere in conto che nella stessa bozza di riforma è prevista invece l’abrogazione del comma 2 dell’art. 64, compresa la parte in cui si specifica che “ l’accesso con carta d’identità elettronica e carta nazionale dei servizi è comunque consentito indipendentemente dalle modalità di accesso predisposte dalle singole amministrazioni ”. Pertanto, la nuova formulazione sembrerebbe rendere per la PA l’accesso con CIE e CNS solo una possibilità e non più un obbligo . In poche parole, sembrerebbe esserci l’intenzione non troppo velata di mettere in soffitta questi due strumenti ai fini dell’identificazione informatica per l’avvio di istanze e dichiarazioni dei cittadini, senza volerlo riferire apertamente. Non si stava puntando di nuovo sulla CIE in Italia ? Qualcosa sembra proprio non tornare…

Sulla base di tali nuove disposizioni, in futuro l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni sarà possibile esclusivamente tramite SPID, e (solo come possibilità) anche con carta d’identità elettronica e carta nazionale dei servizi , superando in tal modo la disciplina prevista dall’attuale comma 2 dell’art. 64 del CAD, il quale ha finora previsto che “ le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete da esse erogati che richiedono l’identificazione informatica anche con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano l’individuazione del soggetto che richiede il servizio ”.

Un ulteriore aspetto da non sottovalutare, poi, è quello legato al rischio di generare confusione nei cittadini con la sovrapposizione o convivenza di diversi PIN per ogni utente . Anche l’emissione della nuova CIE (Carta d’Identità Elettronica, le cui modalità tecniche di emissione sono state definite dal decreto 23 dicembre 2015), infatti, comporterà il rilascio di codici PIN/PUK che dovrebbero permettere all’utente di accedere a servizi online dedicati , ai sensi dell’art. 64 del CAD: quello dello SPID non sarebbe più, quindi, un “PIN unico”, ma ci sarebbero più PIN per ogni cittadino , e non è dato ancora sapere a cosa servirà il PIN della Carta d’Identità Elettronica – se non per ottenere un’identità SPID di terzo livello – una volta che sarà pienamente fruibile il sistema SPID. Insomma, a ben guardare è piuttosto ingarbugliata la strada del cittadino digitale per ottenere servizi on line. Ma il vero nodo è: accanto a tutti questi strumenti, vecchi e nuovi, e a fronte di nuovi PIN da ricordare, i servizi on line ci sono finalmente? Perché senza servizi l’intero castello rischia di avere fondamenta piuttosto fragili…

Da ultimo, ci auguriamo che non vengano trascurate le misure di sicurezza predisposte per il sistema SPID e che, oltre all’infrastruttura di sistema, ci sia un forte impegno di tutte le amministrazioni pubbliche per organizzare e rendere disponibili servizi e procedimenti amministrativi, al fine dell’avvio concreto dei lavori dell’Agenda digitale. E considerando che nella già citata bozza del “nuovo Codice dell’Amministrazione Digitale” si intende abrogare interamente l’art. 50bis dedicato ai piani di business continuity e disaster recovery per le pubbliche amministrazione italiane e che versiamo in una situazione (piuttosto surreale) di perenne assenza delle regole tecniche in materia di sicurezza informatica previste dall’art. 51 dello stesso CAD, allora non ci può rendere tranquilli la volontà di affidare il futuro di dati, informazioni, documenti, fascicoli e archivi digitali delle PA a imprecisati Piani Nazionali e a illuminanti strategie portate avanti da una “agenzia di cyber-security” (magari nelle mani di Marco Carrai).