Tomasini (Inail), Spid: “Ecco la nostra strategia, per il circolo virtuoso del digitale”

Home PA Digitale Servizi Digitali Tomasini (Inail), Spid: “Ecco la nostra strategia, per il circolo virtuoso del digitale”

INAIL è stata tra le prime amministrazioni a rilasciare servizi con SPID, sulla base di una strategia che vede SPID come elemento essenziale per l’innesco di un circolo virtuoso nella società italiana

20 Luglio 2016

S

Stefano Tomasini, Direttore Centrale per l’Organizzazione Digitale INAIL e Michele Mellone - Ufficio Strategie digitali, Architetture IT e Sicurezza INAIL

Se ne parlava da tempo, era previsto dal CAD e soprattutto se ne sentiva il bisogno. Si tratta del Sistema pubblico delle identità digitali. In sintesi, del sistema che permette a cittadini e imprese di utilizzare le stesse credenziali per l’accesso ai servizi on line di tutta la pubblica amministrazione, centrale e periferica.

Il decreto della Presidenza del Consiglio che definisce il sistema è di ottobre 2014. A luglio 2015 sono stati emanati i regolamenti che riguardano le regole tecniche, le modalità attuative e di accreditamento, le procedure che consentiranno ai gestori di rilasciare l’identità digitale. Da marzo il servizio è in produzione e sono attivi i primi tre identity provider (TIM, Poste ed Infocert). In generale, le PA avranno due anni di tempo per conformarsi.

Lo stato dell’arte in INAIL

INAIL ha rilasciato l’accesso tramite SPID il 9 aprile scorso. Da quella data, il portale istituzionale permette di accedere in questo modo a tutti i servizi erogati. Ad oggi, sono oltre 2000 gli utenti del portale che hanno fatto accesso tramite SPID e, al momento, ogni giorno si contano tra i 70 e i 100 login così eseguiti.

I cittadini e i lavoratori possono accedere automaticamente ai servizi relativi alle proprie pratiche personali o a quelle associate al medesimo codice fiscale dell’identità SPID. Le ditte – e gli intermediari che operano per loro conto – devono invece disporre anche dello specifico profilo, che prevede informazioni che SPID non è ancora in grado di veicolare.

Non si sono rese necessarie attività di adeguamento sui servizi: INAIL è dotato di un gateway di accesso unico e unificato, un sistema di identity management compatibile con il protocollo SAML 2.0 utilizzato da SPID e integrato con tutti i servizi on line erogati dall’Istituto.

Disporre di un sistema di questo tipo – integrato con tutti i servizi applicativi – permette di veicolare tutte le informazioni necessarie, sia quelle identitarie provenienti da SPID, sia quelle profilate e relative a ruoli e autorizzazioni specifiche dell’utente in sessione, già note a INAIL e persistite sui sistemi di sicurezza.

INAIL, del resto, aveva già implementato e rilasciato in produzione la federazione degli utenti INPS, che ricalca fedelmente il modello SPID. Nella federazione, INPS svolge il ruolo di identity provider: tutti i cittadini dotati di credenziali INPS possono quindi accedere anche ai servizi INAIL. La federazione, potenzialmente, ingloba nel sistema informativo 18 milioni di cittadini dotati di pin INPS. Se SPID, al momento, rappresenta un’iniezione di poche migliaia di utenti, in prospettiva dovrebbe e potrebbe quindi raggiungere numeri ben maggiori.

SPID rappresenta certamente un’opportunità di innovazione per l’Istituto, in diversi modi. Per esempio, si potrebbero ricevere alcune istanze degli utenti chiedendo solo le credenziali SPID, semplificando così la complicata gestione di uno specifico profilo da ottenere in anticipo e da gestire nel tempo.

L’utente che accede con SPID potrebbe autocertificarsi (ad esempio, al profilo “ datore di lavoro” per accedere alla denuncia d’infortunio), superando così l’impossibilità di utilizzare il servizio proprio nel momento in cui ne ha bisogno. La sicurezza sarebbe garantita dal fatto che l’identità del soggetto è certa: SPID, usato per un’istanza verso una PA, è equipollente alla firma digitale. Inoltre la presentazione di un’istanza non significa l’acquisizione di un diritto (l’erogazione di una prestazione scaturisce dall’istruttoria), né permette un accesso a dati.

I possibili sviluppi

L’introduzione di SPID solleciterà sicuramente sviluppi virtuosi in tutte le PA. Una prima evoluzione quasi naturale riguarda il rilascio del documento di riconoscimento digitale da parte di soggetti istituzionali (si pensi agli uffici di stato civile che già rilasciano la carta d’identità ai cittadini). Per fare in fretta, questa possibilità è stata per il momento scartata, ma non si vede perché tali uffici non possano un giorno rilasciare anche il documento di identità digitale, magari contestualmente a quello cartaceo. Quando questo dovesse avvenire, sarà necessario affrontare il problema della coesistenza con i soggetti privati che si stanno costituendo e che già ora fanno fatica ad individuare il modello di business.

Come noto si è scelto, in qualche modo, di assegnare ai privati il ruolo di identity provider, soprattutto perché l’Italia è in ritardo rispetto all’uso di internet ed è alle porte l’obbligo di integrarsi rapidamente con i meccanismi europei (vedi EIDAS). Anche AGID riflette su come reperire una fonte di remunerazione per i privati, come leva per mantenere vivo il servizio nel tempo e per scongiurare il rischio che si trasformi prima o poi in un costo a carico del cittadino.

Un altro prossimo passo, già previsto nel DPCM e a cui già si sta lavorando, riguarda il mondo delle aziende, dove le modalità di accesso ai servizi sono molto variegate e sistemi di autorizzazione talora molto complessi rappresentano un problema comune tra le diverse PA.

Ai servizi della PA accedono organizzazioni, aziende, associazioni di categoria e tutti coloro che offrono, per mandato e per legge, intermediazione. A questi utenti va riconosciuto un ruolo specifico, che comporta un’autorizzazione raccolta e riconfermata nel tempo e un esercizio della delega sicuro e trasparente. Se l’obiettivo dell’identificazione e dell’autenticazione unificate, a carico degli identity provider, sembra però raggiunto, quello dell’autorizzazione, teoricamente a carico degli attribute provider, appare ancora dai contorni sfumati e le PA potrebbero essere costrette a farsene carico ancora a lungo.

In ogni caso, là dove l’accesso ai servizi rappresenta un nodo, SPID ora non solo mette a disposizione uno snodo, ma può rappresentare anche l’innesco di un vero e proprio circolo virtuoso.

Alla popolazione fa certo piacere ridurre il tempo da dedicare agli adempimenti ed è utile che venga facilitata la gestione delle credenziali di accesso ai servizi. Così come una maggiore sicurezza rafforza la fiducia e la tranquillità di cittadini e imprese. Tuttavia, si tratta solo di un normale e dovuto miglioramento.

I dati e i servizi della PA devono invece cogliere l’obiettivo, tecnologicamente alla portata, di cambiare in meglio la vita delle persone e in futuro le PA dovranno concentrare i loro sforzi su un’offerta di servizi sempre più specializzata.

Si pensi al lavoro dei giovani, ai problemi quotidiani legati a viabilità e ai trasporti, alla dematerializzazione. Si pensi al tema della sanità e della prevenzione e a quanto sarebbe importante disporre di strumenti per intervenire operativamente, ad esempio, sulla prevenzione oncologica. Non a caso il fascicolo sanitario elettronico è un punto certamente prioritario dell’agenda digitale. E potrà avere in SPID un facilitatore importante.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!