Giovanni Manca: “Come cambia la CIE con il Decreto 8 settembre e quali scenari si aprono per l’identità digitale”

Home PA Digitale Giovanni Manca: “Come cambia la CIE con il Decreto 8 settembre e quali scenari si aprono per l’identità digitale”

È stato pubblicato nella Gazzetta ufficiale del 5 ottobre il Decreto 8 settembre 2022 sulle “modalità di impiego della carta di identità elettronica”. Per capire quali sono le novità per la CIE e come queste impattano nel panorama dell’identità digitale e nell’accesso ai servizi online della PA, abbiamo intervistato Giovanni Manca, ingegnere che da oltre 35 anni si occupa di tematiche di trasformazione digitale ed è attualmente presidente di ANORC

14 Ottobre 2022

S

Michela Stentella

Direttore testata www.forumpa.it

Photo by Ben Sweet on Unsplash - https://unsplash.com/photos/2LowviVHZ-E

Il recentissimo Decreto 8 settembre 2022, entrato in vigore il 5 ottobre scorso, sostanzialmente definisce in maniera formale il nuovo ruolo per la CIE, la carta d’identità elettronica, all’interno dell’identità digitale sia nazionale che europea. Numerosi punti di questo decreto, che è piuttosto esteso, erano già noti ma il decreto ha il merito di metterli in fila in maniera molto chiara e formale. A sottolinearlo è Giovanni Manca, ingegnere e consulente che da oltre 35 anni si occupa di tematiche di trasformazione digitale ed è attualmente Presidente di ANORC. A lui abbiamo quindi chiesto di spiegarci le principali novità del Decreto 8 settembre 2022 recante “Modalità di impiego della carta di identità elettronica” (Gazzetta Ufficiale, Serie Generale n. 233 del 5 ottobre 2002) e come queste si inseriscono nello scenario nazionale ed europeo relativo all’identità digitale.

Decreto 8 settembre: come cambia la CIE

In estrema sintesi, il decreto del ministro dell’Interno, di concerto con il ministro per l’Innovazione Tecnologica e la Transizione Digitale e il ministro dell’Economia e delle Finanze, disciplina le modalità di impiego della carta di identità elettronica, quale strumento di identità digitale (CIEId). Come sottolineato sul sito del ministero dell’Interno “con l’adozione del provvedimento, la carta di identità elettronica diventa uno strumento digitale più semplice con il quale il cittadino può ancor più agevolmente accedere ai servizi in rete erogati dalle pubbliche amministrazioni e dai privati”. Viene introdotta la possibilità di utilizzare l’identità digitale con tre livelli di autenticazione – normale, significativo ed elevato, corrispondenti ai livelli 1, 2 e 3 – per cui i cittadini “potranno accedere più facilmente ai servizi con CIEId, in base al livello di sicurezza richiesto dai fornitori di servizi. Questo consentirà una notevole semplificazione non appena sarà disponibile sul portale www.cartaidentita.it la funzionalità di configurazione delle credenziali”.

“Il Decreto è ben scritto e piuttosto esteso – sottolinea Giovanni Manca – addirittura viene utilizzata più di una pagina di Gazzetta Ufficiale per le sole premesse a testimonianza di una situazione complessa dal punto di vista normativo. Dobbiamo notare però che circa metà delle informazioni che contiene erano già note agli addetti ai lavori. È importante però che vengano formalizzate e stabilite in forma ufficiale”.

Tra le informazioni già note, Manca cita: la parte tecnologica e organizzativa dei servizi CIE, il ruolo del ministero dell’Interno e dell’Istituto Poligrafico e Zecca dello Stato (a cui è affidata la realizzazione delle nuove funzionalità), alcune questioni tecniche come la possibilità per la CIE di essere utilizzata per generare la firma elettronica avanzata in conformità al titolo V del DPCM 22 febbraio 2013. E ancora, il fatto che la CIE non è solo un documento di identità a vista, ma ha anche una serie di capacità telematiche.

Quali sono invece le principali novità? “Le novità sono relative a una nuova profilazione della CIE come identità digitale rispetto alla fruizione di servizi erogati in rete sia da parte di soggetti pubblici che privati – sottolinea Manca -. Viene introdotto e formalizzato il concetto generale di CIEId, che non è più l’app che consente di utilizzare la tessera per l’accesso ai servizi della PA, ma diventa un ‘principio’, è l’identità del titolare della CIE. È il principio di base anche filosofico dell’identità digitale gestita tramite CIE e gestita, va sottolineato, in maniera “parallela” rispetto a SPID, il che necessariamente avrà delle conseguenze.”

Come cambia la relazione tra CIE e SPID

“SPID e CIE già pre-decreto erano schemi di identificazione conformi ad EIDAS e notificati a Bruxelles, ricordiamo che una identità notificata può essere utilizzata crossboarder all’interno degli Stati membri, quindi per esempio CIE livello 3 e SPID con i suoi 3 livelli di identificazione potevano già essere utilizzati per un servizio estero con dei meccanismi di gateway, cioè interfacce standard comunitarie basate sull’architettura di base sia di SPIC che di CIE. Cosa cambia ora? Con questo decreto 8 settembre, CIE esce dal suo intorno di dispositivo comunitariamente denominato come high, quindi livello 3, livello alto di identificazione e scende a livello 2 e livello 1. Si estende quindi agli stessi livelli di identificazione di SPID. In particolare – sottolinea Manca – il livello 2 segna una pietra miliare per l’accesso ai servizi online forniti da soggetti pubblici e privati. Con il livello 2, infatti, non sarà più necessario usare ‘fisicamente’ la tessera CIE per dimostrare la propria identità in rete, perché il livello 2 non utilizza strumenti hardware di identificazione. Ci sarà un momento di identificazione primaria e poi per accedere ad esempio ai siti di INPS o Agenzia delle Entrate agiremo in maniera analoga a SPID: quindi un pre-accesso con la prima credenziale e poi un secondo fattore di autenticazione. Ora mi aspetto che sui siti della PA ci sia l’accesso tramite QRcode per facilitare l’accesso ai servizi online.”

Giovanni Manca sottolinea che si tratta indubbiamente di una semplificazione, perché “il livello 3 presentava in alcuni scenari delle difficoltà operative, non era così banale interfacciare la carta di identità elettronica che è un dispositivo contactless con il terminale (smartphone), per cui digitando poi sull’app CIEId (guarda caso già disponibile da mesi) si poteva finalmente interagire con la PA e accedere ai servizi online”.

Con il livello 2 si introduce invece una “modalità invisibile all’utente e implementabile dalla PA in modo analogo a SPID”. Tramite il CIEId server il Poligrafico dello Stato diventa in pratica analogo agli 11 identity  provider SPID attivi al momento. Il Poligrafico è il gestore del servizio per conto del Ministero dell’Interno formalmente gestore dell’identità digitale CIE.

A questo punto Manca sottolinea però che nel rapporto tra CIEId e SPID “nascono delle asimmetrie, perché chi offre servizi privati con SPID deve a chi ha autenticato l’identità una tariffa normata, mentre con CIEId livello 2 non si dovrà alcun fee all’identity provider, che come già indicato è il Ministero dell’Interno”. Un aspetto che certamente avrà delle conseguenze.

Lo scenario comunitario: verso il nuovo Regolamento EIDAS

Un altro punto evidenziato da Manca è che questa evoluzione sull’identità digitale va a collocarsi in uno scenario che ci coinvolgerà nei prossimi mesi in maniera significativa in vista del nuovo regolamento EIDAS, giunto al momento alla quinta versione e che dovrebbe essere consolidato nel terzo trimestre 2023.

“In questo contesto l’elemento di maggiore novità si chiama EUDI Wallet, l’European Union Digital Identity Wallet, un ‘portafoglio’ dell’identità digitale europea. Come verranno integrati SPID e CIE all’interno di questo portafoglio sarà tutto da vedere, ci saranno regole per gli stati membri che dovranno garantire tutta una serie di funzionalità, per cui alla fine avremo in uno stesso ‘contenitore’ la nostra identità digitale, la nostra identità in viaggio (passaporto), la nostra identità alla guida (patente), la nostra identità di hobby (per esempio la licenza di pesca) o di sicurezza (porto d’armi), e poi titoli di studio e titoli professionali. Il Wallet è un progetto estremamente ambizioso, forse troppo a mio avviso, stanno partendo dei pilot, progetti di largo respiro comunitario e vediamo cosa accadrà”

Infine, sempre a proposito del nuovo regolamento EIDAS a cui si sta lavorando, Manca sottolinea “l’approccio estremamente innovativo rispetto ai principi tipici della blockchain, e più in generale dei registri distribuiti. Il Wallet sarà anche un entry point della cosiddetta self sovrane identity, l’identità autosovrana, per cui nel momento in cui lo stato sovrano mi ha attribuito un’identità io potrò gestire nelle transazioni con l’esterno i dati che voglio trasmettere, sotto il mio controllo. Non sarà più la controparte a chiedermi i dati, ma sarò io a concederli. Questo è bellissimo sul piano filosofico, vediamo cosa succederà sul piano tecnico. Certamente lo scenario di innovazione e trasformazione digitale è molto interessante e di altissimo profilo, da seguire con la massima attenzione”.

Su questo argomento

Chip o non chip: perché la questione CNS è un’occasione per parlare di semplificazione