SPID in pericolo di sostituzione: facciamo chiarezza

Scarica PDF Stampa

Stavamo appena iniziando ad abituarci allo SPID, il Sistema Pubblico di Identità Digitale, ossia quell’insieme di credenziali associate tra loro (user ID, password e password temporanea, anche detta OTP) ormai divenuto indispensabile per loggarsi nei siti o app di quasi tutte le amministrazioni pubbliche (ne abbiamo scritto in questo articolo) . Avevamo appena preso confidenza col fatto che anche l’utilizzo della Carta di identità elettronica potesse essere un sistema di accesso dei cittadini alla PA digitale, in sostruzione dello SPID (qui il relativo articolo). Avevamo con gioia appreso che anche i minori avrebbero avuto il loro accesso indipendente ed autonomo al sistema di autenticazione per i servizi indispensabili (ne abbiamo discusso in questo pezzo; di ognuno degli articoli citati, è disponibile anche il relativo podcast su questo portale).
Ma nel nuovo anno potremmo essere costretti a resettare tutti e a rivedere tutto quello che abbiamo imparato o che credevamo di sapere.
Il Sottosegretario Alessio Butti, a capo del Dipartimento Innovazione che con il nuovo Governo ha sostituito il Ministero di Colao, pochi giorni prima di Natale ha dichiarato che il Governo avrebbe intenzione di abolire SPID per puntare sulla sola Carta di Identità Elettronica come unico sistema di identità digitale, questo al fine di arrivare ad un sistema unico che sia interamente in mano allo Stato e non ad aziende private (i provider di SPID, oggi, sono diversi, da Poste Italiane, ad Aruba o Namirial, tanto per citare i più conosciuti, e si tratta per l’appunto di società private, che si affiancano a quelle pubbliche).
La dichiarazione, naturalmente, non è passata inosservata ed ha suscitato molto scalpore, anche se non è la prima volta che un Governo discute di abolire il sistema SPID, per poi approdare ad un nulla di fatto.

Indice

1. Proviamo a vedere quali sarebbero le conseguenze di una eventuale abolizione di SPID a favore del sistema CIE

Innanzi tutto, è bene precisare che SPID E CIE non sono la stessa cosa e anche se hanno alcune funzioni parzialmente sovrapponibili, nascono per funzioni diverse ed assolvono diversi scopi. SPID nasce ed è stato sviluppato come sistema di identità digitale; la carta di identità elettronica nasce e si è sviluppata come documento identificativo sostitutivo di quello cartaceo e solo successivamente, e molto recentemente, è diventato uno strumento alternativo di accesso digitale ai servizi della PA (senza contare quanto è difficile, allo stato, ottenere un appuntamento per ottenere l’ambito tesserino di plastica presso le anagrafi comunali; ma questa è un’altra storia).
 Il fatto che SPID venga fornito da più provider diversi, se da un lato effettivamente toglie allo Stato il monopolio (e dunque il controllo) di tutte le identità digitali, dall’altro favorisce la differenziazione e la concorrenza: se un provider non è soddisfacente è possibile passare ad un altro e non si crea la situazione per cui tutti i dati di accesso di tutti i cittadini siano in mano ad un unico soggetto (ancorché statale). Inoltre, la presenza di più operatori consente ai cittadini di avere più SPID, magari da utilizzare per servizi diversi e con livelli di sicurezza differenti, il che crea, a favore degli utenti, un ulteriore livello di sicurezza. La ridondanza delle chiavi di accesso crea indubbiamente la resilienza del sistema, perché se, supponiamo, il provider A venisse attaccato e subisse un furto di dati (e con esso una compromissione delle nostre identità digitali) noi potremmo continuare ad operare con il provider B. Dal lato del fornitore, invece, subire un attacco non vorrebbe dire esporre il 100% delle identità digitali degli italiani, come avverrebbe se il sistema fosse interamente nelle mani dello Stato e se questo sistema subisse un attacco di successo (ipotesi tutt’altro che peregrina, visti i tempi che corrono in tema di attacchi informatici).

2. Veniamo ora alle caratteristiche tecniche dei due sistemi

Come abbiamo avuto modo di vedere nell’articolo Guida all’Identità Digitale, SPID ha tre livelli di autenticazione: livello 1 (user ID e password), livello 2 (user ID, password e OTP non legata a sistema crittografato), livello 3 (user ID, password e OTP crittografata, ad esempio firma digitale). Questo permette il suo utilizzo, al livello di sicurezza 2 (che viene considerato elevato) anche senza un token fisico; la CIE, al contrario, presenta solo il livello di sicurezza 3 e richiede sempre il token fisico (cioè la carta stessa) associata ad una credenziale informatica (PIN), pertanto ad ogni utilizzo l’app CIE-Id chiede sempre di abbinare la carta al device, ad ogni utilizzo.
In altre parole, significa che per qualsiasi utilizzo il sistema ci richiederebbe di fornire gli estremi della nostra carta di identità, anche solo, ad esempio, per effettuare un acquisto online, con evidente violazione del principio di minimizzazione dei dati e limitazione delle finalità (non serve fornire un documento di identità per fare acquisti online), ma anche con aumento del rischio in termini di truffe informatiche e phishing (attualmente il livello di sicurezza 3 è richiesto solo per pochissimi servizi ad alto rischio, quali ad esempio le banche e la sanità).
È dunque necessario, per rendere la CIE una vera ed equivalente alternativa allo SPID, che vengano implementati i livelli di sicurezza 1 e 2, nonché fornire tutto il corredo di vigilanza, monitoraggio e regolamentazione necessario per il suo utilizzo nel settore privato (ad esempio per il suo utilizzo da parte di minori e imprese).
Per portare tutti i soggetti che oggi gravitano all’interno del sistema SPID sotto l’ala del Ministero dell’Interno, sarebbe dunque necessaria una complessa (e costosa) opera di regolamentazione.
Senza entrare nel merito politico delle scelte governative, sembrerebbe uno spreco di tempo e di risorse, ad oggi, cancellare con un colpo di spugna tutti il lavoro fatto negli ultimi dieci anni per mettere a punto il sistema SPID e soprattutto per abituare la popolazione ad usarlo, per poi abolirlo con un sistema tutto nuovo, da reinventare da capo, e che richiederebbe sforzi di regolamentazione, tempo e risorse finanziarie non da poco.
Certamente SPID non è la panacea di tutti i mali, non è una bacchetta magica per cancellare tutti i problemi che la digitalizzazione della PA sta incontrando e risulta essere ancora ostica a molti cittadini, soprattutto alle fasce deboli, agli anziani, alle parti meno alfabetizzate della popolazione ed a quelle per cui non solo SPID, ma la stessa connettività a internet appare come un miraggio.
Ma il lavoro fatto finora è stato molto e anche se la strada è ancora lunga, ricominciare da capo con un altro sistema apparirebbe, senza dubbio, ancora più lungo.
Non resta che restare alla finestra e vedere dove porterà questa dichiarazione del Sottosegretario Butti, seguendo le evoluzioni di questa amata-odiata identità digitale, che sembra non trovare pace, nemmeno sotto le feste.

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento