Alle imprese che vogliono autenticare i cittadini che accedono ai loro servizi digitali, SPID e CIE offrono già oggi un grande vantaggio: l’identità certa, sicura e garantita, con un valore legale: sapere con certezza chi è la persona che all’impresa si rivolge per comprare, offrire un’idea o un servizio, reclamare. Ma questo è vero dal 2018 e ancora le imprese si guardano bene dall’adottare SPID – lo hanno fatto in 19 – e CIE – sono in tre.
Se non sono bastati:
- 18 milioni di utenti SPID (più di un milione di nuovi utenti al mese per sei mesi consecutivi, da settembre 2020)
- 19 milioni di carte CIE,
- 32 milioni di accessi SPID in febbraio (erano 30 milioni a gennaio, quasi 144 in tutto il 2020)
- 4 milioni di accessi CIE in gennaio e febbraio (erano 5.6 milioni in tutto il 2020)
cosa potrà scatenare l’adozione?
La svolta di Spid e Cie per cittadini e PA
Nel nostro ultimo articolo avevamo descritto le cinque cose che convinceranno le imprese ad adottare in massa SPID e CIE, arrivando a una svolta paragonabile a quella che SPID e CIE hanno compiuto nel 2020 per i cittadini. Nel frattempo, grazie anche alla scadenza del 28 febbraio per l’adozione di SPID e CIE da parte delle pubbliche amministrazioni, il sistema delle identità digitali italiane ha fatto parecchi progressi. Questi progressi avvicinano la meta e fanno vedere meglio gli ostacoli ancora sostanziali che ce ne separano.
Per le pubbliche amministrazioni li hanno descritti bene, ad esempio, Eugenio Prosperetti, Giorgia Dragoni con Federica Meta, Giovanni Manca, Patrizia Saggini e Roberto Bellini. E per le imprese? Proviamo a farlo noi.
Per fortuna, anche le altre cinque cose che convinceranno le imprese a adottare in massa SPID e CIE stanno facendo progressi, alcuni importanti e quasi risolutivi, altri utili almeno a chiarire le aspettative. Oggi finalmente le imprese possono cominciare a programmare azioni concrete per adottare SPID e CIE.
Lo abbiamo confermato grazie ad alcuni degli attori chiave di questa evoluzione, che hanno partecipato il 10 marzo al convegno centrale della campagna di comunicazione #ClubTI4SPID su SPID e CIE per le imprese, moderato con efficacia e lucidità dall’avvocato Andrea Lisi, presidente di ANORC Professionisti.
Ecco cosa ci hanno detto.
Aggregatori di servizi privati SPID e CIE
Per quanto riguarda questi operatori, essenziali per creare un mercato dei servizi informatici di integrazione con SPID e CIE dal quale imprese di tutti i tipi si possano approvvigionare:
- per SPID siamo davvero a un passo dalla meta: AgID prevedeva il parere del Garante per la Protezione dei Dati Personali per il 22 marzo scorso, e in caso di parere favorevole la pubblicazione delle linee guida subito dopo. Con queste linee guida le imprese di servizi informatici potranno offrire i propri servizi a quelle che vogliono adottare SPID. A fine marzo, trascorsa anche questa scadenza, AgID conferma che questo sospirato parere arriverà presto. Forse poco dopo Pasqua?
In più, almeno uno dei principali erogatori di servizi fiduciari del mercato italiano, Infocert, ci ha confermato di voler diventare aggregatore di servizi privati “appena possibile”. - per CIE ci siamo già: già oggi una pubblica amministrazione o un’impresa che adotti CIE, un erogatore di servizi, può indicare un partner tecnologico al quale si affida per il supporto. Questo partner, che grazie alla sua specializzazione può realizzare l’integrazione in maniera molto più semplice ed economica, ha un ruolo sostanzialmente equivalente a quello dei futuri aggregatori per SPID.
In più, dal 2 marzo per CIE è disponibile uno strumento prezioso per facilitare l’adozione da parte delle imprese e la verifica delle richieste di adozione da parte del regolatore: un sistema di “onboarding automatizzato” che facilita l’ingresso del nuovo erogatore di servizi, anche privato, nella federazione, e quindi l’adozione di CIE. Speriamo che AgID renda disponibile presto uno strumento simile anche per SPID.
Stiamo sollecitando altre organizzazioni che erogano servizi digitali a comunicare i propri programmi e obiettivi come aggregatori di servizi privati. Queste informazioni faciliteranno la scelta da parte delle imprese di adottare SPID e CIE.
Firme con SPID e CIE
Numerosi contributi hanno confermato la complessità della situazione odierna. Crediamo necessarie e urgenti, e pienamente possibili, scelte chiare e decise per semplificarla:
- Assolombarda ha ribadito due punti fondamentali:
- l’importanza delle firme per le imprese: per le imprese associate, in particolare le piccole e medie imprese, la possibilità di firmare elettronicamente documenti e richieste è il principale elemento di interesse verso SPID e CIE.
- Le importanti difficoltà operative oggi insite nell’uso del profilo SPID della persona con il potere di firmare per l’impresa. Oggi occorre che questa persona sia coinvolta direttamente nella preparazione dell’istanza o del documento da firmare.
Assolombarda auspica quindi la rapida diffusione dei profili SPID per uso professionale.
Ricordiamo che occorrerà anche una revisione dei servizi digitali di ciascun erogatore, che permetta in particolare di separare attori e tempi di preparazione di un’istanza o documento da quelli di revisione e firma, e di gestire le informazioni su poteri e deleghe di chi firmerà tramite questo tipo di profilo!
- ANORC segnala l’opportunità di andare oltre la firma “nativa” SPID, la “sottoscrizione di documenti ex art. 20 CAD”, per diffondere processi semplici di firma con SPID. In situazioni molto frequenti, ad esempio le transazioni del commercio elettronico, usare SPID e CIE per concludere la transazione o firmare offrirebbe vantaggi importanti rispetto all’uso di firme e identità senza alcuna certezza, come quelle dei social.
Osserviamo qui che la diffusione di SPID e CIE, e delle firme elettroniche avanzate che le usano, offre proprio l’occasione per diffondere l’uso di questi strumenti di firma. Una delle opportunità è quella di identificare criteri di sicurezza opportuni con i quali certe FEA che li soddisfano potrebbero essere utilizzate in maniera più “Trusted” del concetto di FEA generale, arrivando a soddisfare la grande maggioranza delle esigenze quotidiane di firma digitale.
Osserviamo infine che questo è un esempio di come le imprese mature oggi possano fare a meno di SPID e CIE: prima che fossero disponibili queste identità avevano già realizzato soluzioni più complesse, rischiose e costose, che oggi però funzionano. Nel commercio elettronico in particolare, le imprese si sono attrezzate per la gestione di frodi e identità incerte molti anni prima della disponibilità di identità come SPID e CIE. Oggi quindi i vantaggi per i cittadini e per le imprese stesse di nuovi processi di vendita online che valorizzino le identità certe sono indiretti e poco urgenti.
- AgID prevede la diffusione proprio di questa firma ex art. 20 CAD tra non molto, probabilmente entro il 2021, perché ritiene che la maggior parte degli Identity Provider, gli unici autorizzati ad offrirla, la proporrà ai propri clienti.
- Infocert ha ribadito che continuerà a sviluppare e promuovere altre firme, le Firme Elettroniche Avanzate e Qualificate che usano SPID e CIE per identificare con certezza il richiedente, anche perché utilizzabili in tutta l’Unione Europea, essendo previste dal modello a tre livelli (firma semplice, avanzata e qualificata) dell’Unione stessa.
Oggi riscontriamo che quasi tutti gli operatori di servizi fiduciari e IdP SPID hanno un orientamento simile: alcuni propongono FEA o FEQ con rilascio tramite identificazione SPID, mentre l’unico che ha preannunciato pubblicamente piani per l’adozione della sottoscrizione ex art. 20 è Lepida, che la sta collaudando con i propri dipendenti e ancora deve indicare una data per la disponibilità commerciale. - IPZS sta lavorando con i ministeri e le altre organizzazioni coinvolte per aggiungere alla firma con CIE per gli individui la possibilità di usare CIE per identificare una persona fisica e il suo ruolo rispetto ad una persona giuridica, analogamente all’attuale SPID per uso professionale e per persona giuridica. La scadenza di riferimento è quella del 30 settembre prossimo, quando il “decreto semplificazione” obbliga le pubbliche amministrazioni a ritirare le proprie credenziali proprietarie, e accettare solo autenticazioni con SPID e CIE.
Ricordiamo che richieste e soluzioni proposte per la gestione di identità digitali individuali in riferimento ad una persona giuridica sono tra le forme di gestione deleghe e poteri, che oggi entrambe le identità digitali nazionali stanno cominciando ad affrontare dopo essersi concentrate in fase di avvio sulla identificazione e autenticazione del cittadino in quanto tale, a prescindere da attributi o deleghe rispetto ad altri. Tutte queste esigenze si potranno gestire anche con servizi di gestione di attributi qualificati come quelli descritti più oltre.
Questi risultati confermano ampiamente l’esigenza di semplificare l’offerta e renderla più rilevante per la domanda. Siamo convinti che questa svolta avverrà quando il regolatore, oltre a definire strumenti per le diverse esigenze e proporne l’adozione come ha fatto finora e sta facendo, definirà criteri per aprire il mercato a proposte diverse, pur nella tutela dei cittadini e della trasparenza necessaria perché questi possano scegliere tra le varie alternative. Per esempio: fatichiamo a immaginare come la sottoscrizione ex art. 20 CAD possa effettivamente diffondersi quando è riservata … proprio agli identity provider SPID, quelli che nei fatti le preferiscono le FEA e FEQ con identificazione tramite SPID e CIE!
Su questo abbiamo una proposta, articolata, da qualificare ancora con gli operatori dell’ecosistema.
Gestori di attributi qualificati (Attribute Authority) – deleghe e poteri
I gestori di attributi qualificati permetteranno di verificare immediatamente nel corso di un servizio digitale che il cittadino che lo usa abbia le caratteristiche che sostiene di avere. Questo permetterà processi digitali più semplici, veloci e sicuri.
Affrontiamo innanzitutto un aspetto importante per i cittadini e il loro rapporto con le pubbliche amministrazioni, che potrebbe influenzare come si potranno poi gestire deleghe e poteri per professionisti e imprese, contribuendo a superare le difficoltà citate più sopra e segnalate da numerose organizzazioni – si pensi ad esempio ai CAF, e in generale ai diversi tipi di professionisti che assistono i cittadini e le imprese in numerosi adempimenti tributari e regolamentari.
Il tema è emerso ai primi di marzo, con la pubblicazione su varie testate di informazione generaliste di alcuni articoli, imprecisi perché basati su bozze ancora provvisorie delle linee guida relative. La questione è quella delle deleghe ad agire per conto di un cittadino bisognoso di assistenza a vario titolo, formalmente “gestione dei soggetti delegati e degli amministratori di sostegno o tutori”, in realtà da distinguere in due fattispecie profondamente diverse:
- la delega ad un amministratore di sostegno, tutore o simili per rappresentare anche nei servizi digitali una persona fragile
- la “delega” o assistenza nell’attività digitale con SPID e CIE per un cittadino per altri versi pienamente capace e però poco abile o interessato ad esercitare la propria volontà tramite strumenti digitali (i mitici “nipoti che aiutano i nonni”, richiamati da molte testate).
Su questo tema, fondamentale per semplificare a milioni di cittadini l’accesso ai servizi digitali, AgID ha chiarito che la soluzione:
- permetterà ai soggetti tutelati di designare un delegato, e al delegato di agire per conto del delegante, dimostrando l’esistenza e validità della delega
- la soluzione sarà disponibile entro il 30 settembre, di nuovo la scadenza della validità delle credenziali proprietarie delle pubbliche amministrazioni, molte delle quali hanno realizzato su queste credenziali logiche applicative proprie di gestione delle deleghe.
Ricordiamo che con questa capacità il sistema delle identità digitali italiane si porterà all’avanguardia rispetto a quanto le imprese hanno già finora realizzato in autonomia per i propri servizi digitali. Ad esempio: ancora oggi la maggior parte delle banche riconosce agli amministratori di sostegno la possibilità di operare per conto dei propri assistiti, come le banche sono naturalmente obbligate a fare, ma impone loro di agire di persona, in filiale, escludendo qualsiasi accesso ai servizi bancari digitali dei deleganti. Se questo è un inutile fastidio per chi affianca e assiste un proprio parente, pensate a quei professionisti ai quali un tribunale può chiedere di occuparsi anche di molte decine di assistiti!
Per quanto riguarda invece la disciplina dei gestori di attributi qualificati in senso più generale, la stessa AgID ha indicato che:
- Le linee guida che descrivono come realizzarle nell’impostazione già prevista dal DPCM istitutivo di SPID del 2013 sono già pronte, come sappiamo
- Prima di proporle alla revisione pubblica e all’approvazione definitiva si attende una decisione strategica sulla scelta del modello. I responsabili di questa decisione (il ministero dell’Innovazione, presumiamo, magari di concerto con gli altri ministeri attivi nella gestione delle principali piattaforme digitali nazionali, come ANPR e PDND) potrebbero scegliere un modello diverso da quello previsto dal DPCM e dalle linee guida oggi predisposte.
- La decisione strategica, e quindi la possibilità almeno di prevedere quando e in che forma saranno disponibili gli attributi qualificati è prevista “entro un paio di mesi” cioè per maggio 2021.
Ricordiamo che il modello previsto dal decreto e descritto dalle linee guida attuali prevede che le organizzazioni responsabili della gestione pre-digitale di questi attributi (ad esempio gli ordini professionali per l’appartenenza ad essi, gli uffici per la motorizzazione civile per le patenti di guida, o le camere di commercio per le deleghe e i poteri delle imprese, l’anagrafe per l’età) si attrezzino per erogarli anche in forma digitale, offrendo servizi che, a richiesta del cittadino identificato con SPID o CIE, confermino il possesso dell’attributo che ciascuna organizzazione gestisce.
A maggio 2021 dovrebbe quindi essere possibile almeno valutare quanti anni saranno necessari per avere i gestori di attributi qualificati, e come questi saranno gestiti. Di anni si tratterà, crediamo, per fare in modo che almeno i principali tra i potenziali gestori di questi attributi siano in condizioni di erogarne o confermarne in tempo quasi reale l’effettiva sussistenza per un determinato cittadino.
Nel frattempo, una soluzione possibile è quella proposta da Fondazione Bruno Kessler con riferimento agli attributi personali disponibili su CIE (ad esempio la data di nascita, e l’età). Si può pensare infatti di estrarre questi attributi dalla carta (e magari allo stesso tempo estrarre attributi simili che servano per la transazione in corso e provengano da altre autorità che li rendano disponibili digitalmente per la transazione in corso, ad esempio l’IBAN da una banca, l’ISEE dall’INPS o da un CAF, o un certificato di vaccinazione) per raccoglierli in un portafoglio (“wallet”) digitale sotto il controllo dell’individuo, dal quale l’individuo stesso potrebbe autorizzarne la comunicazione a terzi durante una transazione con SPID e con CIE.
Come emerso nella discussione del gruppo di lavoro aperto #ClubTI4SPID, questo presuppone naturalmente requisiti di sicurezza e trasparenza importanti per i gestori di questi portafogli, ad oggi tutti da definire, tanto più forti quanto più forti saranno le esigenze di certezza da parte di chi, impresa o pubblica amministrazione, chiederà conferma di quegli attributi per erogare al cittadino i propri servizi digitali.
A conclusione di questo tema vogliamo sottolineare che esiste una tipologia ancora diversa di attributi, già oggi importanti per le imprese che hanno realizzato servizi digitali complessi e costosi per poterli verificare velocemente e in numeri molto elevati. Un esempio è la verifica del credito personale dell’acquirente. Chiunque venda, online o in negozio, un bene o un servizio a rate esegue questa verifica, a pagamento, con sistemi ben collaudati ed oggi del tutto indipendenti dall’ecosistema delle identità digitali. Alcuni dei modelli possibili per i gestori di attributi qualificati “pubblici” potrebbero essere preziosi per integrare questa verifica di attributi “privati” all’interno delle transazioni digitali nelle quali il cittadino si autentica con SPID e con CIE. Lavoriamo per approfondire questo tema nei prossimi mesi con alcuni degli attori interessati, e per convincere il regolatore a tener conto di questa opportunità nel definire il modello.
eID: Identità europee a standard eIDAS
Anche questo tema è importante perché le imprese adottino SPID e CIE: oggi, grazie al regolamento eIDAS, i residenti dell’Unione Europea in possesso di un qualsiasi eID Nazionale, equivalente a SPID e CIE in Italia, possono accedere ai servizi digitali delle pubbliche amministrazioni italiane. Quando potranno accedere anche ai servizi delle imprese italiane, per queste si aprirà con identità certe l’intero mercato unico digitale europeo di 470 milioni di persone.
Su questo tema AgID ha confermato che:
- i sistemi di accesso dall’estero ai servizi SPID oggi esistenti [“gateway FICEP”] sono riservati alle pubbliche amministrazioni, e
- per definire e realizzare l’accesso dall’unione ai servizi delle imprese italiane si attende la nuova versione di eIDAS, che la commissione prevede di completare questa primavera.
Riteniamo che questa nuova versione produrrà i primi effetti concreti nei servizi digitali dei governi, delle pubbliche amministrazioni e delle imprese verso il 2023-2024. Possiamo quindi accantonare almeno per un paio d’anni il tema dell’accesso dei residenti dell’Unione ai servizi digitali delle imprese italiane con le proprie identità digitali certe eID.
DG CONNECT, la Direzione Generale della Commissione Europea per le reti di comunicazione, i contenuti e le tecnologie, conferma che
- già oggi molte delle identità digitali eID previste dallo standard per ciascun paese sono costruite in modo che possano usarle sia i cittadini, sia le imprese
- non potendo imporre agli stati membri l’uso di queste identità per le imprese, l’Unione Europea ha potuto però disporne il pieno riconoscimento per alcuni usi specifici nell’identificazione dei cittadini. Già oggi quindi alcuni tipi di imprese, come le banche per l’onboarding e l’adeguata verifica dei clienti, o le aziende di servizi di intrattenimento per i quali sia richiesta la verifica della maggior età, o le reti sociali per la verifica dell’età minima di chi si iscrive, hanno la possibilità di usare gli eID, e sono in linea di principio incentivate dagli importanti vantaggi che queste identità certe e protette offrono.
- la nuova iniziativa per un’Identità Digitale Europea, che porterà anche alla revisione del Regolamento eIDAS, ha l’ambizione di incentivare ulteriormente l’uso delle identità digitali eID da parte di cittadini ed imprese, dopo che la prima versione del 2014 si era dovuta concentrare sull’accesso online transnazionale tramite identità digitali ai servizi delle pubbliche amministrazioni. In questo ambito infatti la Commissione poté intervenire per favorire e garantire uniformità di accesso di cittadini ed imprese ai servizi digitali delle pubbliche amministrazioni di tutti i paesi membri.
I diversi scenari in corso di valutazione partono in ogni caso dal ruolo fondamentale dei singoli Stati come garanti dei dati di identità’ dei cittadini, come avviene oggi in Italia con SPID e CIE. Un aspetto importante della riflessione in corso è come rendere pienamente accessibile e fruibile l’identità’ digitale da partedi un cittadino così’ che possa, in piena sicurezza, controllare quali informazioni condividere con ciascun gestore di servizi e con quali limitazioni – ad esempio acquistare beni e servizi per i quali occorre la maggior età attestando, appunto, solo la maggior età, senza comunicare il compleanno o l’età desumibili dalla data di nascita completa. In questo quadro, la nuova iniziativa per una Identità’ Digitale Europea potrà favorire lo sviluppo ed utilizzo di soluzioni di Self-Sovereign Identity capaci di offrire a ciascuno di noi in maniera concretamente semplice un buon livello di controllo sulle informazioni condivise con i diversi erogatori di servizi.
Open Data sull’uso di CNS, SPID e CIE
I dati su quanto e come i cittadini usano ciascun servizio digitale delle pubbliche amministrazioni sono uno strumento prezioso per conoscere le esigenze digitali dei cittadini e inventare nuovi servizi che le soddisfino.
Per quanto riguarda SPID, AgID prevede di offrire queste informazioni nell’ambito delle statistiche che i gestori delle identità (IdP) e dei servizi (SP) dovranno fornire ad AgID stessa per la sua attività di monitoraggio e per la pubblicazione.
Le linee guida relative saranno pubblicate presto e prevedono in effetti il dettaglio dei singoli accessi a ciascun servizio pubblico, con l’ora alla quale ciascun accesso è avvenuto. Auspichiamo naturalmente che questi dati, già anonimizzati, vengano resi pubblici a questo massimo livello di dettaglio oltre che sotto forma di statistiche aggregate, in modo da permettere a università e centri di ricerca, imprese, startup di analizzarli liberamente.
Per la CIE, IPZS ha indicato che sta lavorando su come rendere disponibili in modalità open data i dati sull’uso.
Ricordiamo che alcuni aggregatori di servizi pubblici, come Regione Toscana e Regione Lombardia, rendono già in vario modo disponibili i dati sull’uso di CNS, SPID e CIE, almeno per i servizi che questi aggregatori gestiscono e quindi principalmente per i cittadini attivi in quella regione.
Le banche e le identità digitali nazionali
Grazie al sostegno del gruppo di lavoro aperto #ClubTI4SPID, abbiamo potuto raccogliere il prezioso contributo di ABI Lab, e quindi di approfondire il ruolo e gli obiettivi attuali delle banche italiane nello sviluppo delle identità digitali nazionali.
Perché approfondire proprio il ruolo delle banche?
In diversi paesi le banche hanno svolto un ruolo fondamentale per l’adozione degli eID nazionali, adottandoli per i propri processi di onboarding, di adeguata verifica, e per l’autenticazione ai loro servizi digitali.
In alcuni paesi le banche sono diventate Identity Provider – si pensi ad esempio a Svezia, Norvegia e Finlandia, dove la principale eID è gestita direttamente dalle banche, in qualità di Identity Provider, tanto che si chiama BankID!
Persino in Italia il modello iniziale di SPID prevedeva che alcune grandi banche diventassero IdP, iniettando nel sistema le decine di milioni di identità digitali assegnate e gestite con alti standard di sicurezza che sono le nostre credenziali per accedere ai servizi bancari digitali. All’epoca esistevano barriere significative, per esempio l’obbligo che ancora esiste di inserire nel processo di autenticazione una richiesta esplicita ed altamente visibile che l’utente autorizzi l’identity provider a condividere con il service provider alcuni dati personali. Anche per questo le banche scelsero di continuare a gestire le proprie identità digitali in autonomia dall’ecosistema SPID.
Oggi, dall’alto di 18 milioni di profili SPID attivi e 19 milioni di CIE attivate, possiamo considerarla un’occasione perduta per le identità, per le banche e per tutti noi: che maturità avrebbero oggi i servizi digitali pubblici e privati in Italia se avessero potuto contare sull’impulso di decine di milioni di utenti attivi anni prima della pandemia COVID-19, anziché un anno dopo?
Come si è evoluto oggi l’atteggiamento delle banche italiane e di ABI verso gli eID nazionali ed europei?
La discussione con i colleghi di ABI Lab ci ha offerto alcuni aggiornamenti importanti:
- le banche oggi sono fortemente interessate ad adottare SPID (e quindi implicitamente CIE)
- curiosamente, l’interesse si concentra in maniera quasi esclusiva sull’uso di SPID per l’”onboarding”, il primo contatto e identificazione del cliente – almeno per quanto ABI Lab ha potuto condividere in quel contesto.
Superata quella fase, della quale pure comprendiamo bene l’importanza, il cliente e la banca interagiscono tramite credenziali specifiche assegnate e gestite dalla banca.
Immaginiamo che questo avvenga perché l’attenzione delle banche e di ABI stessa si concentra sul confine tra banca e comunità digitale, più che sull’integrazione e interazione quotidiana delle due realtà. Proprio in questi giorni una banca italiana, crediamo per prima, ha comunicato il passo successivo: adottare lei stessa SPID e CIE per autenticare il proprio cliente per almeno alcuni dei suoi servizi digitali. E’ quel che aspettavamo dal nostro primo incontro con IdP e alcune banche nel 2018! - Alcune banche valutano di proporre SPID tra i servizi extra-bancari con i quali arricchire il proprio portafoglio di offerta, come con il credito al consumo, o un’offerta di servizi alla persona.
Ancora una volta, si offre al cliente di usare le proprie credenziali interne alla banca per ottenere un’identità digitale nazionale da usare poi fuori dalla banca, per autenticarsi alle pubbliche amministrazioni o verso imprese che paradossalmente sono concorrenti, effettivi o potenziali, della banca stessa! - La sperimentazione più avanzata citata da ABI Lab è in un contesto internazionale, per permettere a un cittadino di usare un eID tramite l’applicazione della propria banca per acquistare servizi bancari o di altra natura in paesi esteri, e per gestire nell’applicazione della propria banca un portafoglio dei pagamenti effettuati e delle autorizzazioni all’uso dei propri dati personali concesse. Anche in questo caso, ci sembra, la banca aiuterebbe il cliente ad usare un proprio eID per servizi di terzi, anche altre banche, più che per servizi della banca stessa.
- Perché le banche possano adottare sulle identità digitali un ruolo analogo a quello che hanno assunto in Svezia e in altri paesi dell’Unione, occorre che il regolatore compia azioni e emani disposizioni necessarie che in Italia sono mancate.
Questa impostazione sembra peraltro pienamente condivisa tra le banche e i loro fornitori di servizi digitali: anche gli Identity Provider SPID e altri fornitori di servizi fiduciari con SPID e CIE propongono soprattutto servizi di onboarding e di firma, e al proprio interno continuano a proporre ai propri clienti di usare credenziali proprietarie, proprio come le banche.
Questo confronto prezioso conferma quindi che oggi le banche hanno per le eID un forte interesse, ben maggiore di quello che mostravano nel 2017, e però le considerano un’identità per l’esterno, per servizi da scambiare tra operatori indipendenti l’uno dall’altro, anziché un’opportunità per semplificare i processi della banca stessa e il lavoro tra banca e cliente. Considerate le diverse priorità del regolatore italiano, e gli aneddoti anche recenti di primari istituti bancari nazionali che allegano alla pratica di adeguata verifica una scansione della CIE, sembra ragionevole aspettarsi che la situazione cambi con l’evoluzione della nuova versione di eIDAS, e quindi, ancora, tra un paio d’anni.
E oggi? Come facilitare la seconda svolta
Oggi la situazione di SPID e CIE per le imprese è molto più chiara anche solo di pochi mesi fa. Abbiamo un’idea di quando arriverà ciascuna delle cinque cose per le quali vale la pena che le imprese adottino SPID e CIE:
- Gli aggregatori di servizi privati potrebbero essere finalmente realizzabili già quando queste pagine saranno pubblicate
- Su e con firme e open data si può lavorare già oggi, con le imprese e il regolatore, per ottenere risultati a breve.
- Per l’accesso transazionale sappiamo di dover aspettare un paio d’anni (e per l’adozione degli eID da parte delle banche italiane)
- Per i gestori di attributi qualificati sapremo tra pochi mesi quanto aspettare.
Insomma, il tempo dell’attesa muta e incerta è finito, ci sono azioni che le imprese possono avviare adesso per adottare SPID e CIE, e altre che possiamo fare per ingaggiare il regolatore e far evolvere le identità digitali nazionali in modo che siano ancora più utili alle imprese.
Soprattutto: oggi le associazioni di imprese, sempre più interessate alle identità digitali nazionali, reclamano di lavorare con il regolatore per esprimere esigenze fino ad ora secondarie e colmare le lacune di conoscenza reciproca. Due fattori spingono queste associazioni, e noi:
- la diffusione di SPID e CIE tra i cittadini, un mercato potenziale di 20 milioni di persone, in crescita continua per ampiezza e attività
- lo stesso switch off delle credenziali proprietarie da parte delle pubbliche amministrazioni, pur parziale e lento, sconvolge le pratiche e gli equilibri consolidati negli anni di interazione anche digitale tra piccoli gruppi di operatori abituati a collaborare soprattutto tra loro e poco con gli altri, scaricando sul cittadino l’esigenza di conoscere o farsi aiutare a gestire regole diverse per silos digitali diversi (fiscalisti con l’Agenzia delle Entrate, sindacati e associazioni con l’INPS e l’INAIL, per fare due esempi).
Il regolatore sembra almeno disponibile al confronto. Ora, quindi, si può lavorare perché il 2021 sia l’anno della seconda svolta, l’anno nel quale le imprese cominceranno ad adottare in massa SPID e CIE per autenticare gli utenti dei propri servizi digitali. Stiamo definendo come, a partire da un questionario sulle esigenze delle imprese da preparare e distribuire con associazioni di imprese.
Per partecipare a questo lavoro, contattaci sul gruppo LinkedIn di Club TI Milano.
Per conoscere i vantaggi di SPID e CIE per le imprese e seguire le prossime iniziative, segui la pagina LinkedIn di Club TI.