normativa

CIE, verso nuovi modelli per l’identità digitale: cosa cambia con il decreto 8 settembre

La pubblicazione in Gazzetta ufficiale pochi giorni fa del decreto 8 settembre 2022 ecante “Modalità di impiego della carta di identità elettronica” rappresenta una svolta nell’ambito dell’identità digitale: vediamo cosa cambia, cosa dicono le regole e qual è la relazione tra la CIE e SPID

Pubblicato il 10 Ott 2022

Giovanni Manca

consulente, Anorc

CIE

La pubblicazione in Gazzetta Ufficiale (Serie Generale n. 233 del 5 ottobre 2002) del Decreto 8 settembre 2022 recante “Modalità di impiego della carta di identità elettronica” rappresenta una importante novità nell’ambito dell’identità digitale nazionale e comunitaria. Vediamo cosa cambia per la CIE con i 21 articoli di questo decreto, alla luce del nuovo scenario che si configura rispetto all’altro sistema nazionale che è, come noto, il sistema SPID.

Pagamento contributi scolastici: come pagare le tasse in rete o con bollettino

CIE, cosa cambia

La prima considerazione che si può fare è sulla complessità del quadro normativo di riferimento. Le premesse del Decreto hanno bisogno di oltre una pagina di Gazzetta per essere pubblicate. D’altro canto la loro estensione rappresenta un indispensabile strumento per inquadrare tutte le numerose norme coinvolte sul tema. Come da tradizione normativa, il Decreto presenta nell’articolo 1 le definizioni dei termini utilizzati al proprio interno. Si riscontra un utilizzo delle definizioni ben coordinato con gli scenari di riferimento. Come elemento di curiosità, si nota che nella definizione di firma elettronica avanzata alla lettera k), ci si riferisce anche “al decreto del Presidente del Consiglio dei Ministri sulle firme”. Il citato decreto è senza dubbio il DPCM 22 febbraio 2013, come conferma anche la premessa che indica l’articolo 61, comma 2 del medesimo decreto.

L’articolo 2 stabilisce l’oggetto del decreto. Questo è relativo alle modalità di impiego e di gestione dell’identità digitale rilasciata al cittadino e che utilizza la CIE come strumento di accesso erogati in rete dalle PPAA e da soggetti privati. Questo scenario integra un regime di identificazione elettronica conforme al regolamento eIDAS (nr. 910/2014). Rispetto al testo inglese del regolamento eIDAS sarebbe corretto parlare di schema di identificazione, ma la traduzione errata in italiano impone il termine improprio di regime. Il decreto definisce anche una serie di tipologie di dati con adeguata attenzione ai dati personali.

L’identità digitale CIEId

L’articolo 3 introduce l’identità digitale basata su CIE e la denomina CIEId. L’identità digitale CIEId è ovviamente conforme alle regole del CAD e il cittadino prova questa identità utilizzando la CIE insieme ad un serie di elementi associati che sono associati alla tessera come il PIN, il PUK e il NIS (Numero univoco casuale associato alla CIE e memorizzato nel CHIP).

L’articolo 4 descrive le credenziali dell’identità digitale CIE. La corrispondenza tra i tre livelli introdotti (1,2 e 3) viene associata ai livelli basso, significativo e elevato del regolamento eIDAS. Questo è diverso rispetto ai tre livelli di SPID definiti del DPCM 24 ottobre 2014 per il banale motivo che il regolamento eIDAS era contemporaneo a questo decreto e quindi non coordinabile. Questo aspetto formale è una classica riproposizione dell’atavico problema di coordinamento delle norme che ha impatto, fisiologicamente, soprattutto sulle regole tecniche.

Il trattamento dei dati

Nel comma 5 di questo articolo si cita l’obbligo di effettuare da parte del Ministero dell’Interno una valutazione d’impatto ai sensi dell’articolo 35 del regolamento europeo 2016/679 conforme all’articolo 35 del medesimo regolamento. Tale valutazione viene sottoposta al parere preventivo del Garante per la protezione dei dati personali. L’articolo 5 stabilisce la presenza di aggregatori e fornitori di servizi erogati tramite CIE. Il comma 4 di questo articolo evidenzia l’analogia con i soggetti analoghi nel contesto SPID.

L’articolo 6 descrive le modalità di acquisizione e gestione dei dati personali del cittadino. La descrizione è dettagliata e doveroso il coordinamento dei dati con ANPR (Anagrafe Nazionale della Popolazione Residente) e conseguentemente con il domicilio digitale del cittadino. Può essere utilizzato anche altro tipo di contatto come il numero di telefonia mobile o un indirizzo di posta elettronica.

Il comma 4 richiama i principi base di privacy by design e minimizzazione dei trattamenti che devono essere applicati da fornitori di servizi e aggregatori. Un richiamo importante anche se ad abundantiam.

Il ruolo del Ministero dell’Interno

L’articolo 7 descrive le funzioni del Ministero dell’Interno e in particolare della Direzione centrale per i servizi demografici. Il Ministero si avvale dell’IPZS (il Poligrafico). L’articolo 8 stabilisce le funzioni dei comuni e degli uffici consolari. E’ molto importante informare i cittadini sulle funzioni di autenticazione, la loro attivazione e il loro utilizzo.

Tutte le regole

Ulteriori indicazioni sono:

  • L’articolo 9 stabilisce le funzioni dell’IPZS e chiarisce perché l’Istituto è coinvolto nel progetto.
  • L’articolo 10 introduce il CIEId Server che svolge un ruolo analogo e quello del gestore dell’identità digitale nel sistema SPID. L’articolo descrive i punti principali di funzionamento del CIEId Server.
  • L’articolo 11 stabilisce le regole per gli accessi tramite CIEId per i minorenni. Viene consentito il controllo genitoriale ai soggetti tutelati.
  • L’articolo 12 stabilisce le funzioni di coordinamento e allineamento con ANPR. L’aggiornamento dell’anagrafe è fondamentale per il corretto funzionamento del sistema.
  • L’articolo 13 introduce il registro degli accessi che consente ai cittadini di avere evidenza dell’utilizzo della propria CIEId al fine della tutela rispetto all’utilizzo illecito da parte di terzi della propria identità digitale.
  • Questo registro è importante ma anche critico rispetto al tema della protezione dei dati personali. Le regole stabilite sono estremamente rigorose rispetto al regolamento 2016/679 ma la criticità operativa e il conseguente rischio rimane. La presenza del registro è peraltro indispensabile.
  • L’articolo 14 introduce e stabilisce le funzioni del portale del cittadino. Le funzioni vengono elencate in dettaglio. Il Ministero individua tramite valutazione d’impatto “privacy” il livello minimo necessario per le credenziali.
  • L’articolo 15 descrive come sia possibile il recupero del PUK della CIE. Questa funzione è indispensabile per il cittadino che deve, comunque essere adeguatamente informato su possibili azioni di attacchi informatici di varia natura (phishing, SIM swapping, ecc.) in caso di perdita di disponibilità (anche temporanea) della CIE.
  • L’articolo 16 ufficializza nella norma il possibile utilizzo della CIE come firma elettronica avanzata (FEA). Sono stabilite regole anche per la generazione e la verifica della FEA. Si auspica che gli strumenti di verifica della firma digitale attivino la funzione di verifica della FEA apposta tramite CIE.
  • L’articolo 17 descrive alcuni servizi che possono utilizzare il NIS come elemento di sicurezza “ambientale”. Per esempio tramite il NIS e la lettura del chip della CIE è possibile avere evidenza e conferma della autenticità e originalità della CIE.
  • L’articolo 18 stabilisce le regole per il monitoraggio del Ministero dell’Interno su IPZS e sulla collaborazione con il Garante per la protezione dei dati personali. Questa circostanza è positiva e poco esplicitata in altre normative.
  • L’articolo 19 stabilisce le regole sulla donazione di organi e tessuti alla luce delle nuove funzionalità tramite CIEId anche nell’ottica della trasmissione dei dati al SIT (Sistema Informativo dei Trapianti).
  • L’articolo 20 è dedicato alle regole sul trattamento dei dati. L’esplicita presenza di regole sul tema è positiva e dovrebbe essere estesa a tutta la normativa in quanto rappresenta un definito ed esplicito impegno del progetto in esame nei confronti dell’importanza di questo argomento.
  • L’articolo 21 è un classico nelle norme “Le attività del presente decreto sono realizzate con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente, senza nuovi o maggiori oneri a carico della finanza pubblica”. Il decreto in esame è in vigore dal 5 ottobre 2022.

Per concludere l’analisi del decreto 8 settembre 2022 recante le “Modalità di impiego della carta di identità elettronica” possiamo dire che con esso si consolida il parallelo tra SPID e CIE. Nell’utilizzo pratico c’è da aspettarsi anche modalità di accesso ai servizi analoghe, per esempio con l’utilizzo del QR Code per semplificare l’accesso ai servizi. La situazione è anche la naturale conseguenza del fatto che due i sistemi sono notificati in ambito comunitario come regime di identificazione conforme al regolamento eIDAS, anche se per la CIE vengono introdotti i livelli 1 e 2. Sarebbe utile un aggiornamento del DPCM 24 ottobre 2014 per il coordinamento con eIDAS.

Conclusione

Con il nuovo modello l’identità si associa a CIEId che concentra le funzione digitali della CIE, per l’accesso al livello 2 basta lo smartphone che sblocca la transazione con la sicurezza dell’impronta, una password e l’OTP della transazione. Nel decreto è molto positivo l’approccio esplicito e di ampia applicazione (anche come forte volontà di applicazione) delle norme europee (e nazionali) sulla protezione dei dati personali. Lo scenario che si apre a livello nazionale riguarda come, quando e quanto il mercato dei servizi privati utilizzerà CIEId. Certamente il modello di business dello SPID non beneficia della gratuità del controllo di accesso tramite CIEId tra l’”Identity Provider CIE” e l’utente. Stesso discorso per le credenziali di livello 3 dello SPID. La gratuità del rilascio delle credenziali SPID ai pubblici dipendenti da parte del gestore dell’identità digitale Lepida S.p.A è un altro tassello che non favorisce la “SPIDnomics”.

Un ulteriore modifica che arriverà nel breve periodo sarà quella dell’EUDI Wallet (European Union Digital Identity) previsto nel nuovo regolamento eIDAS che dovrebbe consolidarsi nel terzo trimestre del 2023.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Prossimo

Indy Autonomous Challenge: le gare futuristiche a guida autonoma