Rispondiamo alla lettera di Alessio Butti, sottosegretario alla Presidenza del Consiglio con delega all’Innovazione tecnologica, pubblicata sul Corriere della Sera in merito all’intenzione del governo di spegnere gradualmente il servizio SPID a favore della carta d’identità elettronica, CIE, come unica forma di autenticazione per cittadini e imprese per accedere ai servizi della Pubblica amministrazione.
Chiudere Spid? Ma la CIE non può ancora sostituirlo, ecco perché
A rischio la sicurezza del sistema di identità digitale
Le affermazioni del sottosegretario non risultano né convincenti nella promessa di semplificare la vita digitale dei cittadini, né rassicuranti dal punto di vista della sicurezza e della tutela dei diritti individuali.
Butti afferma che (per fortuna) l’intenzione non è eliminare l’identità digitale, ma “averne solamente una, nazionale e gestita dallo Stato”.
Riteniamo che avere un unico provider di identità digitale sia più pericoloso del sistema federato di SPID, che conta oggi 11 società fornitrici del servizio ai cittadini, di cui 9 private e 2 pubbliche. Presenterebbe più rischi non solo per quanto riguarda la privacy, ma anche per le possibili minacce di cyber security alla democrazia liberale: ci sarebbe infatti un unico punto di attacco per manipolare l’identità digitale di un cittadino.
Questo non è uno scrupolo teorico: in Estonia, paese UE con livello particolarmente elevato di digitalizzazione dei servizi per i cittadini, nel 2017 sono state sospese le carte d’identità elettroniche rilasciate nei tre anni precedenti. Nelle parole di un responsabile governativo, il motivo è stato la scoperta di un “difetto di sicurezza che aveva risvegliato l’attenzione delle reti cybercriminali internazionali”. Raffronto: l’Estonia ha 1.325.000 abitanti, circa quanto l’Abruzzo, l’Italia ha un circolante di oltre 30 milioni di CIE.
Nel caso di un problema a un provider SPID, gli altri continuerebbero a funzionare. Senza contare che l’indipendenza di SPID da un supporto fisico lo rende meno vulnerabile.
Rispetto all’attuale sistema federato di identità composto da fornitori di servizi di autenticazione pubblici e privati, la tenuta del sistema centralizzato è quindi inferiore. La resilienza del modello attuale, in virtù dell’assenza di un punto unico di governo della rete di autenticazione, consente al sistema nel suo complesso di continuare a funzionare anche quando uno o più dei suoi elementi è vittima di un attacco.
Sempre in tema di sicurezza e tutela del cittadino, il sistema governativo di autenticazione tramite CIE ha oggi il medesimo livello di garanzie di sorveglianza di SPID? Che ne sarebbe del ruolo di AgiD?
Cie e Spid: i numeri dell’accesso parlano chiaro sulla facilità d’uso
“La CIE è un’identità digitale equivalente e sotto diversi profili migliore rispetto allo SPID”, prosegue la lettera.
Se è vero che il numero di detentori di SPID e della CIE si equivalgono all’incirca, sull’usabilità di quest’ultima parlano chiaro i dati di accesso. A novembre 2022 sono stati registrati 950 milioni di accessi con SPID, 19 milioni con CIE.
Le cause sono diverse. Resta il dato di fatto che dei trentatré milioni di italiani in possesso di una carta d’identità elettronica, la maggioranza usa comunque SPID. È facile ritenere che il motivo principale sia la facilità d’uso: SPID è meno macchinoso dell’autenticazione tramite CIE, che richiede un lettore di smartcard collegato al pc oppure uno smartphone con lettore NFC.
Quindi dopo l’infelice battuta strumentale sugli anziani tagliati fuori da SPID, dobbiamo supporre che lo Stato offra a tutti un bonus per l’acquisto di uno smartphone recente dotato di NFC? E la formazione necessaria per utilizzarlo?
Una nuova identità digitale per tutti gli italiani nel 2023: i punti chiave
Cie, cambiare la percezione dei cittadini non è facile
Scendendo a questioni concrete, oggi molti possessori di CIE neppure ricordano il PIN (e il PUK) loro assegnato quando il documento d’identità viene rilasciato, senza il quale la CIE non funziona come sistema di autenticazione. Perché la CIE viene percepita dai cittadini come una Carta d’Identità a forma di carta di credito anziché cartacea, non come un sistema di autenticazione.
Anche la Carta nazionale dei servizi è un sistema di autenticazione, ma viene considerata la tessera sanitaria per il medico e la farmacia, oppure il sostituto del vecchio tesserino del codice fiscale.
Reindirizzare questa percezione su milioni di cittadini è compito tutt’altro che facile.
La questione economica
Altra argomentazione avanzata riguarda la questione economica: “lo SPID ha un costo per lo Stato”. Affermazione smentita dalla stessa legge che ha introdotto l’identità digitale seguendo un modello freemium in base al quale a pagare sono le aziende con l’estensione dell’obbligo di adozione dell’autenticazione mediante SPID da parte dei gestori privati di servizi pubblici, quali cliniche e ospedali privati. A loro carico è previsto un costo di gestione di circa 40centesimi/anno per utente.
Infine, il sottosegretario, riconoscendo i limiti amministrativi e tecnici alla diffusione della CIE, promette “di lavorare per assicurare il suo rilascio da remoto, a costo zero e in 24 ore”. Ci permettiamo di dubitarne fortemente. Se sui tempi di rilascio che variano da Comune a Comune si può sperare in misure di accelerazione, per ottenere una CIE i cittadini devono pagare 16,79 euro e recarsi fisicamente presso un ufficio comunale perché la CIE richiede una firma autografa e, in base agli accordi con l’Unione Europea, la rilevazione delle impronte digitali. Come si pensa di farlo, per posta?
Conclusioni
Come Copernicani, riteniamo che CIE sia sicuramente un valido strumento di autenticazione digitale, ma da utilizzare in parallelo con SPID, che va mantenuto e non sostituito. Riteniamo che l’annuncio del sottosegretario non tenga conto di fattori rilevanti che oggi sono a favore di SPID. Ribadiamo infine l’importanza di un modello federato dei servizi digitali, per definizione più resiliente e rispondente alle prerogative di uno Stato di diritto.
