Il verbo che circola da qualche tempo attorno allo SPID è “spegnere”. Suona male, potrebbe essere un errore di comunicazione per una tematica di convergenza tecnologica, che deve anche saper superare i confini nazionali. Nessun servizio per i cittadini viene “spento” ma si armonizzano le tecnologie per un miglior servizio in ambito europeo. Prima di entrare nel merito dei due modelli di identificazione citati, è utile dare un rapido sguardo alla più ampia tematica del riconoscimento dell’identità per ben focalizzare il contesto di applicazione.
Il riconoscimento di un soggetto del mondo reale all’interno del mondo digitale
Nel nostro vivere quotidiano si deve continuamente affrontare, in modo consapevole o meno, il tema del riconoscimento di un soggetto del mondo reale all’interno del mondo digitale[1] (ad esempio, per richiedere un servizio).
La tipica sequenza di accesso ad un servizio online, nasce nel mondo reale (1) e si concretizza con l’avvio della richiesta di accesso al servizio (2) attuata da un cittadino (3), in possesso della sua identità fisica, che si deve autenticare su un sito web, tramite le sue credenziali di identità (4), per poter accedere al servizio (5) erogato nel mondo digitale (6). Le soluzioni di riconoscimento che si adottano nel mondo digitale sono basate su protocolli di identità federata. I vari modelli funzionali prevedono un’interazione tra l’utente (Cittadino), il fornitore di servizi (Service Provider – SP) ed il gestore dell’identità (Identity Provider – IdP). In pratica, sia l’utente che il fornitore di servizi, ripongono la propria fiducia sul gestore di identità, e sarà solo quest’ultimo a verificare l’identità dell’utente e garantire al fornitore la validità delle credenziali.
Il vantaggio pratico è evidente. L’utente non deve farsi emettere delle nuove credenziali di autenticazione da ogni fornitore di servizi e quest’ultimo non deve dotarsi di infrastrutture di gestione dell’autenticazione ma solo di più semplici metodi di autorizzazione. Il tutto significa, maggior controllo dei dati personali per l’utente, semplicità di gestione e costi inferiori per il fornitore di servizi. Vediamo ora le caratteristiche dei due sistemi di identificazione attualmente disponibili ai cittadini per l’accesso alla Pubblica Amministrazione, e non solo, partendo dalle informazioni fornite dal Dipartimento per la Trasformazione Digitale.
Il Sistema Pubblico di Identità Digitale
La soluzione alla crescente necessità di credenziali di accesso online è oramai da alcuni anni associata all’acronimo SPID. Lo SPID è una credenziale unica di accesso, con identità verificata, integrabile da siti pubblici e privati. Il titolare è l’Agenzia per l’Italia Digitale – AgID. L’identità federata è attualmente basata sullo standard di autenticazione OpenId Connect[2][3] (OIDC), gestito da un IdP privato scelto dal cittadino fra quelli disponibili nella lista di AgID. Questa soluzione risponde bene all’evoluzione tecnologica, è aperta alla collaborazione tra tutti i soggetti, pubblici e privati, con facilità di integrazione in sistemi eterogenei, sicura, interoperabile e scalabile, e con la possibilità per l’utente di possedere più identità digitali.
Nella prospettiva dell’utente, la fase più onerosa sta nell’identificarsi presso un IdP, dimostrando la propria identità fisica e ricevendo le credenziali per l’accesso online. L’utilizzo dell’identità digitale (uno username associato ad uno specifico IdP), con tre livelli di sicurezza possibili, è molto pratico ed è basato su un’app che svolge in automatico le fasi di autenticazione dialogando con il service provider e con l’identity provider. Per l’utente risulteranno totalmente trasparenti tutti gli aspetti tecnologici, in carico al provider, per adeguarsi a regolamenti o per irrobustire la propria infrastruttura. In pratica è come fare una telefonata, non ci interessa la tecnologia usata, analogica o digitale o quanto viene compresso il segnale, ma solo che funzioni bene e l’utilizzo non crei alcuna difficoltà.
La Carta d’Identità Elettronica
Al documento di identità cartaceo, nel tempo, sono state aggiunte delle nuove funzionalità fino ad arrivare all’attuale Carta d’Identità Elettronica (CIE) versione 3.0, una smart card con tecnologia NFC. Il titolare è il Ministero dell’Interno. L’identità federata è gestito dallo standard di autenticazione SAML2[4] tramite un IdP unico, in carico al Ministero dell’Interno. Questo standard rappresenta una soluzione antecedente a OIDC, è più complesso da gestire, con necessità di un client (CieID) ma risulta più sicura la gestione dei dati personali, sia per l’affidabilità dello standard che per la gestione diretta di una Autorità Pubblica.
Nella prospettiva dell’utente, la sicurezza di gestione del dato personale è un vantaggio ma la necessità di usare la carta fisica potrebbe essere percepita come una disturbo nelle transazioni online. In effetti, in un mondo digitale sempre connesso, la necessità di una carta che memorizza localmente i dati di certificazione d’identità, ma anche dati biometrici per quanto protetti da uno strato crittografico, non è facile da comprendere, anche se è un requisito europeo. Tecnologicamente, valide alternative alla smartcard sono le SIM, le eSIM oppure i token associati all’hardware dei dispositivi personali, mentre dati personali aggiuntivi, come le impronte digitali, potrebbero rimanere sui server dell’IdP. La lettura dei token salvati sulla carta, avviene con uso di idoneo lettore contactless o di dispositivi predisposti alla tecnologia NFC (Near–Field Communication).
Il Regolamento UE n. 910/2014 – eIDAS
Questi metodi di identificazione hanno un punto in comune nel Regolamento europeo eIDAS (electronic IDentification Authentication and Signature) – Regolamento UE n. 910/2014 sull’identità digitale – con l’obiettivo di fornire una base normativa a livello comunitario per i servizi fiduciari e i mezzi di identificazione elettronica negli stati membri. Siamo sicuramente nell’ambito tecnologico coperto da SPID. Allo stesso tempo, la carta di identità fisica è un documento legale di riconoscimento (SPID non lo è) che si è evoluto verso la CIE per affrontare le sfide digitali. È abbastanza chiaro che non è in gioco nessun spegnimento di un servizio al cittadino ma solo un percorso verso una soluzione migliorativa, omogenea e condivisa “Allo scopo di garantire il buon funzionamento del mercato interno, perseguendo al contempo un adeguato livello di sicurezza dei mezzi di identificazione elettronica e dei servizi fiduciari” (art.1, Reg. UE eIDAS).
Non dissimile è il senso del Regolamento UE n. 1157/2019 sul rafforzamento della sicurezza delle carte d’identità dei cittadini dell’Unione. Sono richieste maggiori garanzie di efficacia ma sempre nel totale rispetto del diritto di libera circolazione delle persone, ossia è chiesta l’omogeneizzazione delle soluzioni su base europea perché quello è l’ecosistema digitale di riferimento, non il singolo Paese. L’art. 6 è molto chiaro nello stabilire le attese di interoperabilità della soluzione tecnica. “Gli Stati membri si scambiano le informazioni necessarie per autenticare il supporto di memorizzazione [la carta] e per accedere ai dati biometrici […] e verificarli”. Per agevolare l’uso, lo stesso articolo, dichiara anche che “I dati conservati sono accessibili senza contatto”. I regolamenti, quando si riferiscono alla tecnologia, non sono mai dei punti di arrivo ma dei passaggi necessari per allineare le leggi all’evoluzione tecnologica, migliorando sicurezza ed usabilità per il cittadino.
Il Regolamento eIDAS vuole instaurare fiducia nelle transazioni online ed in proposito il considerando 2 è molto chiaro. Per far ciò “mira a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea”. E’ interessante il riferimento al miglioramento dell’efficacia dei servizi digitali tra cittadini, imprese e autorità pubbliche nel mercato interno. Quindi, non solo interazione cittadino e Pubblica Amministrazione ma anche coinvolgimento delle imprese. Su questo aspetto, con l’adesione di vari IdP privati al sistema di gestione dell’identità digitale, la soluzione SPID è certamente pertinente al Regolamento eIDAS.
L’identità digitale dalla prospettiva del cittadino
Entrambe i sistemi di identificazione hanno aspetti interessanti e limiti da superare. Per questo una mera eliminazione non rappresenta una soluzione razionale, mentre l’opportunità di razionalizzare, salvando quanto di meglio è stato realizzato finora, è il passo atteso. La scelta dell’evoluzione della CIE, come unico sistema di identificazione legale, è coerente con la titolarità di gestione dei nostri dati personali. La nostra identità reale è una ed è la prevalente, quelle digitali sono derivate per necessità tecnologiche e devono essere trattate in maniera opportuna, valorizzando le soluzioni efficaci quando già esistono. Per quanto riguarda l’infrastruttura tecnologica, non si dovrebbe perdere in alcun modo l’esperienza SPID. Il singolo IdP come custode dei nostri dati personali è la scelta migliore sul piano legale ma ha troppi limiti (e costi) come scelta operativa per supportare le transazioni del mercato interno.
Un ecosistema con molti IdP interoperabili tra loro ha un’infrastruttura più resiliente, flessibile e con costi distribuiti rispetto ad un modello monolitico. Se pensiamo al modello SPID, è sufficiente ricorrere ad una divisione di ruoli tra gli IdP, gli IdP privati gestiscono tutte le transazioni di mercato mentre l’IdP associato alla CIE, che potremmo anche chiamare custode dell’identità[5][6][7], sarà l’unico ad avere tutti i nostri dati originali e certificherà le nostre registrazioni presso gli altri IdP. In questo modo, il cittadino potrebbe avvantaggiarsi di più identità digitali sicure e limitate ai soli dati che vuol conferire tramite il custode. Con un opportuno protocollo di comunicazione tra gli IdP, può svolgersi tutto il flusso di identificazione, in modo assolutamente trasparente per il cittadino, indipendentemente dalla scelte tecnologiche adottate.
Conclusioni
Non uno spegnimento ma una razionalizzazione verso nuove opportunità. E’ positiva l’unica titolarità nella gestione dell’identità, ma qualche ulteriore passo deve essere fatto in ambito tecnologico per soddisfare appieno le esigenze evolutive dei servizi digitali nel mercato interno. La scelta del singolo IdP non deve trasformarsi in una criticità operativa, ma un’opportunità di governare il processo di gestione dell’identità federata, nel pieno rispetto del Regolamento eIDAS con il coinvolgimento anche delle imprese.
La necessaria efficienza operativa nell’erogazione dei servizi deve preservare i vantaggi acquisiti senza introdurre delle penalizzazioni per gli utenti. Quando due servizi similari vengono messi assieme sotto ad un’unica governance, l’utente si aspetta di ricevere il meglio di entrambi, e magari anche qualche ulteriore novità. Nel caso dell’identità federata, la tecnologia offre degli standard di riferimento molto validi ma vanno valutati nel contesto finale per determinare la scelta migliore. La resilienza della soluzione, la facilità d’uso per il cittadino, la sicurezza e l’adeguatezza per i servizi digitali pubblici e privati sono gli aspetti primari da considerare nel processo di cambiamento del servizio di identificazione.
- Il riconoscimento dell’identità digitale, Cybersecurity360 ↑
- Specifications | OpenID ↑
- OpenID Connect e OAuth 2.0, Cybersecurity360 ↑
- FrontPage – SAML Wiki (oasis-open.org) ↑
- A Symmetrical Framework for the Exchange of Identity Credentials Based on the Trust Paradigm, Part 1: Identity Trust Abstract Model – ISACA Journal, volume 2, 2022 ↑
- A Symmetrical Framework for the Exchange of Identity Credentials Based on the Trust Paradigm, Part 2: Identity Trust Service Implementation – ISACA Journal, volume 2, 2022 ↑
- How to Digitally Verify Human Identity: The Case of Voting – ISACA Journal, volume 1, 2023 ↑
