Il 2024 dovrebbe essere un anno interessante per la cittadinanza digitale, un anno di confronto tra diversi sistemi ed evoluzione dei sistemi di identità e di firma sin qui utilizzati. Auspicabile inoltre che sia un anno utile per risolvere e chiarire le troppe mancanze ed incoerenze che presentano i vari sistemi oggi disponibili: tra gli addetti ai lavori è diffusa la sensazione che si preferisca lanciare un nuovo sistema, piuttosto che far funzionare bene quelli che ci sono.
Le firme elettroniche esistono dal 1999, SPID esiste dal 2013 e, ancora, mancano pezzi di regolamentazione importanti e quelli che ci sono, in certi casi, sono obsoleti e non aggiornati: inutile avviare nuovi sistemi se quelli ad oggi utilizzati presentano lacune, si rischia di creare una “burocrazia del digitale” che rende al cittadino la vita più complicata invece che più semplice.
Il nodo della fiducia degli utenti
Non si può pensare infatti che il cittadino si doti di un “coltellino svizzero” digitale per utilizzare, in base al servizio fruito SPID o CIE o i nuovi wallet o le firme o l’app IO. Chi ha faticato per apprendere l’utilizzo di un sistema di identità digitale o di firma, ed ha iniziato ad usarlo potrebbe perdere la fiducia nell’utilizzo di cittadinanza digitale se costretto a continui cambi di sistema e, soprattutto, se i vari sistemi disponibili non sono integrati tra di loro.
La necessità di tutelare il mercato
Al contempo, la recente tendenza a “statalizzare” gli strumenti di cittadinanza digitale deve essere contemperata con la tutela del mercato: le imprese italiane sono molto competitive nel settore delle firme ed identità e, nella prospettiva dell’introduzione di strumenti di cittadinanza digitale più complessi, non si potrà certamente prescindere dal loro apporto. Preoccupa in questo senso l’idea che i wallet di identità digitale siano gratuiti, incorporando anche funzioni di firma: per il wallet UE quale sarà il provider che avrà le risorse per offrire gratuitamente un tale servizio?
Se il servizio sarà gratuito probabilmente lo potranno offrire entità multinazionali (che si sono già dette interessate) nella prospettiva di incorporare i servizi di wallet nei propri sistemi operativi mobili, in maniera che siano ben confinati all’interno degli account e wallet esistenti e richiedano, per essere utilizzati, di avere un account con il provider che offre il servizio e ricordiamo che – quando l’Ungheria provò a statalizzare il servizio di pagamenti mobili per parcheggi e trasporti, intervenne duramente la Corte di Giustizia UE per affermare che l’operazione doveva essere sottoposta alle regole degli appalti pubblici: il Governo non poteva istituire per legge un monopolio sui servizi di pagamento.
Gli obiettivi del 2024
Il 2024 dovrà dunque essere – ad avviso di chi scrive – un anno di scelte chiare: si dovrà definire, senza tentennamenti, quale sia la strategia nazionale per arrivare al wallet di identità, senza per ciò penalizzare il mercato nazionale dei servizi legati ad identità e firma e, al contempo, cercando di rendere i servizi esistenti capaci di esprimere il loro massimo potenziale: alcuni soffrono di regole obsolete e mai aggiornate, altri hanno problemi a causa della mancanza di sistemi di verifica dell’identità collegati ai database governativi, altri ancora attendono da anni il completamento del quadro regolamentare, specie per poter essere efficacemente usati dai privati.
La priorità: far chiarezza sull’identità digitale nazionale
Dovrebbe far parte dei buoni propositi per il 2024 il prendere decisioni chiare su quale debba essere il sistema di identità nazionale. Sono stati recentemente pubblicati dati che testimonierebbero una forte crescita di CIE, ma questi vanno letti assieme ai dati di SPID (che sembrano venire diffusi con sempre maggiore parsimonia dalle fonti ufficiali): nei giorni scorsi il Dipartimento Trasformazione Digitale, il Ministero dell’Interno e l’IPZS hanno comunicato che sono state ad oggi rilasciate 41 milioni di CIE e che si è registrato l’aumento del 76% delle installazioni dell’app CIEId che hanno raggiunto quota 4,6 milioni (installazione però non significa necessariamente utilizzo e sarebbe interessante capire quante sono le app CIEId che hanno effettivamente utilizzato il servizio almeno una volta).
Gli accessi con CIE hanno infatti raggiunto i 35 milioni con aumento del 92% rispetto all’anno precedente. C’è sicuramente da rallegrarsi ed essere contenti dell’aumento dell’uso della CIE ma, se guardiamo i dati SPID e collochiamo i dati appena citati nel contesto generale, si comprende come siano ancora una goccia nel mare: nell’articolo di fine 2022 su queste colonne raccontavo come nell’anno si fossero registrati circa 950.000.000 di accessi con SPID contro circa 20 milioni di accessi CIE. Il dato sugli accessi SPID non è quest’anno stato reso disponibile ma, essendo gli accessi CIE aumentati a 35 milioni e non soffrendo SPID di particolari abbandoni da parte degli utenti, non c’è motivo per non pensare che ci sia stato corrispondente aumento degli accessi SPID che potrebbero agevolmente aver superato il miliardo: presumibilmente con CIE viene effettuato circa un accesso ogni 40-50 effettuati con SPID e nemmeno può consolare il dato sul numero complessivo delle CIE diffuse perché è evidente che CIE è ottenuta da chiunque abbia bisogno di una carta di identità e solo 1 su 10, a quanto pare, ne attiva le funzioni di identità elettronica. Mentre con SPID si hanno 36.724.000 circa di identità elettroniche attive. Ne deriva che il sistema CIE risulta probabilmente ancora troppo complicato per l’utente medio mentre SPID, che conta, secondo i dati dell’Osservatorio del Politecnico di Milano, circa 25 accessi utente/anno, sembra al momento limitato principalmente dal fatto che i servizi privati – a causa del mancato avvio di molti servizi ancillari quali i gestori di attributi e dei continui annunci che il sistema verrà spento, faticano ad affermarsi pienamente.
Peraltro, colpisce che la notifica alla Commissione UE dell’identità digitale CIE menzioni soltanto il livello di garanzia 3: CIE è dunque una identità valida solo a livello nazionale per i livelli 2 ed 1, al contrario di SPID, che è notificata su tutti e 3 i livelli come identità utilizzabile in ambito europeo. Per utilizzare l’accesso transfrontaliero di CIE sarebbe necessario sempre autenticarsi al livello 3, con uso della carta fisica.
L’IT wallet
C’è dunque ancora molto lavoro da fare per rendere CIE una identità digitale ampiamente utilizzata tra la popolazione.
In questo senso il 2024 segnerà (presumibilmente) l’avvio del c.d. IT Wallet, un portafoglio di identità valido solo a livello nazionale e che anticipa caratteristiche del futuro EU Wallet del 2026. La norma che lo disciplina, che era stata annunciata per l’agosto 2023, ancora non arriva. Per quanto è dato sapere dovrebbe essere incorporato d’ufficio nella app IO e dunque accessibile, in primo rilascio, sia con SPID che con CIE ma, successivamente, accessibile solo con la CIE o, comunque, accessibile con la CIE solo per i servizi di livello 3.
Questa limitazione appare difficile da giustificare dal punto di vista regolamentare: il Codice dell’Amministrazione Digitale prevede che tutti i servizi pubblici online siano accessibili sia con SPID che con CIE e l’IT wallet è certamente un servizio pubblico e, inoltre, il Regolamento EIDAS prevede che con le identità digitali nazionali notificate, siano accessibili tutti i servizi pubblici online idonei al corrispondente livello di garanzia: ma, poiché sono disponibili anche SPID di livello 3, non sarebbe ragionevole escludere del tutto SPID e, in questo modo, si costringerebbe, di fatto, chi vuole usare il wallet ad avere una carta di identità, cosa che non è obbligatoria in quanto essa può essere sostituita da altri documenti come patente e passaporto.
Il servizio, nelle intenzioni governative, dovrebbe inoltre incorporare una firma elettronica qualificata utilizzabile solo nei rapporti con la pubblica amministrazione ma, anche qui, sarebbe necessaria chiarezza: si tratterà di una firma rilasciata dal Governo? si potrà abbinare al wallet una FEQ attivata presso un provider di firma (e, in questo caso, perché la limitazione)?
Le lacune da colmare
Il nuovo IT wallet avrà l’arduo compito di colmare le lacune che tuttora si ritrovano nei vari servizi e di cui facciamo alcuni esempi.
Vi sono infatti lacune nell’accesso tramite identità elettronica da parte di persone giuridiche. Esiste – è vero – uno SPID per le imprese ma non vi è alcun omologo lato CIE e, comunque, non vi è sistema per abbinare con precisione l’uso dell’identità elettronica ai poteri di rappresentanza effettivamente posseduti: se si ha l’identità d’impresa si è considerati rappresentanti dell’impresa o dell’ente a qualsiasi titolo mentre un sistema di identità di persone giuridiche dovrebbe consentire di essere identificati solo laddove si possieda effetivamente la rappresentanza: ad esempio nei casi dove la rappresentanza sia ripartita tra amministratore delegato e legale rappresentante, l’identità dovrebbe consentire di accedere solo ai servizi che rientrano nell’effettivo ambito di competenza del soggetto identificato, altrimenti il suo uso rischia di generare ambigiuità e imprecisioni.
Anche il domicilio digitale soffre di incertezze e applicazione a macchia di leopardo: è stato iscritto d’ufficio per società e professionisti, mentre l’adozione per i normali cittadini e per gli enti privati avviene a rilento: ad oggi meno di 3.000.000 di cittadini hanno iscritto un domicilio digitale e non più di 400 enti. Sarebbe necessario dare un maggiore vantaggio al cittadino che iscrive domicilio digitale: al momento può solamente ripetere le spese di notifica, con una apposita istanza; ad esempio si potrebbe prevedere uno sconto su sanzioni e cartelle in caso il destinatario avesse domicilio digitale. Ha creato inoltre problemi una pronuncia del Garante Privacy che ha vietato la notifica di multe automobilistiche alla PEC-domicilio digitale per motivi di privacy. Ci si domanda, inoltre, se attivare l’IT wallet comporterà la attivazione d’ufficio del domicilio digitale sul wallet stesso (è pressoché certo perché anche l’app IO costituisce domicilio digitale ed essa è necessaria per usare il wallet).
L’evoluzione dei servizi di firma
Non bisogna però commettere l’errore di dimenticare i servizi che non siano accessibile tramite l’IT wallet, ad esempio le firme avanzate e qualificate.
Nel 2024 sarebbe inoltre auspicabile che i servizi di firma, dei quali l’Italia è stata pioniera, potessero essere meglio coordinati con il resto dei presidi della cittadinanza digitale. Pensiamo, ad esempio, alla firma elettronica avanzata: si tratta di un servizio molto vantaggioso che consente di firmare contratti e documenti presso le imprese, banche e Pubbliche Amministrazioni con le quali si ha a che fare: esso è disciplinato da un risalente decreto del 2013 ed è passato inosservato al nostro Legislatore il fatto che il Regolamento EIDAS abbia disciplinato da zero la firma elettronica avanzata: le regole sono rimaste immutate rendendo tale tipologia di firma inutilizzabile in molti contesti e, anche dove è utilizzabile, complessa e costosa da adottare. Ad esempio, viene previsto l’obbligo per l’azienda che la adotta di stipulare una apposita polizza assicurativa che rende impensabile adottare la firma elettronica se gli utenti sono pochi.
Il sistema delle firme – per come è adesso – sconta inoltre un enorme problema nel fatto che lo Stato non mette a disposizione dei provider di firma un sistema per la verifica delle carte di identità: il sistema attualmente disponibile (SCIPAFI e CRIMNET) consente solamente di sapere se un certo numero di carta di identità esiste e se è stato o meno denunciato come rubato o smarrito; non consente di sapere chi sia l’intestatario di una carta di identità, per cui, un documento falso che venga presentato con il numero di un documento reale fatica ad essere prontamente individuato. Tale problema riguarda soprattutto la firma qualificata, ma anche i rilasci di SPID e deve urgentemente essere risolto nell’ottica di espandere il sistema a tutti i cittadini e passare alla completa digitalizzazione. Occorre, insomma, assicurare sistemi di identificazione per il rilascio di identità elettroniche e firme che garantiscano la sicurezza e resilienza del sistema generale.
Come indirizzare i fondi PNRR
Occorre inoltre indirizzare al meglio i fondi PNRR: ad oggi viene incentivata con questi fondi, ad esempio, l’adozione di SPID da parte dei dipendenti delle Pubbliche Amministrazioni e relativa formazione all’uso: se veramente l’uso di questa credenziale di identità verrà meno, occorrerà far transitare al nuovo sistema tutti coloro che hanno ricevuto questo tipo di incentivo.
Dovranno, inoltre, essere chiariti i ruoli di sorveglianza sul sistema: ad oggi Agid è competente su SPID e non su CIE e, come ho scritto varie volte, non risulta che il Ministero dell’Interno abbia strutture di vigilanza paragonabili.
Sarà insomma un anno che si preannuncia intenso e non privo di sfide.
