Dall’avvio di SPID di pochi giorni fa (16/03/16) sono aumentate in modo significativo le voci del coro di coloro che avanzano dubbi sulla sicurezza e sulle garanzie di tutela della privacy del Sistema Pubblico per la Gestione dell’Identità Digitale.
Personalmente, sono convinto che SPID possa costituire un’opportunità per la digitalizzazione e la semplificazione dei processi della PA di questo paese. Naturalmente il mezzo non realizza il fine, l’abbiamo imparato 15 anni fa con la Firma Digitale: i vantaggi potenziali non sono un argomento sufficiente per opporsi alle critiche e ai dubbi.
La mia delusione deriva però dai presupposti su cui si basano molte delle critiche che, nello specifico, riguardano aspetti che potrebbero essere facilmente chiariti da un’attenta analisi dei decreti, dei regolamenti e di tutta la documentazione che da due anni a questa parte AgID rende disponibile on-line, nelle varie versioni ed evoluzioni.
Su una cosa bisogna infatti rendere merito alle istituzioni coinvolte: se paragonata a molti altri cantieri della digitalizzazione italiana, SPID è un’iniziativa che fino dagli albori ha goduto di una trasparenza notevole. Ciò ha consentito una discussione (anche serrata) su alcuni temi chiave, sia tra i tecnici che sui tavoli istituzionali, la quale ha fatto emergere una serie di problematiche che via via sono state indirizzate nella (complessa) messa a punto dell’infrastruttura. Molte scelte sono state criticate, alcune critiche le condivido (in primis, l’assenza di un concreto modello di business), ma non riesco a essere d’accordo con chi sostiene l’inadeguatezza intrinseca dell’infrastruttura dal punto di vista della sicurezza e della tutela dei dati personali dei cittadini.
In materia di privacy, SPID è infatti fortemente incardinato nel sistema di norme italiane (e Europee di prossima pubblicazione). Nasce come uno spazio di cittadinanza digitale in alternativa all’Internet “libera” dalle giurisdizioni nazionali ma sempre più in balia dei colossi dell’Information Technology. Il Garante stesso ha partecipato alla revisione del framework di regolamenti e schemi di accreditamento dei Gestori di Identità Digitale, con effetti concreti. Alcuni esempi: i Gestori sono obbligati a vincolare il trattamento dei dati a finalità ben specifiche, che impediscono la profilazione dei cittadini, anche quando i Gestori sono essi stessi dei fornitori di servizi. In aggiunta, essi sono tenuti alla notifica degli incidenti di sicurezza e dei data breach, anticipando ed estendendo de facto alcune delle previsioni del nuovo Regolamento Europeo.
Il coinvolgimento, poi, di soggetti privati per l’erogazione di servizi fiduciari, che per alcuni costituisce un abbattimento delle prerogative dello Stato ed il vulnus di future violazioni delle garanzie dei cittadini, non è accettabile nel 2016: le sinergie pubblico-privato più illustri che precedono SPID sono la Firma Digitale e la PEC, ere geologiche fa nello spazio-tempo informatico. Possono non piacere di principio, ma non costituiscono un argomento valido a favore o contro lo SPID.
Infine, questa iniziativa è nata nell’ambito del percorso di attuazione dell’agenda digitale europea ed è coerente con la Direttiva EIDAS: ciò ha vincolato alcune delle scelte (il lettore giudicherà se in senso positivo o negativo), in primis quelle tecniche per futura interoperabilità tra gli stati mediante l’aderenza a standard tecnici identificati dall’Unione. Tra questi, dobbiamo dare positivamente rilievo agli standard di sicurezza informatica come le norme ISO 27001, ISO 29115 e ISO 19790 a cui i Gestori e le loro soluzioni tecniche dovranno attenersi, ed in base alle quali essi dovranno essere valutati e periodicamente soggetti a verifica.
Si può pertanto dire che la centralizzazione delle identità presso Gestori specializzati, certificati, monitorati e periodicamente valutati innalzerà il livello di sicurezza dell’accesso rispetto all’attuale situazione fatta da molteplici account distribuiti tra le varie pubbliche amministrazioni, spesso in difficoltà anche solo a reperire competenze informatiche, figurarsi se di natura specialistica.
Con questo non voglio dire che la discussione si debba esaurire, ma dovrebbe costruttivamente focalizzarsi sui temi all’orizzonte.
In primo luogo, si deve lavorare per garantire che il ruolo di indirizzo, accreditamento e vigilanza sull’Infrastruttura e sui Gestori, che esercitano AgID e l’Autorità Garante per la Protezione dei Dati Personali ciascuno per propria competenza, possa essere adeguatamente sostenuto anche in termini di risorse e continuità.
Inoltre, la centralizzazione delle identità presso i Gestori non garantirà l’abbattimento di una parte dei rischi informatici, che resteranno comunque in carico alle applicazioni on line. In questo ambito, dalla sanità ai piccoli comuni come nelle PA centrali, vi sono criticità sulla sicurezza che da tempo attendono risposta. L’integrazione con SPID, che prevede procedure di accreditamento specifiche per i fornitori di servizi, potrebbe costituire un’occasione unica di intervento e se ben indirizzata, potrebbe addirittura liberare le risorse per gli investimenti necessari.
Per fare questo dobbiamo però smettere di guardare la pagliuzza e concentrarci sulla trave perché, piaccia o non piaccia, SPID è partito.
