Proprio in questo periodo SPID compie il primo anno di vita e vanta al suo attivo oltre 1.000.000 identità rilasciate dai gestori accreditati, a cui si aggiungono oltre 4.000 le Amministrazioni che hanno reso disponibili i propri servizi online attraverso l’accesso con SPID.
Al momento, i servizi disponibili riguardano – nella stragrande maggioranza dei casi – richieste che i cittadini presentano alla PA; c’è invece un territorio ancora inesplorato, che riguarda l’accesso a servizi o dati presenti nei database delle Amministrazioni, a cui accedono persone di altre Amministrazioni, in virtù delle funzioni loro assegnate.
Solo per fare alcuni esempi:
Mercato elettronico della Pubblica Amministrazione (a cui accedono sia PA e sia Imprese);
Portale ANAC per l’attribuzione del CIG;
Banca dati INPS / INAIL per la richiesta del DURC;
Banca dati per l’accesso alla certificazione antimafia;
Banca dati per l’accesso al Casellario Giudiziario;
Registrazione dei contratti presso l’Agenzia delle Entrate;
Attualmente si accede a questi sistemi con apposite credenziali, rilasciate dal gestore della banca dati: quindi, ogni sistema ha le proprie.
In tutti i casi, il rilascio delle credenziali di accesso è preceduto dall’invio di documenti di identità da parte dell’Amministrazione richiedente, a cui segue la comunicazione di conferma da parte della PA proprietaria della banca dati.
Ovviamente gli accessi alle banche dati avvengono attraverso portali online dedicati.
Se uno dei punti di forza di SPID è la semplificazione delle password per l’accesso ai servizi, non potrebbe essere utilizzato anche quando chi accede alla banca dati o al servizio è un dipendente della PA?
L’identità di una persona è sempre la stessa, sia che acceda online per compilare il 730 o iscrivere il proprio figlio a scuola, oppure acceda per ottenere un DURC: con la differenza che, nel secondo caso, agisce in nome e per conto della una persona giuridica per cui svolge una funzione specifica.
A questo punto, occorre approfondire il concetto di “attributo”: il regolamento che contiene le modalità attuattive di SPID ne prevede diverse specie:
Gli attributi primari (nome, cognome, ecc.)
Gli attributi secondari: il numero di telefonia fissa o mobile, l’indirizzo di posta elettronica, il domicilio fisico e digitale;
Gli attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati;
Proprio questi ultimi sono importanti per il tema di cui stiamo discutendo: ogni dipendente della PA che accede alla banca dati lo fa in virtù di una qualifica posseduta, di una particolare posizione di lavoro ricoperta all’interno dell’ente.
Lo stesso vale per i professionisti che appartengono ad un ordine (avvocati, notai, ingegneri, ecc.) e per i legali rappresentanti delle imprese.
Sempre secondo il documento sulle modalità attuattive, sono i fornitori di servizi che debbono verificare la presenza o meno di un attributo; in particolare, le regole tecniche di SPID prevedono che il “Gestore di attributi qualificati – Attribute Authority – deve essere in grado di certificare un determinato set di attributi relativi ad un soggetto titolare di una identità digitale. A fronte di una richiesta di uno o più attributi l’Attribute Authority deve essere in grado di:
1. ricevere ed interpretare la richiesta di attributo pervenuta da una Service Provider;
2. elaborare la richiesta;
3. costruire la risposta inerente la richiesta pervenuta ed inoltrarla alla Service Provider.”
Per fare ciò, le banche dati che contengono gli attributi qualificati di un soggetto debbono esporre i dati secondo uno standard specifico.
Il DPCM del 2014 prevedeva già all’art. 16 l’accreditamento presso AGID dei soggetti che gestiscono attributi qualificati, specificando che sono accreditati di diritto soggetti quali:
il Ministero dello sviluppo economico in relazione ai dati contenuti nell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti di cui all’art. 6‐bis del CAD;
i consigli, gli ordini e i collegi delle professioni regolamentate relativamente all’attestazione dell’iscrizione agli albi professionali;
le camere di commercio, industria, artigianato e agricoltura per l’attestazione delle cariche e degli incarichi societari iscritti nel registro delle imprese;
l’Agenzia in relazione ai dati contenuti nell’indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi di cui all’art. 57‐bis del CAD.
Rimanendo sempre nella nostra ipotesi di lavoro, lo status di addetto di un particolare ufficio – che dà diritto di accedere ad una certa banca dati – potrebbe essere quindi certificato dall’IPA – Indice delle Pubbliche Amministrazioni; a questo punto occorrerebbe verificare se l’IPA possiede già le caratteristiche tecniche necessarie per la successiva verifica dei dati da parte del fornitore di servizi, e se l’IPA contiene tutte le informazioni necessarie a questo fine.
Al momento – sempre sul sito di AGID – è pubblicata una tabella che contiene le specifiche denominazioni per gli attributi identificativi e secondari, ma mancano quelle per gli attributi qualificati.
Le possibili applicazioni della gestione degli attributi qualificati possono ampliare il raggio di azione di SPID, e nel contempo rappresentare – per fare qualche esempio – una semplificazione per operatori della PA e Imprese.
A proposito di queste ultime, nel Regolamento sulle modalità attuattive già si prevede a questo proposito che:
L’esistenza della persona giuridica è basata su evidenze riconosciute dal sistema delle imprese in ambito nazionale.
Le evidenze sono tutte valide e autentici sulla base di quanto risulta da soggetti istituzionali competenti.
Effettuata l’associazione amministratore o rappresentante legale, all’impresa-persona giuridica, si procede alla verifica – come persona fisica – dell’amministratore o del legale rappresentante.
Questo meccanismo semplificherebbe le modalità di presentazione di istanze telematiche o accesso a banche dati effettuato da imprese, che al momento vengono gestite esclusivamente con le credenziali riferite solo a persone fisiche.
Anche per quanto riguarda l’accesso alle banche dati pubbliche da parte di dipendenti della PA e dei gestori di pubblico servizio la semplificazione sarebbe evidente; sfruttando le potenzialità delle informazioni già presenti, occorrerebbe verificare se le informazioni sugli enti e le singole persone contenute nell’IPA siano allineate con gli attributi richiesti da SPID.
Sarebbe anche opportuno prevedere e disciplinare la possibilità di “delega”, in modo da permettere che l’accesso avvenga da parte di un operatore dell’Ente in base ad una specifica delega del proprio responsabile (Dirigente o altro), evitando la “condivisione” di credenziali che avviene attualmente.
I vantaggi nell’adottare questa soluzione sono molteplici:
Univocità e semplificazione delle modalità di accesso per i dipendenti della PA, evitando il moltiplicarsi delle credenziali;
Diminuzione degli adempimenti collegati all’abilitazione e concessione dell’accesso alle banche dati da parte della PA proprietarie delle singole banche dati;
Standardizzzione delle modalità di verifica degli attributi;
Maggior garanzia sull’aggiornamento continuo dei dati dei dipendenti che accedono alle banche dati, valorizzando il patrimonio informativo dell’IPA come unico database che contiene e certifica gli attributi qualificati.