Dal 28 febbraio, come ormai noto, sulla base dell’art. 24 del DL. 76/2020, è diventato obbligatorio per le pubbliche amministrazioni fornire l’accesso ai servizi online con SPID e CIE (carta identità elettronica) ed è fatto loro divieto di rilasciare o rinnovare credenziali per l’identificazione e l’accesso dei cittadini ai propri servizi in rete, diverse da SPID, CIE o CNS, fermo restando l’utilizzo di quelle già rilasciate fino alla loro naturale scadenza e, comunque, non oltre il 30 settembre 2021; sappiamo anche che molte PA non si sono fatte trovare pronte a questo traguardo.
Vediamo che cosa è stato fatto nel frattempo e a che punto siamo, in particolare con la diffusione della Carta d’identità elettronica.
I dati sulla diffusione
Prendendo come riferimento i dati pubblicati sul sito della CIE, sono più di 19 milioni le carte di identità elettroniche rilasciate; dopo le prime attivazioni effettuate nel 2016, ormai tutti i Comuni italiani emettono la CIE come unico documento di identità, e sono state avviate anche alcune sedi di consolati italiani per il rilascio della CIE agli italiani residenti all’estero.
La carta d’identità elettronica è l’unico documento d’accesso ai servizi digitali della PA garantito dallo Stato italiano, in quanto emessa dal ministero dell’Interno e realizzata dal Poligrafico e Zecca dello Stato con i più alti standard tecnologici, che ne fanno uno dei documenti più sicuri a livello europeo.
Un chip a radiofrequenza contenuto nella carta, infatti, registra e conserva i dati personali e biometrici tutelando l’identità digitale del titolare da ogni tentativo di furto o contraffazione permettendo l’identificazione certa, sia in presenza che da remoto, da qualsiasi dispositivo, computer, tablet e smartphone.
A che punto sono le PA
Secondo i dati del Ministero dell’Interno, le Amministrazioni attive che consentono l’accesso ai propri servizi in rete sono circa 250, tra cui però alcune – come la Regione Emilia-Romagna – erogano questo servizio per tutti gli enti del territorio (circa 340 Comuni), per cui probabilmente i dati sarebbero da rivedere.
Ci sono anche esperienze esemplari, come quella di INPS e dell’Agenzia delle Entrate, che si sono già attrezzate per rispettare la normativa, oltre anche a 3 soggetti privati.
Costi per il cittadino
La CIE per i cittadini ha un costo di 22 euro (di cui una parte è rimborso spese per la stampa e poco meno di 5 Euro sono i diritti di segreteria a favore del Comune che la emette).
L’accesso ai servizi in rete con CIE
L’accesso ai servizi in rete con CIE è sempre stato uno dei pilastri dell’art. 64 del Codice dell’amministrazione digitale (CAD), che si è concretizzato dopo il rilancio della CIE 3.0 (le cui specifiche tecniche sono contenute nei decreti del 2015).
Lo schema di identificazione basato sulla CIE è compatibile con il Level of Assurance 4 (HIGH) del regolamento UE 910/2014 eIDAS (GUUE C309 del 13 settembre 2019) e consente ai cittadini di fruire dei servizi offerti online dalle Pubbliche Amministrazioni e dei soggetti privati utilizzando gli elementi di sicurezza presenti sulla propria CIE (chiavi crittografiche protette da PIN e Certificati) come credenziali per la propria identificazione.
CIE per ottenere SPID
Da qualche tempo, la CIE può essere utilizzata come sistema di riconoscimento per ottenere SPID, quindi evitando il riconoscimento “de visu” presso uno sportello fisico.
In base ai dati pubblicati da AGID, tutti gli Identity Provider hanno reso disponibile questa possibilità (tranne Intesa).
Spid, che c’è da fare dopo la scadenza (mancata) del 28 febbraio
Firma con CIE
La Carta d’Identità può essere usata per apporre la firma ad un documento grazie ad una applicazione disponibile sia per iPhone che per Android chiamata CieSign.
L’app è sviluppata dall’Istituto Poligrafico e Zecca dello Stato (ovvero dall’ente che produce la Carta d’Identità Elettronica) e richiede per le piene funzionalità uno smartphone con Android 6 e chip NFC o almeno un iPhone 7.
È disponibile anche un’altra app con le stesse funzionalità, denominata FirmoconCIE e sviluppata da una start up italiana.
In entrambi i casi, la firma ha lo stesso valore giuridico della firma autografa – soddisfacendo così il requisito della forma scritta e producendo gli effetti dell’art. 2702 del codice civile, e rientra nell’ambito della Firma Elettronica Avanzata (FEA), prevista anche dal Regolamento Europeo EIDAS.
Soggetti aggregatori
Al fine di rendere più snelle e veloci le procedure amministrative e tecniche per l’integrazione con CIE, per gli erogatori di servizi pubblici e privati, che intendono integrare l’accesso tramite CIE, è disponibile il nuovo servizio automatizzato di federazione all’identità digitale CIE: per accedere occorre registrarsi e seguire le indicazioni.
SPID e CIE per le imprese: cinque cose da fare per una seconda svolta
CIE nell’Unione Europea
La CIE è uno strumento di identità digitale riconosciuto anche in Europa. In conformità al Regolamento eIDAS (Regolamento (UE) n. 910/2014), la CIE è stata infatti notificata alla Commissione europea e agli altri stati membri con la pubblicazione nella Gazzetta Ufficiale dell’Unione europea C 309 del 13 settembre 2019, ed è stata integrata con il nodo eIDAS.
Cosa ancora manca per la messa a regime della CIE per l’accesso ai servizi online
Innanzitutto è necessario ricordare che la CIE può essere utilizzata sia tramite PC fisso e sia tramite smartphone o tablet: nel primo caso occorre installare un software dedicato e avere un lettore compatibile, nel secondo caso, occorre scaricare l’app “Entra con CIE”, disponibile sia per IOS che per Android.
In entrambi i casi, occorre essere in possesso dei codici PIN (la prima metà rilasciata al momento della richiesta e la seconda al momento della consegna del documento).
Questo processo è sicuramente meno immediato rispetto all’utilizzo di SPID, e proprio per questo sarebbe necessario puntare di più sulla comunicazione.
È vero che sul sito dedicato ci sono tutte le informazioni, ma è necessario arrivare a tutte le fasce di popolazione, quindi sarebbero molto utili anche strumenti di comunicazione tradizionali (Es: depliant cartacei).
Quando si utilizza la CIE per accedere ai servizi online (qui una guida e un video) i dati che vengono “passati” sono Nome e Cognome, data di nascita e Codice Fiscale; manca purtroppo un dato essenziale – l’indirizzo mail – necessario non per l’autenticazione, ma per poter restituire al cittadino, ad esempio, la ricevuta di protocollazione della domanda presentata o piuttosto la ricevuta di un pagamento; sarebbe quindi molto utile se al momento dell’accesso, l’app potesse avviare la richiesta – con successivo controllo – dell’indirizzo mail, in modo da poter permettere al servizio di utilizzare anche questo dato, così come già avviene per l’accesso con SPID.
Valgono poi anche per la CIE le considerazioni già espresse riguardo a SPID, e cioè il tema aperto della gestione degli attributi qualificati e della gestione identità per soggetti incapaci, disabili, ecc.: è evidente la necessità che la CIE possa essere in grado di gestire anche questi dati, andando di pari passo con quanto sarà possibile per SPID.
Definizione dell’obbligo anche per i gestori di pubblico servizio
La scadenza del 28 febbraio – come detto sopra – riguarda solo le Pubbliche Amministrazioni: rimangono per adesso esclusi i gestori di pubblico servizio e le società partecipate, di cui all’art. 2 comma 2 (lett. b e c) del CAD, per i quali è previsto un successivo decreto.
In realtà questi soggetti possono integrare i propri servizi fin da subito con CIE, utilizzando le indicazioni descritte sopra, non ci sono costi di alcun tipo.
Definizione dello switch off dei servizi online rispetto ad altre modalità
Se da un lato l’art. 64 comma 3 bis nell’ultima parte prevede che con decreto del Presidente del Consiglio dei ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione è stabilita la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, lettera a) – quindi le PPAA – utilizzano esclusivamente le identità digitali per consentire l’accesso delle imprese e dei professionisti ai propri servizi in rete, non è altrettanto chiaro se questa sarebbe anche la data “definitiva” di switch off, da cui dipende l’utilizzo esclusivo dei servizi online da parte di cittadini e imprese.
Ovvero, l’obbligatorietà dell’utilizzo delle credenziali di identità digitale va bene, ma il vero obiettivo deve essere l’abbandono della carta a favore dei servizi online.
Quali sanzioni dopo il 28 febbraio?
Da ultimo, non è chiaro cosa succederà dopo il 28 febbraio per quelle Amministrazioni che avranno ancora disponibili dei servizi che non permettono l’accesso con SPID, CIE o CNS: nella norma non sono previste sanzioni, se non legate alla riduzione non inferiore al 30 per cento della retribuzione di risultato e del trattamento accessorio collegato alla performance individuale dei dirigenti competenti, oltre al divieto di attribuire premi o incentivi nell’ambito delle medesime strutture (art. 24 comma 1-quinquies).
Il tema in questo caso si pone ancora di più, visto lo scarso numero di soggetti che hanno già reso disponibile l’accesso ai propri servizi con CIE.
Il nodo della condivisione dei dati
Più in generale, e vale sia per SPID che per CIE, si inizia a sentire l’esigenza di una dashboard condivisa a livello nazionale in cui siano disponibili i dati di accesso per tutti gli enti (centrali e locali), in modo da poter analizzare alcune variabili interessanti; giusto per fare qualche esempio:
– la distribuzione dell’uso per fasce di età;
– la distribuzione geografica;
– la geolocalizzazione dei servizi disponibili.
A titolo di esempio, sul sito di IO c’è una dashboard dedicata, in cui sono disponibili le statistiche relative all’utilizzo dell’app IO, aggiornate quotidianamente.
Insomma, in quest’ultimo periodo si dice che i dati sono il nuovo petrolio, e quindi lo sviluppo della PA può e deve partire anche dalla loro disponibilità, condivisione e analisi, per poi progettare una strategia adeguata.
