Il Sottosegretario con delega all’Innovazione Tecnologica Alessio Butti ha annunciato la volontà di spegnere gradualmente il sistema SPID e avere la carta d’identità elettronica come unica identità digitale al fine di facilitare la vita agli italiani.
Lo stesso Sottosegretario ha poi precisato meglio il suo pensiero con un intervento su un importante quotidiano nazionale.
Questi due episodi hanno scatenato un vespaio di articoli, dichiarazioni per ogni dove con una serie di informazioni non sempre aggiornate e precise
Proviamo allora a trattare il tema da un punto di vista operativo, con il tentativo di rispondere al quesito, nocciolo della questione, “Cosa succede con lo spegnimento di SPID ?”.
Cosa succede se spegniamo Spid?
Chi scrive è un tecnico che prescinde da considerazioni ideologiche, peraltro inutili rispetto alla prevalente volontà politica.
In tal senso l’analisi che segue è oggettiva e basata su dati tecnici e su recenti norme sul nuovo ecosistema della CIE che, in questa sede abbiamo già diffusamente commentato.
I numeri di Spid e Cie a confronto
Lo SPID nato l’8 marzo 2016 ha raggiunto alla data (dati AgID) il numero di 33.324.270 identità rilasciate con un uso molto elevato dovuto all’unicità dello strumento di accesso dopo l’abolizione del PIN.
Per quanto concerne la CIE sono state attivate alla data 32.587.243 carte (dati Ministero dell’Interno). I numeri in gioco sono vicini tra loro ma l’utilizzo della CIE è molto più basso perché meno noto all’utenza e soprattutto perché meno pubblicizzato in sede istituzionale anche nella fase di emissione.
Il nuovo scenario disegnato con il sopra citato decreto introduce alcune cruciali novità in materia di accesso ai servizi tramite CIE.
Per brevità diamo per scontata la conoscenza da parte del lettore dell’architettura SPID e delle sue modalità di utilizzo.
Attualmente il livello più utilizzato di SPID è il livello 2 che utilizza un doppio fattore di autenticazione e assenza di supporto fisico delle credenziali (non ci sono tessere).
Gli attuali limiti di CIE
L’accesso ai servizi tramite CIE avviene con l’associazione della Carta a un lettore contactless di classe NFC (Near Field Communication) che generalmente è all’interno di uno smartphone di recente generazione o in un lettore esterno specializzato. Per ovvi motivi, l’utilizzo della CIE è più frequente con il telefono. Peraltro, l’esperienza utente con telefono e Carta è non facilissima. Non è raro che il telefono non legga la carta ed esperienze dirette, comunque, evidenziano che l’utilizzo della CIE in mobilità, oltre che non essere agevole, ha impatti sull’integrità del supporto e delle scritte su di esso. Non è raro vedere CIE emesse da oltre tre anni con scritte non più al massimo delle definizioni dei caratteri. Per questo motivo, in ogni caso, sarebbe utile proteggere la carta con un adeguato portatessera.
Tema significativo è la capacità di lettura dei telefoni con NFC. Siamo distanti (in peggio) dall’usabilità tipica del POS contactless con una carta di debito o credito, ma anche di un telefono con sistema di pagamento digitale a bordo. Il caso più estremo è che lo stesso telefono accetta una CIE ma non un’altra presentata nello stesso modo. Più diffuso è il caso di telefoni che non leggono proprio la carta.
Una analisi fisica della interazione elettromagnetica tra CIE e interfaccia NFC non sarebbe inutile.
La nuova architettura Cie ID
Il preannunciato scenario stabilito con il decreto sopra citato elimina questo problema ampliando l’ecosistema CIE con la nuova architettura CIE ID. Questa sigla non è più solamente il nome dell’APP che consente di fruire dei servizi in rete con l’opzione Entra con CIE ma anche un nuovo modo di usare la CIE.
Per prima cosa nascono i livelli 1 e 2 della CIE. Il livello 2 potrà essere fruito (la sua attivazione è prevista a breve) nello stesso modo del livello 2 di SPID e ci si aspetta una esperienza utente pressoché identica a quella dell’omologo livello di SPID. Questo fatto, se confermato praticamente, renderà minimo il problema di passaggio di esperienza utente nell’uso tra i due strumenti.
Il livello 2 potrà essere attivato sul CIE ID Server gestito da IPZS per conto del Ministero dell’Interno con il possesso della CIE e dovrebbe bastare anche un solo utilizzo del supporto fisico.
Addirittura, è ipotizzabile anche un’attivazione senza supporto fisico ma, in questo senso, è meglio attendere l’operatività dell’ecosistema CIE ID con la sua realizzazione pratica.
Un altro passo cruciale è lo smarrimento o la perdita d’uso del PIN e PUK della CIE. Il titolare generico molto spesso non sa che all’interno della carta c’è un circuito elettronico che contiene, tra l’altro, la foto del titolare e le impronte digitali (impronte disponibili solo agli organi di polizia).
Ma il nuovo ecosistema CIE ID consentirà il recupero del PUK che poi viene utilizzato per aggiornare il PIN e quindi diventa nuovamente utilizzabile la CIE.
Molto importante anche la regola nello stesso decreto che invita i Comuni e i Consolati ad informare adeguatamente l’utente sulle possibilità offerte dalla CIE come strumento per l’accesso ai servizi della PA. Questo è un cruciale passo in avanti sulle informazioni ai titolari di CIE.
Perché lo spegnimento di Spid non è facile come sembra
Per quanto descritto fino a qui sembra che vada tutto bene e che lo “spegnimento” sia facile ma non è proprio così.
- La diffusione della CIE è ancora insufficiente per l’esclusività nell’accesso ai servizi. Il numero di Carte di Identità cartacee in uso è ancora significativo e lo sarà ancora per due/tre anni. Tanti cittadini non hanno la Carta di Identità perché hanno altri documenti di identità. Questi soggetti saranno obbligati ad avere la CIE ? Servirà una norma specifica?
- I tempi di attesa per l’emissione della CIE sono in molte realtà di parecchie settimane, indubbiamente ci sono stati miglioramenti nei grandi comuni e soprattutto a Roma Capitale ma parliamo comunque di tempi lunghi.
- Cosa succede in caso di furto, smarrimento o guasto della CIE? Altre attese necessarie e indisponibilità conseguente dell’accesso online, se non c’è Spid.
Quanto descritto evidenzia che la transizione SPID – CIE può essere gestita senza tragedie utilizzando le indispensabili cautele e la sempre utile prudenza.
I fondi PNRR sono sempre utili perché comunque abilitano i servizi CIE e il nodo eIDAS di interoperabilità comunitaria.
Spid sarà spento solo per la PA?
Le dichiarazioni del Sottosegretario Butti sono relative ai soli servizi resi tramite SPID dalla pubblica amministrazione. I gestori di identità (alla data 10) stanno attivando lo SPID per uso professionale che alimenta i primi incassi a supporto dei costi dell’infrastruttura SPID. Lo spegnimento SPID sarà per la sola PA (e questo si evince dalle dichiarazioni) o totale?
Il decreto 8 settembre 2022 sulla CIE attiva anche la possibilità di erogare servizi da parte di soggetti privati senza l’onere della ricompensa al gestore dell’identità digitale come è in SPID.
Questa regola, di fatto, elimina la base dei proventi previsti per SPID alle origini progettuali. Il fatto può anche indurre il pensiero che SPID, alla fine si spegne da per mancanza di risorse.
Conclusioni
In ogni caso rimane il fatto che ad ogni cambio di Governo si introducono nuove istanze tecnologiche che modificano o addirittura cancellano quelle vecchie, anche se di grande successo. È sempre successo dai tempi del governo elettronico di Lucio Stanca che è stato il primo ad essere nominato Ministro per l’Innovazione e le Tecnologie e continua, almeno allo stato delle dichiarazioni attuali.
Questo crea sul piano tecnico operativo che affrontiamo in questa sede, incertezza e sfiducia che poi limitano il corretto sviluppo dell’indispensabile collaborazione tra pubblico e privato. Quest’ultimo aspetto è senz’altro il più critico e più urgente da gestire in questa fase cruciale per l’innovazione tecnologica del Paese.
