Nell’informatica dei mainframe prima e dei mini computer distribuiti poi, l’identità digitale era costituita da un nome utente (username) e da una parola chiave (password) da tenere ben custodita e a mente (al peggio scritta su un post-it incollato al video).
Poi venne Internet, i servizi in rete e la mobilità degli stessi. Le credenziali utente quindi si sono moltiplicate e se avevate un posto di lavoro dove l’accesso sicuro era indispensabile e due conti in banca era certo che in vostro possesso c’erano tre OTP (generatori di password).
In questo contesto si sono sviluppati anche i servizi in rete della PA a partire da quelli previdenziali e fiscali con una ulteriore necessità di PIN (password) specifici per ogni servizio.
A partire dal 1998 si è iniziato a parlare di credenziale unica prima la Carta d’Identità Elettronica (CIE 1.0) e poi con la Carta Nazionale dei Servizi (CNS).
Di CIE e CNS o quasi
La CIE 1.0 (ma anche la 2.0) è la prima testimonianza del tipico progetto di largo respiro della PA italiana. Il meccanismo è quello del “taglia il nastro” e poi dimentica. Basta un esempio sulla banda ottica installata su questa versione della CIE. Essa è una striscia di materiale “ottico” scrivibile tipo CD WORM. Nei progetti iniziali, oltre a contenere le impronte del titolare, doveva contenere dati sanitari “permanenti”, come ad esempio un’ortopanoramica dentale.
Ma la disponibilità di capacità di trasmissione diventa adeguata, quindi i dati sono sui server e si consultano attestando la propria identità con la CIE.
La CIE non decolla mai completamente, costa troppo l’emissione a vista, il sistema anagrafico nazionale nonostante cospicui investimenti non riesce a essere diffuso e stabile e allora…
Vengono finanziati progetti con i fondi UMTS. Il Ministro Lucio Stanca dichiara che non si possono gestire i dati in rete senza una adeguata gestione dell’identità dei cittadini.
Nasce così la CNS che dopo varie vicende diventa Tessera Sanitaria (TS-CNS) e dopo ulteriori vicende è distribuita su base regionale.
Non c’è pace… Il progetto di unificazione CIE e CNS parte; viene redatto un decreto che viene inviato a Bruxelles per la notifica di rito delle regole tecniche. Il provvedimento sul Documento Digitale Unificato (DDU) viene approvato (il termine corretto è comunque non viene disapprovato) ma non diventa operativo.
CIE 3.0 e TS-CNS vanno per strade diverse e indipendenti.
E arriva lo SPID
Nel mondo della Rete e dei servizi che imprescindibilmente devono essere erogati tramite essa arriva il Sistema Pubblico per la gestione dell’Identità Digitale per cittadini e imprese (SPID).
All’interno di un sistema gestito dall’Agenzia per l’Italia Digitale (AgID) dei soggetti accreditati svolgono il ruolo di gestori dell’identità, altri sono gestori degli attributi qualificati del titolare (per esempio l’appartenenza ad un ordine professionale).
I servizi della PA sono da erogare obbligatoriamente mediante il modello SPID. Le date sono spesso variabili, ma possiamo individuare la scadenza per questo obbligo nella fine del 2017 come descritto nelle FAQ pubblicate sul sito dedicato a SPID presso AgID.
I privati possono erogare servizi basati sul modello SPID e si è in attesa dello schema di convenzione che tali soggetti dovranno sottoscrivere con AgID.
Lo schema è pronto e pare imminente la sua attivazione.
SPID esiste e deve vivere
I soggetti privati sono cruciali per il modello di business di SPID. Alla data le credenziali SPID sono rilasciate gratuitamente ai cittadini. Le pubbliche amministrazioni non devono nulla ai gestori dell’identità per il pagamento dei singoli riconoscimenti ma i soggetti privati sì.
Per semplificare i rapporti tra soggetti, AgID potrebbe gestire direttamente il rapporto tra i 7 gestori dell’identità attivi (ma un altro è già accreditato e altri potrebbero arrivare) e i fornitori di servizi evitando a questi ultimi di sottoscrivere 7 e più contratti.
Si ricorda, infatti, che un fornitore di servizi accetta, senza discriminazione, tutte le credenziali rilasciate dai soggetti accreditati per la gestione dell’identità.
La tariffa dovuta per la singola validazione dell’utente dovrebbe essere equilibrata rispetto a parametri di sostenibilità economica, sia da parte del gestore dell’identità che del fornitore di servizi.
Una tecnica di prezzo amministrato è conforme alla normativa in materia di concorrenza e di mercato.
Il mercato è libero e l’offerta stimola la domanda
Tanti illustri esperti hanno detto e scritto circa la storia dei primi 15 mesi circa di SPID. Chi scrive si limita a osservare che due grosse impennate di richiesta credenziali si è evidenziata per gli obblighi derivanti da App18 e Carta del Docente.
Contemporaneamente si è attivata l’azione propulsiva delle Camere di Commercio che effettuano gratuitamente le operazioni di registrazione per i gestori dell’identità che aderiscono, liberamente, all’iniziativa. Ma si va a 1000 identità al mese. Quindi bisogna capire perché. Per la PA i servizi offerti tramite SPID sono sostanzialmente quelli offerti con PIN o CNS. Pochissimi servizi specificamente sono nati per SPID.
I professionisti utilizzano il PIN e in alcune aree geografiche la CNS e non hanno motivazione reale a passare a SPID. Dovrà essere gestita comunque la transizione di 25 milioni circa di PIN. Il Codice dell’amministrazione digitale ha reso facoltativo l’accesso ai servizi tramite CIE e CNS. Alcune amministrazioni interpretano la norma come “non sono obbligata a garantire l’accesso tramite le smart card”.
Infine risulta carente la linea di indirizzo sull’erogazione di servizi di natura sanitaria tramite SPID. Anche qui la differente velocità regionale crea scompensi territoriali.
Gli obiettivi da tenere a mente per lo sviluppo di SPID nel breve periodo sono comunque:
- è obbligatorio (per esempio in ambito servizi NoiPA e con il dispiacere associato alla costrizione per la trasformazione digitale);
- è sconosciuto (fuori dagli addetti ai lavori SPID è ignoto);
- mi serve perché rende il procedimento amministrativo o privato più efficiente per l’utente. Vedi i servizi di home banking, prenotazioni alberghiere e gestione dei viaggi.
Non bisogna cedere alle sirene che cantano la circostanza che ottenere le credenziali SPID è “difficile”. Il processo deve essere sicuro allo stato dell’arte. Un livello inferiore crea insicurezza, sfiducia e distacco. Ovvero si perde la partita.
