L’intensa attività legislativa sull’identità digitale è stata al centro di forti dibattiti di natura sia politica che sociale. Le proposte di modifica hanno aperto anche una discussione su sicurezza e resilienza del sistema, ipotizzabili in caso di gestore unico. Il panorama in via di definizione e le strade da percorrere per raggiungere un’identità digitale future proof.
Spid, la battaglia della ministra Pisano
A oggi, come dichiarato direttamente dalla Ministra per l’innovazione e la digitalizzazione Paola Pisano in una intervista al Sole 24 ore: “Non si è trovata la convergenza politica sul tema…” quindi le norme sono rimaste quelle vigenti. Ricordiamo che l’obiettivo era quella di riformare lo SPID trasformandolo in identità digitale e stabilendo che la gestione fosse in capo al Ministero dell’Interno. “Eravamo convinti che l’identità digitale dovesse convergere con la carta di identità elettronica ed essere rilasciata da un ente statale, come ad esempio il ministero dell’Interno che già gestisce la CIE” sottolinea la Ministra nella stessa intervista.
La riforma prevedeva la scomparsa dell’identità rilasciata dagli otto soggetti privati ma anche dei soggetti pubblici oggi rappresentati dalla sola Lepida SpA. L’identità digitale verrebbe, quindi, rilasciata da unico soggetto pubblico.
Nel seguito si analizzano sinteticamente i principali passi dell’ipotizzata riforma utilizzando come base dati i numerosi emendamenti presentati, sul medesimo tema, nell’ambito delle attività indicate all’inizio del presente articolo.
Questa analisi consente di ipotizzare anche le azioni successive del Governo qualora gli emendamenti fossero stati approvati e quindi fosse stato possibile proseguire nella riforma con la messa in opera dei decreti attuativi.
Il ruolo del ministero degli Interni
Punto cruciale di ogni emendamento è la gestione pubblica del sistema di identità digitale; ad un certo punto nella novella del Codice dell’amministrazione digitale (CAD) scompare anche il Sistema Pubblico di Identità Digitale che diventa appunto identità digitale.
La gestione amministrativa, nelle versioni più recenti, passa al Ministero dell’Interno e al Dipartimento per la trasformazione digitale che si avvale di partner tecnici come il Poligrafico dello Stato (che oggi produce e gestisce le parti produttive e di supporto al ciclo di vita della CIE) e PagoPA S.p.A. società pubblica nata per gestire l’omonima piattaforma, l’APP IO (un sistema di aggregazione dei servizi pubblici nato a beneficio della loro fruibilità da parte di cittadini e imprese), l’Anagrafe Nazionale della Popolazione Residente (ANPR) e altre questioni presenti nel CAD e conseguentemente nel vigente Piano Triennale per l’informatica nella pubblica amministrazione.
La norma proposta poi, rimandando come prassi a decreti attuativi, stabiliva norme per:
- L’elezione della Carta di Identità Elettronica (CIE) a credenziale di identità di massimo livello (equivalente al Livello 3 SPID);
- l’indicazione di principio della necessità di definire le modalità di passaggio delle credenziali dei titolari dai gestori dell’identità al nuovo soggetto pubblico;
- le modalità di mantenimento dei livelli 1 e 2 dell’identità digitale (password e password con credenziale “one shot”) presumibilmente per gestire le utenze non in possesso di CIE e l’ovvio periodo di transizione;
- aggiornare alcune norme primarie al fine di stabilire il destino della Carta Nazionale dei Servizi (CNS) con la definizione della data di fine del suo ciclo di vita.
Spid, i nodi del modello gratuito
In questo susseguirsi di emendamenti, anche del Governo, puntualmente dichiarati inammissibili dalle Commissioni parlamentari, si è scatenata una discussione con ipotesi sulle quali si basano le ipotesi di modifica.
Proseguendo l’analisi degli emendamenti nelle loro ultime proposizioni cerchiamo di evidenziare cosa non appare coerente ai fatti.
Si afferma che lo SPID grazie al modello pubblico è gratuito. Nei fatti già alla fine dello scorso anno l’Agenzia per l’Italia Digitale aveva emesso un comunicato che rappresentava l’aggiornamento delle convenzioni tra AgID e i gestori dell’Identità, nel senso che SPID (livelli 1 e 2) è gratuito per sempre.
Proseguiamo la nostra analisi sulla base dell’ultimo emendamento al decreto di conversione in legge del “milleproroghe”. In questo ulteriore tentativo legislativo la credenziale di riferimento per l’identità digitale è la CIE.
Questa è credenziale d’accesso per il livello elevato (e gli inferiori); sono previste altre credenziali per gli altri due livelli. In sintesi, poi si delinea lo scenario operativo, da definire con i tradizionali decreti attuativi, dove opera IPZS con la società PagoPA.
SPID viene abrogato dal 31 ottobre 2023, non è più possibile accreditare gestori dell’identità e quelli attivi possono proseguire fino allo scadere delle convenzioni. Si ribadisce la gratuità delle credenziali e si garantisce la continuità delle funzionalità SPID.
Rispetto ai primi emendamenti proposti nell’ambito della Legge di Bilancio non si parla mai di risorse finanziarie ma è evidente che per gestire l’identità digitale ci sono dei costi. Questi oggi sono sostenuti dai Gestori accreditati per il rilascio dell’identità digitale. Ad oggi il costo delle identità per lo Stato è stato zero mentre una gestione statale sarebbe pagata da fondi pubblici. In emendamenti iniziali erano previsti fondi pubblici per 65 milioni di euro per i primi tre anni.
Identità digitale: i costi
In ipotesi successive è ragionevole ipotizzare che allo scopo si possano utilizzare i fondi CIE o l’attività finanziaria di IPZS che ha a disposizioni opzioni operative conformi alla Legge.
Viene stabilito che la CNS (non si nomina la Tessera Sanitaria) deve cessare mediante la definizione dei tempi di cessazione da concordare con le Regioni.
Altri scenari sono in linea con i precedenti emendamenti con la previsione attuativa tramite i decreti e le concertazioni di rito (per esempio la conversione delle identità dai gestori attuali alle nuove credenziali di accesso).
Negli ultimi emendamenti non ci sono ipotesi normative tali da evidenziare che gli attuali gestori dell’identità digitale possano ricevere un ristoro dei costi sostenuti per il rilascio e la gestione delle identità SPID. Non è escluso che sia attuato con altro provvedimento.
È significativo il fatto che si stabilisca la possibilità di richiedere il rinnovo della CIE anche prima dei 180 giorni dalla scadenza al chiaro scopo di accelerare la diffusione del documento di identità elettronico. Questa ipotesi normativa può essere efficace se meccanismi di emissione della CIE vengono migliorati. Ancora oggi nei grandi centri i tempi di attesa sono di circa 3 mesi fino a 5. Aumentare il numero di richiedenti porterebbe senza dubbio a ritardi con allungamento dei tempi di rilascio. Ricordiamo anche che la CIE non è gratuita (il costo è fissato dal Ministero dell’Interno è di 16,79 euro al netto dei diritti di segreteria di 5,16 euro).
Ritorno economico dei gestori d’identità
Proseguendo l’analisi possiamo affermare che la riforma dell’identità digitale è una decisione di natura politica. Il modello vigente di SPID basa la sua sostenibilità economica sui servizi che i privati erogano nel modello di gestori di servizio con il pagamento delle tariffe determinate da AgID in totale concertazione del mercato. Questo ritorno economico non c’è stato, anche se è indubbio che gli attuali gestori di identità ancora ritengano di poter avere un ritorno economico visto che, senza avere alcun obbligo, continuano a svolgere tale attività.
Rimane il fatto che il modello di business è stato proposto dalla politica oltre sei anni fa e il mercato ha aderito e continua a farlo.
SPID è operativo dal 15 marzo 2016 quindi sta per compiere quattro anni. AgID comunica (dati del 18 febbraio 2020) che sono circa 5.850.000 le credenziali emesse mentre il Viminale indica il numero di circa 14.400.000 per le CIE rilasciate. Questa circostanza evidenzia che il ruolo della CIE nell’identità digitale è cruciale.
Certamente la CIE è richiesta da tutti i cittadini a prescindere dai possibili utilizzi tecnologici, lo SPID è richiesto da chi intende farne uso.
L’AgiD mostra sul proprio sito che nel 2019 sono stati oltre 55 milioni i processi di autenticazione con SPID, circa 6 milioni nel gennaio 2020. Non si dispone di dati sull’utilizzo della CIE.
Il nodo sicurezza e sviluppo dei servizi
Per quanto attiene al modello di funzionamento, la CIE consente di accedere ai servizi tramite lo stesso modello della TS-CNS, quindi non esistono problemi di protezione dei dati o di sicurezza diversi da quelli affrontati ad oggi.
L’intermediazione dell’accesso con un ipotetico gestore unico è tecnicamente inutile.
In tutto questo gran parlare di cose ipotetiche, poco si fa sullo sviluppo dei servizi, poi da integrare nell’APP IO, anche a supporto delle amministrazioni più “deboli” (cosa fatta per l’accesso ad ANPR). Altrettanto poco si dice e si fa sulle caratteristiche funzionali della CIE, sulla qualifica di lettori efficaci per le sue funzionalità e sull’utilizzo dell’APP in ambiente Android per l’accesso obbligatorio ai servizi in rete, vista la notifica in Europa della CIE come schema di autenticazione.
Deve essere giudicato positivamente il tentativo di normare a livello primario le caratteristiche di autenticazione della CIE, cosa che oggi è nei fatti ma non nel CAD. Positiva anche la volontà di segnare la fine ordinata della CNS, duplicato della CIE sul piano dell’identità in rete.
Cosa possiamo ipotizzare nel breve periodo ce lo dice direttamente la Ministra Pisano nella già citata intervista “… per questo oggi lavoriamo con la normativa vigente per far crescere l’identità digitale e i servizi, che è il nostro vero scopo. Il Presidente del Consiglio aveva posto chiaramente l’obiettivo di rilasciare SPID a tutti gli italiani entro l’anno, chiediamoci se sia più importante raggiungere questo risultato oppure continuare a cercare la convergenza politica a tutti i costi”.
L’aspetto politico è fuori dai temi che affrontiamo in questa sede, senz’altro cambiare tutto per accelerare i tempi è un concetto che lascia perplessi ma che solo un piano dettagliato potrebbe svelare nei suoi sorprendenti e ambiziosi obiettivi. Certamente se è utile all’accelerazione della diffusione dell’identità digitale, il Poligrafico e PagoPa potrebbero tranquillamente accreditarsi secondo le norme vigenti operando in un democratico ed equilibrato spazio sia pubblico che privato.