L’identità digitale dei cittadini è il punto di partenza di qualunque trasformazione digitale; senza, si può fare davvero poco.
Certo, possiamo rilassare molti requisiti per una transizione al digitale accelerata e che possa rovesciare lo scenario di arretratezza del Paese, ma difficilmente potremmo prescindere da un sistema di autenticazione unico, europeo, sicuro.
Il tutto mentre in Italia convivono una molteplicità di strumenti – Tessera Sanitaria – Carta Nazionale Servizi, Sistema Pubblico d’Identità Digitale (SPID) e Carta d’Identità Elettronica, per gli amici TS/CNS, SPID e CIE – che, per chi vede il bicchiere mezzo pieno consentono una più ampia e veloce diffusione dell’identità digitale (un italiano su tre ne ha almeno uno); per chi lo vede mezzo vuoto rappresentano uno spreco di energie e di risorse.
Vogliamo focalizzare la nostra riflessione su Spid e su alcune questioni di fondo che proviamo ad aggregare in due dimensioni o punti di osservazione.
La scelta (lo scenario e l’approccio culturale)
Il dibattito su Spid e sulle identità digitali si sviluppa su vari livelli, dura da anni, è interminabile, estenuante. Spid e la CIE sono una scelta. Fatta. Andiamo in fondo. E nel percorso non teniamo la testa bassa e cerchiamo tutti i miglioramenti possibili. Potremmo fermarci qui, alla raccomandazione di metodo.
Ma l’incerto committment sul vincolo all’identità digitale è tentacolare, in alcuni momenti è generale, di processo complessivo, in altri tecnologico, in altri ancora specifico, legato a una applicazione puntuale a questo o quel servizio o target di utilizzatori.
Occorre fare attenzione a una svista in cui ci pare si cada frequentemente e che rischia di farci finire in un circolo vizioso. Proviamo a metterci in questo scenario: una PA definisce una norma, interviene su una misura nazionale o attiva una azione – mai così frequentemente in questo periodo di reazione al grave contesto della pandemia – per la quale serve un servizio on line che mappi il processo tra i destinatari e la PA stessa. I cittadini devono produrre una istanza, chiedere un contributo o accendere un processo.
Il primo problema è naturalmente quale debba essere il sistema di autenticazione e all’apparire dell’acronimo incriminato spesso ci si blocca. Non tutti hanno Spid, Spid è difficile, alza la barriera all’ingresso. Non vogliamo qui aprire un dibattito che già tanto e più autorevolmente è stato condotto tra la comparazione tra Spid e altri sistemi, se sia più alta la barriera del supporto fisico, del lettore di smart card estratto aggrovigliato dallo zaino insieme alla merenda rispetto alla notifica in-app/fingerprint (il dito è sempre storto accidenti) e via discorrendo a cui ci costringe Spid. Vorremmo rompere gli indugi e avere fiducia nei nostri interlocutori, fiducia che si procurino Spid quanto prima, vadano di corsa dall’Idp che desiderano, configurino l’identità digitale e lo usino. Facciamo un mindshift, cambiamo paradigma. Progettiamo davvero Servizi on line SPID/CIE-first, vincolati all’identità digitale, accompagnati da iniziative costanti di guida ai cittadini e alle imprese verso questi strumenti e solo questi. Sviluppiamo e approfondiamo la collaborazione tra IDP e PA per la diffusione dell’identità digitale.
Mettiamo da parte, non senza un residuo di preoccupazione, ma con fermezza il “non siamo ancora pronti” o il “meglio tenere aperte tutte le porte possibili”. Il vincolo all’identità digitale qualche danno lo farà, qualche malcontento lo genererà. Creiamo – si perdoni il paradosso e la forzatura a cui qualche economista potrà giustamente rabbrividire – con coraggio il lock-in. Spid è un sano lock-in.
I nostri servizi on line lo sappiamo da sempre trascinano l’identità digitale come la contingenza dell’ultimo periodo ha trascinato la consapevolezza che lo smart working non è un rimedio ma può diventare una soluzione strutturale – pur con attenta declinazione – ad alcuni grandi problemi. Non finiamo nel loop di continuare a fare servizi online senza identità digitale e a non avere identità digitali attive perché non ci sono servizi on line per utilizzarla (e quindi nessuno ne sente il bisogno). Hands-on si diceva un tempo, se i cittadini ci mettono le mani sopra ce la fanno, tutti.
Il processo di funzionamento (cosa deve funzionare, per forza)
L’emergenza da pandemia Covid19 e i relativi obblighi del distanziamento sociale ci hanno costretti a una migrazione digitale che da un lato ha permesso di mostrare come sia possibile già oggi realizzare moltissime attività a distanza, dall’altra ha mostrato l’assenza di soluzioni solide per tutti i cittadini, soprattutto per i servizi della pubblica amministrazione. Riteniamo quindi importante che l’azione di trasformazione digitale, in questa fase di ripresa dall’emergenza, inizi dal consolidamento dei fondamentali ed il primo aspetto da analizzare, a nostro parere, è l’interazione (engagement direbbero alcuni) con i cittadini ed in particolare la loro identificazione ed autenticazione come punto di partenza dell’interazione. Non ci interessa discutere della strategia nazionale, ma della gestione nella singola PA ed in locale in particolare per minimizzare le risorse e massimizzare i risultati.
La TS-CNS, o tesserino del codice fiscale, è posseduta dalla quasi totalità dei cittadini italiani, oltre il 97%, è emessa dal Ministero delle Finanze, scade ogni 5 anni, ha a bordo un chip che consente la lettura con device come lettori di smart card e viene attivata dalle strutture preposte dalle singole Regioni e Province Autonome (in genere gli sportelli delle aziende sanitarie), non ci sono dati esatti del numero di carte attivate a livello nazionale, ma dovrebbero essere fra il 10 ed il 15%, quindi circa 10 milioni di cittadini.
Spid, attivabile dai cittadini maggiorenni a tre livelli di sicurezza, è posseduta da circa 8 milioni di cittadini, è distribuita gratuitamente ai cittadini per i livelli 1 e 2 da una decina di operatori qualificati (uno pubblico, tutti gli altri privati), per i livelli 1 e 2 non necessita di un supporto fisico ed utilizza diversi canali, come sms, app o chiavi biometriche, oltre a username e password, per comunicare o attivare un secondo codice di sicurezza, coerentemente con il modello europeo per le identità digitale (eIDAS).
La CIE è la versione elettronica della carta di identità, è posseduta su supporto fisico da oltre 15 milioni di cittadini, ha a bordo un chip che consente di comunicare con tecnologia NFC con uno smartphone o con un lettore NFC, è emessa dal comune per il tramite del Ministero dell’Interno e dell’Istituto Poligrafico Zecca dello Stato e con l’emissione vengono fornite le credenziali per attivarla, corrisponde ad una identità SPID di terzo livello. Ha una scadenza che varia in base all’età del cittadino al momento dell’emissione, tre anni per i piccoli fino a 3 anni, 5 anni per i minorenni e 10 anni per i maggiorenni.
In ogni territorio i dati di diffusione dei tre sistemi hanno percentuali leggermente diverse, a Trento ad esempio vi sono 140 mila TS-CNS attive, 30 mila identità SPID e 80 mila CIE, quindi non conoscendo quante sono le sovrapposizioni, ossia cittadini con due o più identità attive, a Trento ci sono da un minimo di 140 mila (25%) ad un massimo di 250 mila (45%) cittadini con almeno una identità digitale attiva, possiamo quindi affermare che è molto probabile che un cittadino ogni tre abbia una identità attiva e siccome le attivazioni sono in continua crescita, possiamo dire che abbiamo già oggi una importantissima porzione di popolazione che non ha ostacoli ad accedere ai servizi digitali della PA.
Tre punti da risolvere
La diffusione delle identità digitali però è uno degli elementi abilitanti, ma non è l’unico, per poter pianificare e progettare una PA digitale, anche limitandosi al solo aspetto dell’accesso ai servizi bisognerebbe anche risolvere tre questioni con le quali tutte le PA hanno a che fare a partire dalle identità digitali:
- Poterle utilizzare al meglio sugli strumenti mobili, perché nessuno dei tre sistemi è nato per il mobile, e per porvi rimedio sono state redatte e messe in consultazione pubblica le linee guida Open ID Connect, solo che non sono mai diventate definitive e rese pubbliche da parte di AgID, nonostante la consultazione pubblica sia terminata nell’autunno 2019;
- Definire un framework di riferimento per gestire le deleghe (legate al singolo servizio) o le tutele (valide giuridicamente per tutti i servizi di qualunque PA e non solo), perché nella vita reale di tutti i giorni soprattutto per i minorenni, ma non solo, sono casi molto, molto frequenti;
- Affrontare e risolvere il tema delle attribute authority, anche in questo caso elemento fondamentale per una grande percentuale di servizi digitali della PA.
L’emergenza ci ha portato in evidenza l’essenza della trasformazione digitale e una gran consapevolezza dell’importanza della stessa, non lasciamoci scappare questa occasione, diamo attuazione in sede locale alle progettualità sul digitale e risolviamo a livello centrale le questioni più importanti, perché i cittadini nel prossimo autunno si aspettano una PA digitale ci sia o meno una nuova epidemia, si aspettano una sanità con tanta telemedicina, un accesso ai servizi scolastici in modalità digitale e la possibilità di effettuare quasi tutte le pratiche a distanza con qualunque PA, non possiamo ignorarlo.
