Il Titolo III del decreto Semplificazioni “Misure di semplificazione per il sostegno e la diffusione dell’amministrazione digitale”, ha importanti conseguenze sull’uso e la diffusione delle identità digitali. Lo abbiamo analizzato con il gruppo di lavoro aperto #ClubTI4SPID.
Ecco le novità che riteniamo più importanti per cittadini, pubbliche amministrazioni e soprattutto per le imprese, sulle quali si concentra la nostra prospettiva. Molte ci sembrano positive, perché stimolano la diffusione delle identità digitali con bastone e carota: imponendola da una parte e potenziandone i benefici dall’altra, e soprattutto perché usano queste identità come infrastruttura per la trasformazione digitale di processi e interazioni tra cittadini, imprese e pubblica amministrazione.
Attenzione: il tema vede interpretazioni molto diverse, e ben più critiche della nostra, da parte di esperti sulla materia, compresi alcuni membri del nostro stesso gruppo di lavoro.
Tutto quel che segue è un’interpretazione personale che abbiamo sviluppato da appassionati non specialisti, scegliendo una prospettiva specifica: come la diffusione crescente delle identità digitali, alla quale questo decreto-legge vuole contribuire, e crediamo contribuirà in misura significativa, rende sempre più utile per le imprese adottarle.
Per questa interpretazione ci basiamo in particolare su:
- La ricostruzione di Giovanni Manca su come la versione definitiva di questo decreto cambia il Codice dell’Amministrazione Digitale (CAD)
- La relazione illustrativa.
La diffusione delle identità digitali
Cosa dispone il decreto semplificazioni per potenziare la diffusione delle identità digitali?
- L’articolo più rilevante su questo tema è il numero 24. Questo estende l’uso delle attuali identità digitali, SPID e CIE, e del domicilio digitale, in sostituzione di procedure analogiche, di persona o su carta, nei servizi pubblici. In particolare, li estende ai processi delle concessionarie di servizi pubblici e delle società a controllo pubblico, oltre che a quelli delle pubbliche amministrazioni.
Questa scelta conferma inequivocabilmente ruolo (e coesistenza) di SPID e CIE, sgombrando il campo dai dubbi che molti hanno usato a lungo per rinviare anche solo di valutarne l’adozione.
D’altra parte, per poter permettere l’uso di domicili digitali a un pubblico più esteso, sono stati necessari interventi complessi sia sulle regole per gestirli, sia e soprattutto sulle regole che rendono valida la notifica delle comunicazioni a questi recapiti. È questo uno dei temi sui quali si concentrano le perplessità di alcuni esperti: alcune delle disposizioni potrebbero essere difficili da accettare per il cittadino (e quindi generare contestazioni anche ben fondate, ricorsi e ritardi), o contraddittorie.
In particolare l’uso di SPID e CIE va esplicitamente a sostituire l’esibizione del documento di identità, oggi frequente quanto rituale sia per le pubbliche amministrazioni, sia per imprese e cittadini: quante volte abbiamo inviato una copia digitale della carta di identità, debitamente corredata di una dichiarazione autografa di autenticità della copia? Quante copie e dichiarazioni simili, brulicanti di dati personali, abbiamo dovuto archiviare per dimostrare di aver adeguatamente verificato l’identità dei nostri clienti? - Lo stesso articolo 24 stabilisce finalmente una data per lo switch-off: dal 28 febbraio 2021 le pubbliche amministrazioni dovranno identificare i cittadini solo con SPID e CIE (e con CNS). (Fanno eccezione gli accessi dei cittadini in quanto collaboratori di imprese, in attesa, almeno secondo la relazione illustrativa al decreto, di maggior diffusione dello SPID per uso professionale.)
- Si rende pure obbligatorio per tutte le pubbliche amministrazioni erogare tutti i propri servizi anche in forma digitale, con autenticazione tramite SPID e CIE e accesso anche da dispositivi mobili almeno tramite la app IO.
Questo è utile per stabilire il criterio che il funzionamento digitale, e in particolare da dispositivi mobili è essenziale anziché accessorio per i processi della pubblica amministrazione. Fantascienza? Per alcuni dei servizi probabilmente, forse per molti. Eppure, da cittadini ci piace pensare che un indirizzo così netto aiuterà a superare mezze misure, eccezioni, sospensioni che in ogni momento dato sono indubbiamente necessarie e però si prolungano spesso indefinitamente, diventando altrettanti freni per la trasformazione.
Il vero dubbio è che quest’obbligo richiede interventi importanti, complessi e onerosi sulle procedure informatiche delle pubbliche amministrazioni – e ancor più sulle procedure operative, gli atteggiamenti e la cultura. Come arrivarci?
Il legislatore ne sembra consapevole, visto che l’obbligo è solo di avviare “i relativi progetti di trasformazione digitale” entro febbraio 2021. Progetti simili potrebbero ben prevedere tempi lunghi per l’avvio, e subordinare la conclusione al verificarsi di eventi altamente improbabili, pianificando di fatto il rinvio a oltranza della trasformazione.
Apprezziamo quindi questo obbligo come dichiarazione di principio e di indirizzo, temiamo che sia tanto lontano dalla realizzabilità pratica da essere “necessariamente” aggirato e quindi aiutare a nascondere più che ad affrontare le difficoltà concrete. Aggiunge tensione e rischio l’introduzione di penalizzazioni significative per le amministrazioni che ignoreranno l’obbligo: riduzione della retribuzione variabile per i dirigenti responsabili di violazione e il divieto di premi e incentivi in tutte le loro strutture! Sicuramente il governo pigia il pedale dell’acceleratore e fa rombare il motore, ora vediamo che succede quando ingrana la marcia. - L’articolo 25 vuole semplificare la gestione degli Identity Provider SPID e soprattutto aprire ad altri soggetti la conservazione dei documenti informatici, oggi riservata a soggetti specificamente accreditati. Altri commenteranno meglio obiettivi e conseguenze di queste modifiche.
- Anche l’articolo 26 impone qualcosa di potenzialmente molto utile ma assai complesso da realizzare, proceduralmente prima ancora che tecnicamente: l’estensione a tutte le notifiche delle pubbliche amministrazioni, e di agenti e soggetti incaricati di attività di riscossione, della piattaforma per la notificazione che la pubblica amministrazione usa già in casi molto più specifici. Anche qui, come per il domicilio digitale ad essa strettamente collegato, si percepisce il desiderio di tutelare chi ha poco o nessun accesso a strumenti digitali. Tuttavia, la norma potrebbe imporre a cittadini e organizzazioni obblighi concretamente difficili da soddisfare o, peggio, facili da contestare sviluppando contenziosi paralizzanti. Temiamo possa essere un altro esempio di complessità eliminata solo in apparenza. Si pensi in particolare al “perfezionamento” dell’effetto della notificazione in situazioni complesse con recapiti digitali “saturi” o mal funzionanti, e alle regole tutt’altro che semplici necessarie per gestire queste situazioni, spesso costruite ad arte da organizzazioni o individui prestanome per rendere irraggiungibili i propri responsabili.
- Curioso e forse utile l’art. 27, nel quale se capiamo bene si esplicita che SPID e CIE e i loro equivalenti europei eIDAS di livello “significativo” (pari al secondo livello SPID) debbano essere ammesse per l’identificazione degli utenti di servizi digitali bancari e simili, in particolare in fase di onboarding, cioè di prima identificazione e adeguata verifica dell’identità di un cittadino cliente al momento della sottoscrizione del contratto per nuovi servizi finanziari.
Sembra che il legislatore qui voglia sollevare cittadino e istituzione finanziaria dall’obbligo di conservare copia di un documento di identità come storicamente previsto per queste situazioni, e questo sarebbe un sollievo come l’obiettivo equivalente per la pubblica amministrazione descritto sopra.
Peraltro, alcuni esperti ritengono che già le disposizioni dell’Unione Europea prevedano quest’obbligo, e allora sarebbe peggio che inutile introdurlo qui in una disposizione nazionale ridondante o nulla. In ogni caso alcuni IdP SPID, e magari altri soggetti, già offrono questo servizio, con FEA proprietarie e recentemente anche con FEA rilasciate a soggetti identificati tramite SPID di livello 2. Poca o punta novità, quindi.
Sviluppo ed evoluzione dei sistemi informativi delle PA
Gli articoli finali di questo Titolo III formulano importanti indirizzi generali sullo sviluppo e l’evoluzione dei sistemi informativi delle pubbliche amministrazioni, ad esempio:
- Imponendo che questi vengano progettati e realizzati in modo da permettere l’uso da parte dei dipendenti che lavorano a distanza dagli uffici – un presupposto per un vero smart working nella pubblica amministrazione. Ad oggi numerosi uffici pubblici di importanza fondamentale per lo svolgimento delle attività personali e imprenditoriali in Italia, pur dove fortemente informatizzati, sono impossibilitati a funzionare se il personale non si trova materialmente al proprio posto di lavoro. Si cerchino ad esempio le linee guida del Presidente del Tribunale di Milano del 10 aprile 2020, pubblicate in quella data sul sito del tribunale stesso, successivamente ritirate dalla pubblica visibilità ma ancora reperibili online presso altre organizzazioni. Si avviava allora ad opera del Capo dell’Ufficio una verifica della situazione “nel periodo e sino al 30 giugno” considerato che il lavoro “a remoto [era] anch’esso a sua volta condizionato dal fatto che il personale, allo stato, non ha accesso ai registri di cognizione civile e penale e, quindi, può fornire un apporto limitato rispetto alle esigenze dettate dall’attività sia pur limitata in corso”
- Attribuendo a Sogei un ruolo di “innovation broker” per facilitare la soddisfazione sul mercato della domanda di soluzioni innovative da parte della pubblica amministrazione. Con questo si escludono dall’attuale convenzione con CONSIP le acquisizioni da parte di pubbliche amministrazioni di tecnologie particolarmente innovative.
- Imponendo, anche con l’introduzione di specifiche penalizzazioni per i dirigenti pubblici che non ottemperassero e le loro strutture, di progettare e realizzare questi sistemi in aderenza a un “Codice di condotta tecnologica” nazionale che ne garantisca interoperabilità, sicurezza e altre caratteristiche desiderabili, e di rendere disponibili gratuitamente e interoperabili dati delle pubbliche amministrazioni e dei concessionari di servizi pubblici, tramite la Piattaforma Digitale Nazionale Dati.
- Imponendo il progressivo consolidamento di infrastrutture e servizi informatici delle pubbliche amministrazioni che non rispettino determinati requisiti: verso un’infrastruttura centralizzata nazionale o altre che rispondano a requisiti stabiliti da AgID.
- Introducendo misure di “semplificazione amministrativa per l’innovazione”, come anticipato a dicembre nel Piano Italia 2025.
Nel complesso, ci sembra di riconoscere alcuni interventi di indirizzo, o chiarimento di indirizzi, l’esplicitazione e la sanzione di alcuni obblighi e in generale azioni di impulso in varie direzioni della trasformazione digitale della pubblica amministrazione e del suo rapporto con cittadini e imprese.
Resta da valutare l’efficacia di questa spinta nelle condizioni concrete dell’ambiente normativo nazionale, cioè in ultima analisi l’efficacia della “semplificazione” nell’ambito della trasformazione digitale del paese.
Sicuramente il decreto conferma il futuro e il ruolo delle identità digitali nazionali nel funzionamento del sistema paese, rispondendo anche all’esigenza impellente emersa nei mesi del primo grande blocco allo spostamento fisico dei residenti nella storia dell’Italia in tempo di pace. Per quanti alcuni aspetti restino da chiarire, e altri dubbi emergano, l’impressione di una svolta nella trasformazione digitale delle interazioni tra cittadini e organizzazioni, pubbliche e private è fortissima, e benvenuta
Cosa manca in questo panorama di attività e iniziative di amplissimo respiro? Curiosamente, disposizioni altrettanto cogenti per equipaggiare le identità digitali di attributi qualificati, pur previsti e annunciati da anni con le attribute authority. Permettere a chi si identifica digitalmente di far confermare da pubbliche amministrazioni, ordini e associazioni certi attributi della sua identità – come la capacità di firmare un progetto o un referto sanitario, o la semplice patente di guida, darebbe un impulso ancora più potente alla semplificazione dei processi. Siamo convinti che le difficoltà qui siano organizzative più che tecniche, magari dovute alla disponibilità delle organizzazioni che oggi per conto dello stato attestano questi attributi.
Si propone, o meglio si ripropone a questo punto la questione di comunicare ai cittadini e ancor più alle imprese il senso e le opportunità del cambiamento in atto da anni su molti degli ambiti che il Titolo III del decreto semplificazioni richiama.
Vediamo a che punto siamo, per ciascuna delle due identità digitali nazionali che il decreto stesso ha messo al centro del funzionamento del sistema paese: CIE e SPID.
CIE: comunicare e organizzare i servizi per le imprese
CIE procede spedita, con più di 15,6 milioni di carte emesse, più di 300 mila emissioni in giugno e le altre novità segnalate nel nostro articolo precedente.
Qui la questione della comunicazione alle imprese, e dell’assistenza alle imprese per l’adozione è essenziale, almeno sulla base delle nostre verifiche in alcuni casi puntuali:
- Dobbiamo ancora trovare dati pubblici storicizzati sulla diffusione della CIE, e in particolare degli effettivi accessi dei cittadini a servizi digitali tramite CIE. È questo, lo abbiamo visto fin da ottobre, il parametro chiave per valutare diffusione e successo di un’identità digitale, ben più significativo del numero di identità esistenti!
- È disponibile a organizzazioni pubbliche e private il manuale operativo per gli erogatori di servizi. Eppure, ci è capitato più di una volta che imprese interessate a integrare l’accesso con CIE ai servizi digitali propri o di alcune pubbliche amministrazioni chiedessero a noi come si fa. Li mettiamo con piacere in contatto con i nostri amici competenti e generosi del proprio tempo, sperando ogni volta, finora inutilmente, che questi ci rinviino invece ad un servizio erogato dal Ministero dell’Interno o dall’Istituto Poligrafico e Zecca dello Stato (IPZS), un servizio del quale possiamo solo augurarci l’allestimento.
- Benché CIE, diversamente da SPID, possa essere adottata da qualsiasi impresa gratuitamente e senza alcuna procedura formale di verifica, almeno un’impresa che recentemente ha integrato CIE nei propri servizi digitali attende al momento in cui scriviamo dal ministero autorizzazione a partire.
Se capiamo bene, Istituto e Ministero stanno ora riesaminando l’opportunità di introdurre alcune verifiche sulle imprese che usano CIE come strumento di autenticazione.
Ognuno dei tre punti precedenti, per quanto aneddotici, testimonia insieme dell’interesse di almeno alcune imprese innovative ad adottare CIE come strumento di autenticazione per i propri servizi digitali, e di importanti lacune nei processi di supporto a queste organizzazioni e nella comunicazione relativa.
Saremmo lieti, come Club TI Milano e come gruppo di lavoro aperto #ClubTI4SPID, di contribuire da volontari, a un’iniziativa che colmi queste lacune, così come abbiamo il piacere e l’occasione di fare su SPID.
SPID: ha svoltato, ora comunichiamo la novità a cittadini e imprese
SPID continua ad accelerare la crescita. A fine maggio aveva appena superato i 7 milioni di identità attive, il mese dopo sfiorava già gli 8 milioni, ampiamente superati già il 7 luglio! (Per confronto, ci erano voluti 9 mesi per arrivare al primo milione, 11 per il secondo, ben 12 per il terzo.) Soprattutto, e molto più importante, cresce ancor più in fretta il numero di accessi al mese: se nel 2019 i cittadini avevano usato SPID meno di cinque milioni di volte al mese in media, a marzo, aprile e maggio 2020 ci sono stati rispettivamente 6,6 milioni di accessi, poi 7,7 milioni, e poi 9,3 milioni.
Ѐ poi arrivato il primo risultato del tavolo di lavoro 3 del comitato guida SPID, con AgID e il ministero dell’innovazione, dedicato ad accelerare l’adozione da parte delle pubbliche amministrazioni: INPS, una delle grandi pubbliche amministrazioni centrali che contano il maggior numero di accessi digitali con SPID ha annunciato un graduale ma importantissimo switch-off dei propri strumenti di autenticazione (“PIN”) proprietari, anche prima dell’obbligo disposto dal decreto semplificazioni per il 21 febbraio.
Finalmente un segno tangibile che anche nelle pubbliche amministrazioni SPID ha svoltato! Era da febbraio 2019 che #ClubTI4SPID appena nato chiedeva di accelerare lo switch-off, proprio per comunicare questa svolta; forse ci siamo.
Infine, AgID ha pubblicato diversi avvisi con disposizioni che aprono la strada alla convenzione per gli aggregatori di servizi privati che probabilmente avremo prima di settembre. Si tratta delle imprese che potranno offrire ad altre, a pagamento, assistenza e supporto per usare i servizi SPID. Riteniamo queste organizzazioni uno strumento essenziale per inserire i servizi SPID nel normale mercato dei servizi digitali B2B e quindi permettere alle imprese di adottarla come qualsiasi altra innovazione digitale, cioè comprando l’assistenza di imprese specializzate.
Più lontano pare invece il risultato del secondo tavolo del comitato guida SPID, una campagna di comunicazione su SPID per i cittadini. In assenza di comunicazioni ufficiali e di un piano pubblico, le stesse fonti che poche settimane fa ipotizzavano l’avvio a luglio oggi parlano di settembre o addirittura “dopo l’estate”.
Crediamo che questo sia un freno significativo, e ancor più limitativa sia la scelta del tavolo di escludere dal proprio programma di lavoro una comunicazione su SPID verso le imprese
Se capiamo che Ministero dell’Innovazione e AgID debbano mettere la comunicazione verso i cittadini prima di tutto, siamo convinti che per sostenere la crescita di SPID e CIE sia necessario che le adottino le imprese, e per questo sia necessario che sappiano come e perché.
Per questo, grazie al fatto che il clima nell’ecosistema SPID è molto più positivo oggi di un anno fa, stiamo lanciando l’erede della nostra iniziativa dell’estate scorsa, allora stroncata dai ripetuti tentativi che il governo fece per far gestire un’identità digitale unica, solo allo stato congedando gli Identity Provider.
Abbiamo quindi invitato gli stessi IdP innanzitutto, e poi associazioni con le quali collaboriamo e alcune associazioni di categoria, ad organizzare insieme una campagna di comunicazione per settembre, magari coordinata con quella che speriamo il ministero dell’innovazione e AgID lanceranno presto per i cittadini.
Le prime verifiche informali sono positive, con due IdP interessati e due che hanno già confermato la propria disponibilità ad attivarsi mentre scriviamo. Lavoreremo nelle prossime settimane per definire partecipanti, contenuti e modalità della campagna.
Per seguire gli sviluppi dell’iniziativa, aderisci al gruppo LinkedIn di Club TI Milano.
Per valutare di diventare soggetto aggregatore privato (chi aiuta altre imprese ad usare SPID), o partecipare alla prima campagna di comunicazione su SPID per le imprese, iscriviti al Club.
