Dal 28 febbraio 2021 è scattata l’obbligatorietà, posta dall’art. 24 del DL. 76/2020, dell’accesso ai servizi online della Pubblica Amministrazione con SPID e CIE; inoltre, sempre dal 28 febbraio 2021, è fatto divieto – sempre alle PPAA – di rilasciare o rinnovare credenziali per l’identificazione e l’accesso dei cittadini ai propri servizi in rete, diverse da SPID, CIE o CNS, fermo restando l’utilizzo di quelle già rilasciate fino alla loro naturale scadenza e, comunque, non oltre il 30 settembre 2021.
Sembra quindi arrivato il momento dello switch off, per lo meno relativo alle modalità di accesso per i servizi in rete, che si aspettava da tempo: consideriamo infatti che l’utilizzo di SPID sarebbe dovuto diventare obbligatorio dopo 2 anni dall’inizio della sperimentazione, terminata a marzo 2018.
Facciamo allora il punto sullo stato dell’arte del sistema pubblico di identità digitale e sugli ulteriori step necessari per una piena messa a regime.
SPID: a che punto siamo
I dati sulla diffusione
Prendendo come riferimento i dati di Agid, sono più di 17 milioni le identità SPID rilasciate: nei primi cinque mesi del 2020 sono state rilasciate circa 76 mila identità, nei successivi sette mesi 2020 circa 262 mila identità, e nel mese di gennaio 2021 circa 261 mila identità.
Lo SPID è stato utilizzato per effettuare accessi a servizi in rete:
- nel 2019: oltre 55 milioni di volte;
- nel 2020: 143.872.687 volte;
- nel mese di gennaio 2021: 30.493.737 volte.
La ragione di questi picchi è data essenzialmente da due motivi:
- La pandemia, che ha “costretto” moltissimi cittadini ad utilizzare maggiormente servizi telematici, invece di recarsi a sportelli fisici o utilizzare altre modalità
- La crescente quantità di servizi “SPID only”, che richiedono esclusivamente le credenziali di identità digitale per l’accesso.
A che punto sono le PA
Secondo i dati Agid, le Amministrazioni attive sono 5.480 (Ultimo aggiornamento: 17/02/2021), quindi – prendendo come base di riferimento l’indice PA, (in cui però ci sono anche i gestori di pubblico servizio) sono parecchie le PA mancanti, come ad esempio gli istituti scolastici, che nella maggior parte dei casi non si sono ancora adeguati a SPID.
Tutto questo anche al netto della proroga concessa fino alla fine dell’emergenza virus ai 5mila comuni con meno di 5mila abitanti.
Ci sono anche esperienze esemplari, come quella di Inps e dell’Agenzia delle Entrate, che si sono già attrezzate per rispettare la normativa.
Costi per il cittadino
L’identità digitale SPID ai cittadini è gratuita: infatti, nel novembre 2019 tutti i gestori di identità digitale si sono impegnati a fornire per sempre le credenziali SPID di livello 1 e 2 ai cittadini gratuitamente.
Si è così risolta una questione che nei primi tempi ha sollevato parecchi dubbi tra i cittadini e gli addetti ai lavori.
SPID e la firma digitale
Da qualche tempo, la firma digitale può essere ottenuta anche utilizzando lo SPID come sistema di riconoscimento. Tra i certificatori che hanno reso disponibile questa possibilità, sono attualmente attivi Infocert e Namirial. Quest’ultima fornisce anche la possibilità di effettuare una sola firma (firma usa e getta).
I servizi prevedono l’accesso con credenziali SPID di livello 2, in questo modo il cittadino ha la possibilità di dimostrare con certezza la sua l’identità e ottenere la firma digitale.
L’identità digitale SPID per uso professionale
Con la Determinazione n. 318/2019, Agid ha approvate le Linee Guida e previsto la possibilità di utilizzare SPID anche per provare l’appartenenza di una persona fisica all’organizzazione di una persona giuridica e/o la sua qualità di professionista. Le identità in questione, al contrario, non costituiscono prova dei poteri di rappresentanza di una persona giuridica dei quali una persona fisica è eventualmente in possesso né l’appartenenza di un professionista a un determinato ordine professionale o altro elenco qualificato.
Alla data del 10 marzo 2020 i gestori di identità digitale che forniscono l’identità digitale SPID per uso professionale sono:
- Namirial
- Register
Firma con SPID
Le Linee Guida emanate da Agid nel 2020, il cui obiettivo è quello di favorire il processo di completa digitalizzazione dei documenti, danno la possibilità di firmare atti e contratti utilizzando le credenziali SPID – con lo stesso valore giuridico della firma autografa – soddisfacendo così il requisito della forma scritta e producendo gli effetti dell’art. 2702 del codice civile.
Le regole disciplinano le modalità con cui i fornitori di servizi online possono permettere agli utenti di sottoscrivere atti e contratti tramite la loro identità digitale, e il sistema può essere utilizzato sia dai fornitori di servizi privati sia dalle Pubbliche Amministrazioni e consente di sostituire la firma autografa nella quasi totalità dei casi.
Riconoscimento da parte delle Pubbliche Amministrazioni
Con altre Linee Guida AGID ha dato la possibilità alle PA di effettuare l’identificazione delle persone fisiche, attività propedeutica al rilascio dell’identità digitale SPID da parte degli Identity Provider accreditati, istituendo un sistema di Registration Authority pubblica, a servizio degli Identity Provider accreditati.
Il documento ha inteso dare risposta all’esigenza, rappresentata dalle pubbliche amministrazioni, di incentivare l’uso di SPID per l’identificazione degli utenti dei propri servizi digitali.
Soggetti aggregatori
Al fine di rendere più snelle e veloci le procedure amministrative di adesione a SPID, è stata creata la figura dei “soggetti aggregatori”, cioè pubbliche amministrazioni o privati che offrono a terzi (soggetti aggregati) la possibilità di rendere accessibili tramite lo SPID i rispettivi servizi.
Possono essere aggregatori di servizi pubblici e aggregatori di servizi privati.
I soggetti aggregatori possono svolgere per il soggetto aggregato la solo funzione di autenticazione con SPID oppure ospitare l’intero servizio.
Tali soggetti agevolano l’ingresso nella federazione SPID dei fornitori di servizi che non ritengono conveniente attivare presso di loro la struttura necessaria per esporre i propri servizi in rete tramite l’autenticazione con lo SPID.
A titolo esemplificativo, le Regioni e le Province possono avere un ruolo molto importante di supporto alle piccole pubbliche amministrazioni presenti sul loro territorio.
SPID nell’Unione Europea
A seguito del completamento della procedura di notifica dello SPID, ultimato da Agid con la pubblicazione nella Gazzetta Ufficiale dell’Unione Europea (GUUE C318 e GUUE C344 del 2018), a decorrere dal 10 settembre 2019 l’identità digitale SPID potrà essere usata per l’accesso ai servizi in rete di tutte le pubbliche amministrazioni dell’Unione. Questo diritto, introdotto dal regolamento eIDAS, potrà essere anticipato dagli Stati membri che potranno decidere se consentire l’accesso anche ai propri servizi che prevedono l’uso di credenziali di livello 1. Per l’accesso a servizi che prevedono l’uso di credenziali di livello 2 e 3, è prevista l’obbligatorietà di consentire l’accesso con le credenziali SPID di pari livello.
Cosa manca per una completa messa a regime dell’utilizzo di SPID
A parte l’arrivo degli enti mancanti all’appello, ci sono alcuni tasselli da mettere a punto per completare il quadro.
Gestione degli attributi qualificati
La federazione SPID prevede l’esistenza dei gestori di attributi qualificati, che sono potenzialmente tutti i soggetti che – in base a una norma – hanno il potere di attestare qualifiche, stati personali, poteri di persone fisiche: tra questi rientrano gli Ordini e i collegi professionali, gli Albi, le Camere di Commercio, i Consigli nazionali e le pubbliche amministrazioni.
L’ingresso di questi soggetti nella federazione SPID consente ai fornitori di servizi di verificare stati personali (qualifiche, poteri, ecc.) delle persone fisiche che accedono ai loro servizi in rete.
Per rendere operativa questa ulteriore funzionalità, l’Agid ha istituito un gruppo di lavoro per la stesura delle linee guida; purtroppo, non ci sono aggiornamenti in proposito dalla fine del 2019.
Questa funzionalità sarebbe estremamente utile in tutti i casi l’accesso al servizio è dedicato a soggetti che agiscono non in quanto persone fisiche, ma in quanto persone giuridiche – quindi con poteri di legale rappresentanza – o con ruoli specifici.
Gestione identità per soggetti incapaci, disabili, ecc.
Ora che l’identità SPID sta diventando requisito indispensabile per accedere ai servizi online, è già stato fatto notare che si pone il problema di chi invece non può avere un’identità digitale, o perché disabile, incapace, assistito da altri, ecc.; o di chi si trova in situazione di “digital divide” e non possiede una mail e un cellulare, ad esempio gli anziani.
In questo momento non risultano esserci alternative, anche se nel tempo ci sono state disposizioni che prevedrebbero ruoli specifici di soggetti qualificati come “intermediari”; è quanto mai necessario che su questo tema si prospettino delle soluzioni – di carattere tecnologico e normativo – in modo da non escludere una fetta della popolazione.
Definizione dell’obbligo anche per i gestori di pubblico servizio
La scadenza del 28 febbraio – come detto sopra – riguarda solo le Pubbliche Amministrazioni: rimangono per adesso esclusi i gestori di pubblico servizio e le società partecipate, di cui all’art. 2 comma 2 (lett. b e c) del CAD, per i quali è previsto un successivo decreto.
Per questi soggetti, non è chiaro se si applichino in prospettiva le stesse disposizioni che prevedono la gratuità dell’utilizzo di SPID, o debbano invece essere considerati come soggetti privati per i quali l’utilizzo di SPID è a pagamento, come previsto da un listino messo a disposizione da AGID.
Definizione dello switch off dei servizi online rispetto ad altre modalità
Se da un lato l’art. 64 comma 3 bis nell’ultima parte prevede che con decreto del Presidente del Consiglio dei ministri o del Ministro delegato per l’innovazione tecnologica e la digitalizzazione è stabilita la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, lettera a) – quindi le PPAA – utilizzano esclusivamente le identità digitali per consentire l’accesso delle imprese e dei professionisti ai propri servizi in rete, non è altrettanto chiaro se questa sarebbe anche la data “definitiva” di switch off, da cui dipende l’utilizzo esclusivo dei servizi online da parte di cittadini e imprese.
Ovvero, l’obbligatorietà dell’utilizzo delle credenziali di identità digitale va bene, ma il vero obiettivo deve essere l’abbandono della carta a favore dei servizi online.
Quali sanzioni dopo il 28 febbraio?
Da ultimo, non è chiaro cosa succederà ora per quelle Amministrazioni che avranno ancora disponibili dei servizi che non permettono l’accesso con SPID, CIE o CNS: nella norma non sono previste sanzioni, se non legate alla riduzione non inferiore al 30 per cento della retribuzione di risultato e del trattamento accessorio collegato alla performance individuale dei dirigenti competenti, oltre al divieto di attribuire premi o incentivi nell’ambito delle medesime strutture (art. 24 comma 1-quinquies).
Per quanto riguarda invece le credenziali preesistenti, che si possono continuare ad utilizzare fino al 30 settembre 2021, è anche da precisare che si tratta sempre di identità digitali – seppure rilasciate con sistemi diversi da SPID – che comportano una procedura di rilascio e riconoscimento; sarebbe quindi da considerare del tutto escluso l’accesso con username e password che la persona ottiene con una registrazione autonoma, senza alcun riconoscimento.
