In mancanza di una adozione massiccia da parte delle imprese, SPID e CIE rischiano di restare due delle tante chiavi digitali del cittadino, più garantite ma molto meno diffuse di quelle che usiamo tutti i giorni.
Per SPID, in particolare, saranno i soggetti aggregatori di servizi SPID privati a colmare la lacuna principale che ha tenuto lontane le imprese finora: creeranno un mercato regolato ma aperto, dove acquistare i servizi di autenticazione e firma con SPID, e in futuro quelli che via via nasceranno, come si fa per qualsiasi servizio informatico: negoziandone la fornitura con imprese specializzate in concorrenza tra loro.
Proprio sugli aggregatori di servizi privati ha cominciato a lavorare AgID a maggio, preparando una bozza della convenzione che definirà come questi soggetti offriranno alle imprese i propri servizi.
Ora la sta rivedendo con gli IdP, e per la prima volta con imprese, coinvolte anche dal nostro Club TI Milano, e esperti indipendenti, compresi noi che scriviamo e altri con i quali ci siamo coordinati nel gruppo di lavoro aperto #ClubTI4SPID. Tutti questi soggetti hanno proposto le proprie osservazioni, che speriamo portino a una nuova versione della convenzione entro qualche settimana.
In questa revisione abbiamo evidenziato due esigenze chiave del rapporto tra imprese fornitrici e acquirenti dei servizi SPID:
- la tutela della riservatezza commerciale fra IdP, soggetto aggregatore e impresa cliente (“soggetto aggregato”)
- il bilanciamento dei controlli sui livelli di servizio e sull’uso delle informazioni personali
Lo sprint di Spid e Cie, ma c’è bisogno delle aziende
Continua l’accelerazione di SPID: ha superato i 7 milioni di utenti attivi, e cresce a velocità più che doppia del 2019 da quando è diventato essenziale accedere a distanza ai servizi delle pubbliche amministrazioni. 240 mila nuove identità attive a febbraio, 408 mila a marzo, 250 mila ad aprile, e quasi 480 mila a maggio!
Sull’onda di questa accelerazione, continua la collaborazione tra identity provider (“IdP”, i fornitori del servizio), ministero dell’innovazione e AgID per sostenerne lo sviluppo.
La collaborazione si era riaperta il 31 marzo con il primo comitato guida dopo più di un anno di stasi sostanziale, e i mesi di gelo quando diverse voci nel governo proponevano almeno due forme di “nazionalizzazione” di SPID. Da allora procede con riunioni operative e un secondo incontro con il ministro che ha confermato l’avvio per l’estate di un’iniziativa pubblica come quelle che sollecitavamo fin dall’estate scorsa, rivolta ai cittadini, con obiettivi ancora più ambiziosi.
Nel frattempo compie progressi altrettanto significativi la carta d’identità elettronica (CIE), che con 15 milioni di profili vanta numeri ancora più imponenti e però (riteniamo noi, in attesa di informazioni), livelli di attività molto inferiori.
Oggi l’app CieID per autenticarsi a servizi pubblici e privati con CIE e uno dei molti smartphone con lettore NFC:
- supporta anche iOS oltre ad Android
- usa gli strumenti biometrici dello smartphone, impronta digitale o immagine del viso
- permette di autenticarsi con smartphone anche per accedere da PC senza bisogno di un lettore di smartcard
Questi servizi ne migliorano l’usabilità pratica e quindi l’interesse per i cittadini e per le imprese.
Per il successo di entrambe queste identità digitali diventa sempre più importante che anche le imprese le adottino per autenticare gli utenti dei propri servizi digitali, beneficiando così dell’opportunità di interagire con cittadini pienamente identificati oltre che delle garanzie e protezioni che SPID offre rispetto ai rischi nella gestione delle credenziali di accesso individuali.
Sono SPID e CIE ad aver bisogno delle imprese, che possono invece permettersi di ignorarle, usando per la propria trasformazione digitale altre identità molto più semplici.
La tutela della riservatezza commerciale
Come per qualsiasi servizio informatico, compresi quelli che tutti usiamo centinaia di volte al giorno sui nostri smartphone, un servizio pubblico di autenticazione come SPID raccoglie informazioni importanti su quante persone usano ciascun servizio digitale, con che frequenza e in quali orari – e naturalmente l’identità stessa di queste persone.
Nel settore pubblico, l’aggregatore di servizi che fornisce il servizio di autenticazione (ad esempio una regione o una centrale servizi informatici) e la pubblica amministrazione che lo usa (un’altra organizzazione che non desidera sviluppare capacità tecnologiche autonome) hanno uno stesso obiettivo. Naturale quindi che collaborino anziché concorrere, e che condividano queste informazioni, nel rispetto della riservatezza dei cittadini utenti finali. Lo stesso GDPR prevede che quando l’uso dei dati personali è obbligatorio per legge, come spesso accade per le attività delle pubbliche amministrazioni non occorre richiedere il consenso del cittadino. Sono quindi superflui vincoli e controlli particolari sull’aggregatore pubblico.
Tra imprese, queste informazioni riguardano i cittadini clienti del soggetto aggregato, che in altri contesti può essere concorrente dell’aggregatore o dell’IdP, con questi stessi cittadini come clienti potenziali. Nasce quindi l’esigenza di limitare l’uso che l’aggregatore può fare di queste informazioni di grande valore commerciale. Il GDPR già impone che l’aggregato ottenga il consenso dell’utente finale, e l’aggregatore quello di entrambi. Qui è importante definire nella convenzione spazi opportuni e regole semplici perché:
- da una parte l’aggregatore possa proporre all’aggregato e, solo per suo tramite, agli utenti finali, servizi aggiuntivi che usino i dati di questi utenti, con il loro permesso, per offrire nuove opportunità a loro, all’aggregato e magari ad altri partner
- dall’altra, l’aggregato possa limitare l’uso che l’aggregatore fa dei dati degli utenti finali così come può fare in qualsiasi altro contratto di servizi informatici.
Il bilanciamento dei controlli
SPID è un’identità tutelata e quindi adatta al rapporto confidenziale e trasparente tra cittadini e erogatori di servizi.
Per garantire queste tutele SPID impone al suo ecosistema, a partire dagli IdP, impegni specifici, oggetto di controlli rigorosi, su:
- qualità del servizio che erogano, e soprattutto
- uso che possono fare delle informazioni relative a ciascun cittadino autenticato (in particolare, gli IdP non possono usarle affatto)
È proprio questo che rende SPID una scelta rispettosa della privacy, e quindi offre alle imprese che la adottano l’occasione di un gesto di rispetto e considerazione per i propri clienti oltre i vantaggi che vengono dall’identificazione certa dell’utente con un unico cittadino.
Anche per mantenere questo livello di tutela per il cittadino, oltre che per mantenere la riservatezza commerciale descritta più sopra, è utile definire per gli aggregatori controlli sulla qualità del servizio e l’uso delle informazioni, in qualche modo intermedi tra quelli particolarmente restrittivi imposti agli IdP e quelli imposti a qualsiasi impresa dalle regole sulla privacy.
Oggi, senza aggregatori di servizi privati, un service provider pubblico o privato firma una convenzione con AgID nella quale accetta limitazioni e controlli. Domani, quando sarà un soggetto aggregatore a gestire i servizi SPID per conto delle imprese aggregate, gestendo invece degli aggregati anche gli obblighi verso AgID e i controlli relativi, quali obblighi avrà senso imporre agli aggregatori e quali eventualmente agli stessi soggetti aggregati?
La questione è complessa. In attesa di svilupparla con AgID, crediamo utile limitare al minimo i controlli tra imprese che erogano e consumano servizi SPID, cioè tra aggregatori e aggregati.
Le imprese, infatti, già si tutelano reciprocamente nei contratti che stipulano, l’una rispetto alle inadempienze dell’altra. Per gestire il rischio di interruzione del servizio, per esempio, si possono prevedere penali, o accettare un servizio meno affidabile ma più conveniente.
Meglio quindi che AgID scelga con attenzione un insieme minimo di controlli che per motivi di tutela del mercato e della concorrenza vadano imposti alle parti e sottratti alla libera negoziazione. Crediamo e speriamo che questi saranno molto, molto pochi.
Prossimi passi nell’ecosistema SPID e CIE
In attesa dell’iniziativa che il ministero per l’innovazione, AgID e gli IdP annunceranno presto, e della promulgazione della convenzione per gli aggregatori di servizi SPID privati:
- Aumenta il numero dei service provider privati SPID, che ora sono undici. Sono un prototipo prezioso del mercato che verrà, utile per esempio proprio per interventi come lo sviluppo della convenzione per gli aggregatori di servizi privati.
Come #ClubTI4SPID Lavoreremo per aggiornare la fotografia che ne avevamo fatto quando erano sette. - Alcuni di questi stanno già cominciando ad integrare anche CIE, com’è naturale visto che i meccanismi tecnici per farlo e la logica di funzionamento sono molto simili.
Stiamo seguendo l’esperienza di uno di loro in #ClubTI4SPID, ne trarremo conclusioni che condivideremo anche su queste pagine e aiuteranno altre imprese a fare lo stesso. - con lo sviluppo crescente di SPID e CIE diventa sempre meno significativo contare quanti profili hanno e più importante capire quanto lavorano questi profili.
Abbiamo rinnovato ad AgID l’invito di novembre scorso a cominciare a comunicare pubblicamente almeno alcune informazioni aggregate iniziali sull’attività dei cittadini con SPID e con CIE. - Numerose imprese, in particolare identity provider SPID e altri trusted service provider, stanno realizzando modi diversi per sottoscrivere documenti tramite SPID.
Sembra lontana invece l’introduzione per SPID o per CIE degli Attribute Authority. Si tratta delle organizzazioni che oggi custodiscono attributi fondamentali per il ruolo di un cittadino nella società, come ad esempio la sua abilitazione a eseguire operazioni particolari (dalla certificazione di impianti all’esecuzione e alla valutazione di esami sanitari, alla ‘semplice’ guida di un veicolo – la patente!)
Osserveremo questo sviluppo con particolare attenzione perché gli attribute authority permetteranno di integrare in processi digitali aperti e innovativi proprio queste verifiche e la sottoscrizione dei documenti relativi; promettono quindi di avere sulla digitalizzazione del paese un impatto pari a quello delle firme con SPID, dei soggetti aggregatori privati e … della pandemia.
L’invito alle imprese che offrono servizi digitali
Sulla base di questi risultati e di queste opportunità, rinnoviamo insieme ad AgID il nostro invito pubblico alle imprese perché adottino SPID e semplifichino per altre imprese la sua adozione, assumendo a seconda dei propri obiettivi il ruolo di:
- soggetto aggregatore di servizi SPID privati, che aiuti le imprese proprie clienti a usare SPID, o
- service provider privato, in proprio o, più semplicemente, tramite un soggetto aggregatore
Segnala il tuo interesse direttamente ad AgID all’indirizzo protocollo@pec.agid.gov.it.
Se vuoi coordinarti con alcune altre imprese che lo stanno già facendo, scrivi anche a Club TI Milano: clubtimilano@pec.it.
Per seguire gli sviluppi dell’iniziativa, aderisci al gruppo LinkedIn di Club TI Milano.
Per partecipare al nostro lavoro sui soggetti aggregatori privati, iscriviti al Club.