Proprio in questi giorni c’è stata una scadenza importante e attesa da tempo: dal primo ottobre non si possono più utilizzare le credenziali diverse da SPID, CIE, CNS per accedere ai servizi online della Pubblica Amministrazione: la normativa di riferimento è contenuta nel DL 76/2020.
La regola riguarda solo i cittadini, per adesso sono esclusi i professionisti e le imprese: è stata infatti reintrodotta la norma – il comma 3-bis dell’articolo 64 del codice dell’amministrazione digitale (D. Lgs. 82 del 2005) – che affida a un Dpcm o a un decreto del ministro dell’innovazione il compito di fissare la data dello switch off per i professionisti e le imprese.
Gli enti nazionali hanno chiarito questo aspetto con comunicati nel proprio sito web, come ad esempio l’Agenzia delle Entrate.
Le eccezioni
Ci sono però delle eccezioni alla scadenza del 30 settembre, ad esempio nel caso dell’accesso ai servizi online dei Consolati e delle Ambasciate italiane all’estero: infatti, con la conversione in legge del DL 183/2020, cosiddetto “Decreto Milleproroghe”, il termine del 28 febbraio 2021 per il rilascio esclusivo da parte delle PA delle credenziali SPID e CIE ai fini dell’identificazione e l’accesso in rete, e già prorogato per gli uffici all’estero al 30 settembre 2021, è stato esteso di ulteriori 15 mesi fino al 31 dicembre 2022. Coloro che sono in possesso di credenziali proprie, potranno continuare a utilizzarle fino al 31 marzo 2023 per accedere ai servizi in rete della Pubblica Amministrazione.
Fino al 31 dicembre 2022, i cittadini potranno infatti accedere ai servizi consolari in rete, senza impiegare lo SPID o la Carta d’identità elettronica. Il portale per i servizi consolari Fast It potrà quindi continuare a essere utilizzato per trasmettere le richieste di iscrizione in AIRE e per usufruire delle altre funzionalità abilitate, secondo le consuete modalità.
L’obbligo di rendere possibile l’accesso con Spid ai propri servizi in rete è previsto anche dal bando per il Fondo Innovazione, a cui hanno aderito 7.246 Comuni (più del 90%): al momento della rendicontazione, dovranno essere dichiarati i servizi a cui si accede con le credenziali di identità digitale; in questo modo è stato attivato un meccanismo di controllo abbastanza pervasivo.
Per le altre Pubbliche Amministrazioni non c’è al momento una forma specifica di controllo; quindi, in caso di inadempienza non rimane che presentare una segnalazione al Difensore Civico Digitale presso AGID.
I diritti digitali dei cittadini: conoscerli per evitare le sanzioni
Rimane comunque aperto il tema dell’accesso al registro elettronico delle scuole da parte dei genitori, che rientra nell’ambito dell’obbligo di accesso con SPID, ma di cui non ci sono dati reali sull’effettivo adeguamento.
Ci si può chiedere cosa succede dopo il 30 settembre, nel caso in cui venga utilizzata un’identità digitale, rilasciata con un sistema precedente, per accedere a un servizio online: la normativa non ci aiuta, mancando sanzioni specifiche; si può presupporre che l’istanza presentata possa essere considerata “invalida” perché mancante del requisito della sottoscrizione dell’interessato, che in base all’art. 65 del CAD è previsto solo per gli ha un’identità SPID o accede con CIE O CNS.
I nodi da sciogliere per agevolare la diffusione di Spid e identità digitale
Quali aspetti rimangono aperti per una completa diffusione e utilizzo di SPID e dell’Identità Digitale in generale?
Come già fatto presente da qualcuno[1], ci sono quattro tipi di identità digitale:
- quello per la persona fisica,
- quello professionale per la persona fisica,
- quello per la persona giuridica
- e quello a uso professionale per la persona giuridica.
Le identità per la persona giuridica
Le identità per la persona giuridica ancora non esistono, perché mancano le regole per la gestione degli “attributi qualificati” mediante SPID: come ad esempio l’iscrizione a un ordine professionale o il possesso della qualità di Legale Rappresentante; a questo fine, sarà importante l’interoperabilità tra diversi sistemi, dovendo l’Identity Provider verificare nelle basi dati che possiedono il dato la presenza o meno della qualifica.
Per regolare questi casi sono previste delle Linee Guida da parte di AGID, che sono state pubblicate in consultazione qualche mese fa e di cui si attende la versione finale.
Si può quindi ipotizzare che solo dopo l’emanazione delle Linee Guida i professionisti e le imprese potranno abbandonare le credenziali dedicate che utilizzano fino ad ora.
L’identità professionale
Un altro strumento che stenta a decollare è l’identità professionale, il cui rilascio è a pagamento – a differenza delle credenziali SPID rilasciate ai cittadini – e che dovrebbe servire per gestire l’organizzazione o la professione che esercita la persona: questo tipo di identità è utile a provare l’appartenenza di una persona fisica all’organizzazione di una persona giuridica e/o la sua qualità di professionista. Le identità in questione, al contrario, non costituiscono prova dei poteri di rappresentanza di una persona giuridica dei quali una persona fisica è eventualmente in possesso né l’appartenenza di un professionista a un determinato ordine professionale o altro elenco qualificato.
L’identità digitali per i minori
Un altro tema aperto riguarda il rilascio delle identità digitali per i minori: anche in questo caso sono state pubblicate in consultazione una bozza di Linee Guida, ma manca ancora il provvedimento finale.
L’assistenza per le persone in difficoltà
Più in generale, emerge comunque una necessità di assistenza per persone in difficoltà: secondo dati recenti sembra che oltre l’80% delle persone anziane non si è ancora dotata di credenziali SPID: ricordiamo infatti che elementi essenziali sono il possesso di una mail e di un cellulare o smartphone, e quindi è evidente che buona parte della popolazione anziana può essere in difficoltà, oltre a chi si trova in condizioni di tutela legale o in istituti per problemi di salute.
Per ovviare a questi problemi, INPS ha recentemente regolamentato l’istituto della delega per l’accesso con SPID; purtroppo è previsto solo la consegna del modulo cartaceo, ma è comunque un passo avanti per non lasciare indietro alcune categorie di persone.
Potrebbe essere importante valorizzare un eventuale ruolo dei CAF, in quanto centri abilitati per l’assistenza dei cittadini per il disbrigo di diverse pratiche amministrative.
La normativa (con l’introduzione dell’articolo 64-ter del CAD), ha anche previsto la creazione di uno specifico Sistema di gestione delle deleghe; le caratteristiche tecniche, i requisiti di sicurezza, le modalità di acquisizione della delega e di funzionamento del Sistema di Gestione Deleghe, e, in generale, le modalità e procedure saranno definite con decreto del PCM, di concerto con il Ministro dell’Interno, sentita l’AgID, il Garante della Privacy e la Conferenza unificata, e quindi al momento non è ancora attivo.
Switch-off digitale PA: come funzionerà il sistema di gestione delle deleghe per i servizi
Il sistema dovrà essere trasversale a tutte le PA, visto che il dato della delega dovrà essere gestito da tutti i servizi online disponibili in rete.
Per agevolare i cittadini, è comunque opportuno che i sistemi informativi delle Pubbliche Amministrazioni prevedano, per l’accesso ai servizi online, non solo l’identità digitale del cittadino/utente, ma anche un “profilo operatore” – riservato a operatori di front office – attraverso cui la domanda può essere presentata in modalità digitale, con “delega” all’operatore di sportello; in questo modo si riesce a dare assistenza anche a chi non è in grado di utilizzare i servizi online.
L’utilizzo di SPID per gestori di pubblici servizi
Un altro tema aperto è l’utilizzo di SPID per gestori di pubblici servizi: rispetto a questo, l’art. 64 comma 3 bis del CAD prevede che “Con decreto del Presidente del Consiglio dei ministri o del Ministro per la semplificazione e la pubblica amministrazione, è stabilita la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, lettere b) e c) utilizzano esclusivamente le identità digitali ai fini dell’identificazione degli utenti dei propri servizi on-line”.
Quindi, fino a quando non ci sarà una decisione politica definita, i cittadini dovranno accedere ai portali dei gestori di pubblico servizio con altri tipi di credenziali, vanificando lo sforzo di unificare il sistema delle identità per tutti i servizi.
Le statistiche di utilizzo di SPID
Anche l’aspetto delle statistiche di utilizzo di SPID non è ancora stato risolto: nel 2020 sono state pubblicate in consultazione le Linee Guida, ma anche in questo caso non è ancora stata resa nota la versione definitiva.
E’ un aspetto importante, perché la sempre maggiore diffusione di identità digitali e servizi online non può prescindere da un’analisi dei dati di utilizzo, in modo da capire se ci sono spazi di miglioramento, soprattutto destinata ai gestori dei servizi in rete (Comuni e PA centrali).
L’uso di Spid come SSO
Un altro tema interessante da monitorare è l’utilizzo di SPID come SSO – Single Sign On – cioè come “autenticazione unica” che consente ad un utente di effettuare un unico processo di autenticazione (cioé di inserire username e password una sola volta) per accedere a più sistemi software, servizi digitali e applicativi o risorse informatiche, senza dover ogni volta ripetere l’autenticazione per ogni singola risorsa o applicazione.
Il caso si verifica, ad esempio, quando una persona – che ha già fatto l’accesso all’app IO con le proprie credenziali SPID – deve accedere ad un altro servizio, il cui link è presente in un messaggio di avviso (e in questo momento deve ripetere il processo di autenticazione)
Al momento il Regolamento attuativo di AGID su SPID (art. 28 lett. B) prevede in modo specifico che per la “Gestione delle sessioni per i livelli 2 e 3 SPID Per i livelli 2 e 3 SPID, allo scopo di garantire la massima sicurezza e stabilità del sistema, non si prevede la possibilità di mantenimento di sessioni condivise di autenticazione.
Pertanto:
1) il gestore dell’identità digitale non deve mantenere alcuna sessione di autenticazione con l’utente;
2) ogni fornitore di servizi deve gestire per proprio conto l’eventuale sessione con l’utente. Per la chiusura dovranno essere forniti meccanismi espliciti per il logout.”
Quindi al momento è praticamente impossibile prevedere qualsiasi azione di progettazione/implementazione di SSO nei servizi pubblici, a meno che non siano di livello 1 (tipicamente previsto solo per la consultazione di dati, e non per l’invio di istanze)
Ci si auspica che questa regola possa essere rivista, al fine di agevolare la “user experience” dei servizi in rete, anche tra diverse piattaforme.
Conclusioni
Più in generale, si può osservare che la scadenza del 30 settembre rappresenta il primo grande passo verso la completa digitalizzazione delle comunicazioni tra cittadino e Amministrazione, ma i tasselli da mettere a posto sono ancora molti, primo fra tutti una maggiore chiarezza normativa sull’obbligatorietà dell’utilizzo di modulistica online in presenza di portali dedicati, lasciando la PEC come strumento residuale.
Note
[1] https://www.ilsole24ore.com/art/spid-cie-o-cns-obbligo-1-ottobre-i-servizi-pa-AEIPcCl?refresh_ce=1
