L’evoluzione più importante e più attesa di SPID riguarda senza dubbio la capacità di espansione del sistema. Questa, è opinione diffusa, dipende molto dalla sua forza attrattiva nei confronti degli erogatori di servizi privati, la cui adesione risulterà cruciale per l’ampliamento dell’offerta di servizi, esterni alla PA, a cui gli utenti potranno accedere con l’identità SPID, incentivandone la richiesta e l’utilizzo.
Sicuramente, c’è un evidente e concreto beneficio che stimolerà i service provider privati ad aderire: così come le PA, infatti, non dovranno più sostenere – o quantomeno potranno decisamente limitare – gli ingenti oneri connessi alle procedure di autenticazione degli utenti, gestione degli accessi e conservazione in sicurezza dei dati e delle informazioni sensibili. Con SPID, infatti, tutte queste incombenze spettano agli Identity Provider, quali InfoCert, che si fa carico anche delle relative responsabilità. È un aspetto di non poco conto, perché è l’impegno più gravoso, in termini di costi e risorse da dedicare, nello sviluppo di qualsiasi offerta di servizi online.
Una seconda leva di espansione passa attraverso la possibilità che l’uso dell’identità SPID da parte degli utenti sia affiancato dalla disponibilità di altri servizi, ad esempio quelli di firma digitale. In tal modo, l’autenticazione sicura con SPID verrebbe a configurarsi come la prima fase di una procedura unica con la quale i service provider e gli utenti potrebbero finalizzare l’erogazione e la sottoscrizione di un servizio o l’aperura di un rapporto contrattuale, in modo rapido e completamente digitalizzato.
Pensiamo al risparmio di costi e di tempo, ad esempio, sia per un’Università sia per uno studente se quest’ultimo, una volta autenticatosi con SPID, riuscisse a concludere con un’unica procedura online certificata la propria domanda di immatricolazione; o, parimenti, per una banca e un correntista che diano vita al loro rapporto fornitore-cliente in pochi minuti, con un’unica procedura di autenticazione sicura e con la firma del contratto senza le farraginose operazioni di stampa, sottoscrizione e spedizione dei documenti cartacei.
Bastano probabilmente questi esempi per evidenziare come l’identità SPID possa davvero diventare un facilitatore nell’uso di altri strumenti digitali che abilitino la dematerializzazione come pratica diffusa.
Il ruolo degli Attribute Provider
Man mano che il sistema si diffonderà, sia nel pubblico sia nel privato, è prevedibile che un ambito di evoluzione sarà l’ampliamento degli attributi da certificare in aggiunta a quelli “elementari” verificati dagli Identity Provider e che costituiscono attualmente l’identità SPID. Per determinati servizi o processi, infatti, potrà essere necessario dimostrare il possesso di una specifica condizione o di un particolare requisito personale o professionale.
Non a caso la normativa SPID si esprime già chiaramente sul ruolo dei cosiddetti Attribute Provider: sono accreditati di diritto, su richiesta degli interessati, il Ministero dello Sviluppo Economico (in relazione ai dati contenuti nell’indice nazionale degli indirizzi Pec delle imprese e dei professionisti), i Consigli, gli Ordini e i Collegi delle professioni regolamentate (per attestare l’iscrizione agli albi professionali), le Camere di Commercio, Industria, Artigianato e Agricoltura (per l’attestazione di cariche e incarichi societari) e l’AgID (in relazione ai dati contenuti nell’indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi).
È ovvio, tuttavia, che – per dare evidenza di requisiti non riconducibili ai contesti appena elencati -dovranno entrare in gioco come Attribute Provider altri enti e soggetti inevitabilmente chiamati in causa dal diffondersi del sistema e dal conseguente aumento del numero degli utenti dotati di identità digitale.
Un’ID internazionale
SPID apre le porte a un’evoluzione significativa anche a livello “transfrontaliero”. Più precisamente questo avverrà a partire da settembre 2018, quando, secondo il regolamento eIDAS che entrerà in vigore il prossimo luglio, prenderà il via la cooperazione tra gli Stati membri dell’UE in tema di identità digitale.
In pratica, i cittadini degli Stati membri – che avranno notificato all’UE l’istituzione di un proprio sistema di attribuzione di identità digitali conforme alle direttive eIDAS, come già avvenuto per l’Italia con SPID – potranno usare la loro ID per fruire di servizi erogati dalle PA di altri Paesi, qualora questi siano accessibili esclusivamente previa autenticazione online.
L’infrastruttura tecnologica necessaria a rendere tecnicamente operativo questo disegno è in via di definizione. Su questo fronte InfoCert, in collaborazione con il Politecnico di Torino e Telecom Italia, sta affiancando AgID nello sviluppo del progetto italiano “First Italian Crossboarder eIDAS Proxy” (FICEP). FICEP si configura come il primo server transfrontaliero per servizi di identificazione e autenticazione elettronica tra l’Italia e il resto d’Europa.
Sistemi di autenticazione all’avanguardia
Lo sviluppo di SPID non potrà prescindere dal costante “aggiornamento” del sistema con l’introduzione di strumenti di autenticazione che stiano al passo non solo dell’evoluzione tecnologica ma anche delle attese degli utenti, che si aspettano meccanismi sempre più semplici per autenticarsi. È questo un compito degli Identity Provider, ed è senz’altro una mission per InfoCert. E più il sistema si diffonderà nel contesto privato, più verrà alimentato il meccanismo virtuoso di domanda e offerta che alimenta semplificazione e sicurezza.
Non a caso InfoCert, nell’ambito delle sue attività di R&D, sta investendo in soluzioni che prevedono l’impiego di sistemi biometrici come strumento di autenticazione. Tale argomento sarà centrale nel prossimo “International Workshop on Biometrics” organizzato dall’Univeristà di Salerno e sponsorizzato da InfoCert.
Uno sguardo al futuro
Come è evidente SPID, seppure ancora giovane, è un sistema che segna un passo fondamentale nel processo di digitalizzazione del Paese. Oggi si presenta come un sistema per servizi fruibili e accessibili online tramite browser, ma già nel futuro prossimo è prevista una sua evoluzione sul mondo mobile App. SPID consente non solo di autenticarsi per l’accesso ad un sito di e-commerce ma, eventualmente, anche di effettuare transazioni di pagamento. Quest’ultimo è uno scenario in divenire, che presuppone la messa a punto di meccanismi di trust con le banche, su cui si dovrà ovviamente pronunciare Banca d’Italia. Scenario in divenire ma non certamente utopistico se la stessa EBA (European Banking Authority) sta ipotizzando di impiegare il sistema di identità digitale per la strong authentication delle transazioni.
Più futuristica appare l’ipotesi di attribuire un’identità certificata SPID anche agli oggetti, nell’ambito di un mondo dell’Internet of Things in drastica evoluzione. Comunque sia, il processo SPID si è ormai messo in moto. E i suoi risultati potranno solo sorprenderci.
