Le identità digitali stanno creando un paradigma in cui servizi online e transazioni elettroniche possono sfruttare nuove forme di identificazione digitale per gestire in modo più rapido, efficace e remotizzato quei processi in cui il riconoscimento è obbligatorio.
Il valore della verifica digitale dell’identificazione
La identità digitali SPID e CIE, riconosciute dall’ordinamento nazionale, rivoluzioneranno in chiave digitale i processi che richiedono il riconoscimento certo del cliente o, in generale, dell’utente.
Le identità digitali SPID e CIE sono fattori abilitanti di nuovi scenari in cui l’identificazione a distanza avviene automaticamente e la verifica dell’identità viene provata conservando l’evidenza informatica dell’autenticazione eseguita da un processo affidabile e normato.
Sono diversi i fattori abilitanti delle identità digitali SPID e CIE che il gruppo di lavoro aperto #ClubTI4SPID ha analizzato nelle proprie attività con l’intento di divulgarne la conoscenza e facilitarne l’adozione, in particolar modo nel settore delle imprese e dei professionisti.
SPID e CIE per le imprese: quanto manca alla svolta? I fattori che fanno ben sperare
Si ritiene che tra questi fattori, quello di adottare nuove procedure che permettano il riconoscimento digitale automatico, abilitato da SPID e CIE intesi anche come strumenti di verifica dell’identità personale, sia tra quelli più innovativi nel medio-lungo termine, ma entriamo un po’ più nel dettaglio.
Il periodo di emergenza pandemica dovuta al COVID-19 ha accelerato ancor di più l’esigenza degli utenti di fruire di servizi online attraverso tecniche che non solo garantiscono un’autenticazione certa, ma anche la verifica digitale dell’identità personale in modo da offrire una user experience coerente con l’esigenza di distanziamento sociale, ma anche più rapida e semplice per gli utenti stessi.
Il D.L. 16 luglio 2020 n. 76, cosiddetto Decreto Semplificazioni 2020, è andato proprio in questa direzione introducendo il comma 2-duodecies all’art. 64 del Codice dell’Amministrazione Digitale e stabilendo che la verifica dell’identità digitale con livello di garanzia almeno significativo, ai sensi dell’art. 8, paragrafo 2, del Regolamento (UE) n. 910/2014 del Parlamento e del Consiglio europeo del 23 luglio 2014, produce, nelle transazioni elettroniche o per l’accesso ai servizi in rete, gli effetti del documento di riconoscimento equipollente, di cui all’art. 35 del D.P.R. n. 445/2000.
Il processo e la prova dell’identificazione
Nei casi in cui è obbligatorio identificare e riconoscere il cliente, o in generale l’utente, i processi tradizionali, ancora diffusi ma resi profondamente obsoleti proprio da questa disposizione, prevedono il riconoscimento tramite acquisizione di un documento di riconoscimento in corso di validità, la sua successiva verifica e la conservazione del documento cartaceo o scansionato per il periodo previsto. Tale processo rappresenta la prova di aver eseguito il riconoscimento, tuttavia crea un rischio digitale profondo e ventennale, costringendo l’organizzazione a farsi carico della conservazione cartacea o della scansione digitale del documento di riconoscimento e della protezione di dati personali dell’individuo che sono preziosi per il furto dell’identità e quindi preda ambita di attacchi criminali.
In questi anni, la trasformazione digitale ha permesso già di implementare dei processi di riconoscimento digitali a distanza, basati sul fatto che l’utente, accedendo a delle applicazioni, inserisce i propri dati anagrafici e gli estremi del documento di riconoscimento e carica sull’interfaccia l’immagine fronte/retro del documento di riconoscimento. Alcune procedure richiedono in aggiunta che l’individuo venga riconosciuto attraverso una sessione audio-video di riconoscimento tramite operatore o attraverso una sessione di selfID in cui l’utente segue le istruzioni dell’applicazione effettuando un procedimento in autonomia, che successivamente in back-end viene verificato da operatori.
Questi meccanismi di riscontro basati su soluzioni tecnologiche di video riconoscimento o di auto identificazione richiedono:
- affidabilità, ossia la necessità di una supervisione e verifica del riconoscimento da parte di operatori che rappresenta un costo di processo non banale
- sicurezza e protezione dei dati in conformità al Regolamento europeo n. 2016/679
- condizioni ottimali per l’acquisizione di file immagini e/o dei file video e/o dei file audio (luminosità, nitidezza, contrasto, audio privo di elementi di disturbo, ecc.) che spesso non vengono assicurate, generando un esito negativo e bloccando di fatto il processo di identificazione dell’utente.
Integrando le applicazioni tramite un’autenticazione basata sulle identità digitali riconosciute dal Legislatore italiano e comunitario, come SPID e CIE, queste procedure di riconoscimento si automatizzano, si semplificano enormemente e garantiscono maggiore sicurezza.
Queste nuove forme di identificazione digitale più sicure, affidabili ed automatiche, basate sul riconoscimento certo dell’individuo attraverso applicazioni di onboarding e identificazione che acquisiscono e conservano le prove della verifica dell’autenticazione attraverso lo SPID di livello almeno 2 (“significativo”) o attraverso la Carta d’Identità Elettronica CIE 3.0, rappresentano uno scenario nuovo che si diffonderà sempre più in futuro e si spera possa diventare un fattore abilitante di nuovi servizi digitali.
La fase di identificazione elettronica avviene nel servizio fornito dal Service Provider (SP) tramite autenticazione informatica con credenziali di livello di sicurezza minimo 2 e prevede un colloquio applicativo con il Gestore dell’identità digitale che verifica l’identità su richiesta del SP. In questi casi la prova dell’avvenuta verifica dell’identità digitale SPID è data dall’esito positivo contenuto nel file asserzione Response firmato dall’identity Provider.
La conservazione digitale dell’asserzione secondo le regole tecniche permette di dimostrare ed esibire nel tempo la verifica dell’identità digitale. La stessa AgID, nelle Linee Guida in materia di formazione gestione e conservazione dei documenti informatici, ha previsto nell’Allegato 2 come caso di esempio il formato asserzione SPID con estensione .xml derivato dal linguaggio Security Assertion Markup Language (SAML).
Mentre nell’ecosistema di CIE l’infrastruttura che verifica l’identità CIE che accede al servizio online genera un’asserzione di avvenuta autenticazione comprensiva degli attributi, che anche in tal caso va conservata se usata come prova dell’avvenuta verifica.
Il caso d’uso dell’adeguata verifica digitale per l’antiriciclaggio
Una delle più importanti novità a favore dell’adozione di SPID nel privato consiste nella sua trasformazione in sistema di identificazione per ottemperare agli obblighi di adeguata verifica della clientela bancaria e finanziaria. Il Decreto Legge 76/2020, all’articolo 27, comma 3, apporta alcune rilevanti semplificazioni in materia di obblighi antiriciclaggio. Viene infatti eliminata la necessità di riscontrare in ogni caso il documento di identità del cliente, ai fini dell’assolvimento degli obblighi di adeguata verifica previsti dalla legge, ove l’identificazione avvenga a distanza (lettera a). Alla lettera c) viene poi introdotta la possibilità di procedere all’identificazione, ex art. 19 D.lgs. 231/07 e segg. “per i clienti in possesso di un’identità digitale di livello almeno significativo”, modificando la previsione del D.Lgs 125/19 che richiedeva che l’identità digitale fosse “di livello massimo di sicurezza”.
A parere di chi scrive, tale utilizzo di SPID sembra introdurre un’altra interessante opportunità prevista dalla normativa antiriciclaggio, in particolare l’art. 30 bis, introdotto con il D.Lgs. 125/19:
«Le autorità di vigilanza di settore, nell’esercizio delle attribuzioni di cui all’articolo 7, comma 1, lettera a) , possono individuare specifici presidi organizzativi in presenza dei quali l’assolvimento degli obblighi di adeguata verifica di cui all’articolo 18, comma 1, lettere a) [identificazione] e b) può essere esternalizzato a terzi diversi da quelli di cui all’articolo 26, comma 2. Resta in ogni caso ferma la responsabilità dei soggetti obbligati in ordine agli adempimenti di cui al presente Titolo.».
In effetti, per il rilascio di SPID, è richiesta l’identificazione del titolare dei dati secondo delle modalità che sono già parzialmente conformi rispetto a quelle utilizzate nel mondo bancario e finanziario, per esempio l’opzione di identificazione tramite videocall tende a seguire i dettami dell’Allegato 3 delle Disposizioni per l’adeguata verifica della clientela di Banca d’Italia.Compliance rispetto a norme internazionali
Con le novità sopra discusse l’Italia, per quanto riguarda la normativa antiriciclaggio, segue le valutazioni effettuate dal FATF – GAFI all’interno delle Guidance on Digital Identity, pubblicate a marzo del 2020.
La 10° raccomandazione è infatti neutrale rispetto alla tecnologia da adottare: permette ai soggetti obbligati di usare “documenti” così come “informazioni o dati”. La chiave per determinare quale sistema di identità digitale sia utilizzabile per l’identificazione del cliente è il requisito della 10° raccomandazione di “utilizzare una fonte affidabile e indipendente di documenti, informazioni o dati”.
Nel contesto di un’identità digitale, l’affidabilità e l’indipendenza derivano dal fatto che il sistema che la fornisce si fondi su tecnologie, livelli di governance e procedure che garantiscono un sufficiente livello di fiducia sulla qualità delle informazioni. Dato che SPID rispetta rigorose norme tecniche e di controllo di emanazione statale, incarna in maniera esemplare le previsioni delle citate “Guidance” e può introdurre delle utili semplificazioni di processo nello svolgimento dell’attività di adeguata verifica da parte di banche e finanziarie.
Il caso d’uso dell’identificazione integrata a soluzioni di firma
Altro caso d’uso interessante e concreto è la verifica dell’identificazione delle identità digitali SPID e CIE attraverso un’integrazione con soluzioni di firme elettroniche online.
Il requisito di verifica certa dell’identità del firmatario rafforza gli effetti di efficacia probatoria delle soluzioni di firma elettronica e, per alcune tipologie di firma, è un requisito obbligatorio.
Oltre alle soluzioni di firma elettronica qualificata o firma digitale nelle modalità automatica massiva o remota, negli ultimi anni, anche a causa dell’emergenza sanitaria causata dalla pandemia, si stanno diffondendo sempre più soluzioni di firma elettronica semplice (FES) e firma elettronica avanzata (FEA) da utilizzare in modalità remota.
Tra i requisiti di una soluzione di firma elettronica avanzata conforme alle normativa vigente in materia (Regolamento UE n. 910/2014 eIDAS, CAD e sue regole tecniche attuative di cui alle disposizioni del Titolo V, artt. 55-61 del DPCM 22 febbraio 2013), c’è l’idoneità nell’identificare il firmatario, al fine di garantire che il documento informatico sottoscritto con FEA soddisfi il requisito della forma scritta e l’efficacia prevista dall’art. 2702 del Codice civile.
Inoltre, l’art. 57 comma 1 del citato DPCM dispone che il soggetto erogatore della FEA debba identificare in modo certo l’utente tramite un valido
documento di riconoscimento e conservare per almeno venti anni copia del documento di riconoscimento con la dichiarazione di accettazione (adesione) alla soluzione di FEA stessa.
A tal riguardo, si ritiene che la recente novità del comma 2-duodecies dell’art. 64 del CAD permetta al soggetto erogatore di identificare il firmatario attraverso la verifica dell’identificazione tramite SPID andando a conservare per venti anni l’evidenza informatica della verifica dell’identità e quindi operativamente l’asserzione SAML di avvenuta verifica dell’autenticazione. A tal riguardo, sarebbe auspicabile, per coerenza normativa, che il legislatore aggiornasse il prima possibile le regole tecniche attuative sulla FEA alle disposizioni della fonte primaria del Codice dell’Amministrazione Digitale.
L’art. 17 comma 1 del Decreto Semplificazioni 2020 ha inoltre espressamente previsto, per l’utilizzo della FEA nei servizi bancari, la possibile identificazione del firmatario facendo ricorso al sistema SPID basato, almeno, sul secondo livello di sicurezza di autenticazione informatica o facendo ricorso al sistema CIE. Con il comma 2 dell’art. 17, il legislatore ha stabilito l’obbligo, in capo ai soggetti erogatori, di conservare, per almeno venti anni, le registrazioni informatiche riferite al processo di identificazione in base al quale è stata attribuita la FEA, in coerenza con l’art. 57 delle regole tecniche in materia di FEA.
Pertanto, a maggior ragione, sarebbe opportuno che il legislatore aggiornasse le regole tecniche in materia di FEA in quanto oramai obsolete rispetto allo scenario operativo e concreto di identificazione digitale.
Nelle soluzioni di firma elettronica semplice, invece, l’identificazione del firmatario non è un requisito obbligatorio, ma su libera scelta potrebbe essere integrata automaticamente per rafforzarne le caratteristiche, in quanto l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio in caso di sottoscrizione con FES sono liberamente valutabili in giudizio, in relazione alle caratteristiche di sicurezza, integrità e immodificabilità della soluzione di firma stessa.
Infine, è giusto sottolineare per completezza anche la firma con SPID prevista dall’art. 20 comma 1-bis del CAD e definita dalle Linee Guida AgID, che associata ad un documento informatico soddisfa il requisito della forma scritta e produce gli effetti dell’art. 2702 del Codice civile, dove ovviamente l’identificazione certa tramite SPID del firmatario è intrinseca nella definizione dei requisiti normativi della soluzione di firma con SPID.
Il caso d’uso dell’identificazione nell’accesso ai servizi web
Molti servizi web necessitano di dover identificare i propri utenti per vari motivi: perché è necessario verificare che l’utente abbia un’età superiore ad una certa soglia (ad esempio 18 anni), perchè successivamente all’accesso viene richiesto all’utente di sottoscrivere documenti con modalità elettroniche, per obblighi legati all’antiriciclaggio e antiterrorismo, per altre leggi o normative settoriali, ecc.
Abbiamo detto che entrambi gli ecosistemi SPID e CIE permettono non solo l’identificazione digitale dell’utente ma permettono anche di conservare l’evidenza di aver verificato l’identità.
A tal riguardo l’art. 13 comma 2 del DPCM 24 ottobre 2014 su SPID prevede che il fornitore di servizi (Service Provider) conservi per almeno 24 mesi il Registro delle transazioni SPID e l’art. 29 del Regolamento sulle modalità attuative per la realizzazione dello SPID chiarisce che per registro delle transazioni si intende
l’insieme delle registrazioni composte dal messaggio SAML di richiesta di autenticazione e della relativa asserzione emessa dal Gestore delle Identità (IdP). Tali messaggi riportano identificativi e date di emissione e sono firmati elettronicamente, rispettivamente, dallo stesso fornitore di servizi e dal gestore dell’identità digitale, assicurando le necessarie garanzie di integrità e non ripudio.
In ultimo, si vuol sottolineare un altro vantaggio dell’integrazione di SPID e CIE per i servizi e siti web dei vari fornitori privati stabilito dal comma 2-quinquies dell’art. 64 del CAD, secondo cui l’adesione al sistema SPID ovvero l’utilizzo della CIE per la verifica dell’accesso ai propri servizi erogati in rete, per i quali è richiesto il riconoscimento dell’utente, esonera i soggetti privati dall’obbligo generale di sorveglianza delle attività sui propri siti web, previsto dall’art. 17 del decreto legislativo 9 aprile 2003, n. 70 di recepimento della direttiva europea sul commercio elettronico. Quindi, se un servizio erogato su web adotta una valida identificazione SPID o CIE, la responsabilità per adempiere agli obblighi di cui al D.Lgs. 70/2003 nei confronti delle autorità competenti (es. se un giudice chiede di identificare l’utente di una piattaforma) e anche ogni responsabilità per l’eventuale errata identificazione (es. data anagrafici acquisiti errati) si distribuisce sull’ecosistema federato SPID o CIE, che in tal senso tutela tale responsabilità prevedendo processi e verifiche automatiche disciplinate dalla norma, pur dovendo il Service Provider garantire la conservazione del registro delle transazioni per almeno 24 mesi.
Riflessioni conclusive
Implementare processi e servizi nuovi in cui SPID e CIE siano sfruttati anche per assolvere la funzione di strumenti digitali di riconoscimento con la conservazione delle evidenze informatiche di tale verifica, oltre alla loro più classica funzione di autenticazione certa e sicura, è sicuramente una prospettiva molto interessante e di concreta semplificazione rispetto ai processi di verifica attuali, con vantaggi importanti sia per ridurre i rischi e i costi di conformità qui ricordati, sia e soprattutto per facilitare l’accesso dei clienti e in generale degli utenti ai servizi digitali di qualsiasi organizzazione, e offrire loro maggiori tutele di confidenzialità e sicurezza.
Il sistema SPID e il suo valore di identificazione troveranno poi la massima attuazione quando avverrà l’ingresso nella federazione SPID dei gestori di attributi qualificati (Attribute Authority), ossia quei soggetti che per legge hanno la funzione di attestare qualifiche, stati personali, poteri di persone fisiche (ad esempio gli Ordini e i collegi professionali, gli Albi, le Camere di Commercio, i Consigli nazionali e le pubbliche amministrazioni).
Lo stesso art. 64 comma 2-duodecies del Codice dell’Amministrazione nel secondo periodo stabilisce che l’identità digitale, verificata con livello di sicurezza almeno significativo, permetterà di attestare gli attributi qualificati dell’utente, ivi compresi i dati relativi al possesso di abilitazioni o autorizzazioni richieste dalla legge ovvero stati, qualità personali e fatti contenuti in albi, elenchi o registri pubblici o comunque accertati da soggetti titolari di funzioni pubbliche, secondo le modalità stabilite da AgID con Linee guida.
Una volta che saranno emanate le attese Linee Guida, l’ingresso delle Attribute Authority nella federazione SPID consentirà ai fornitori di servizi pubblici e privati di verificare oltre l’identità personale anche eventuali attributi personali (qualifiche, poteri, ecc.) delle persone fisiche che accedono ai loro servizi web, mettendo le basi per un nuovo ecosistema che a quel punto sarà davvero interamente digitale e autoconsistente per una moltitudine di servizi.
Se il regolatore volesse, lo stesso potrebbe accadere anche per l’ecosistema della Carta d’Identità Elettronica (CIE), tecnologicamente equivalente, a condizione di identificare un riferimento attuativo adeguato, quale ad esempio le disposizioni sulla disponibilità, riutilizzo e interoperabilità dei dati delle pubbliche amministrazioni di cui all’art. 50 del CAD.
Per quanto riguarda le imprese, l’effettiva adozione di SPID e CIE da parte loro, per identificare ed autenticare i propri clienti e utenti in tutti i casi d’uso fin qui ricordati, e in tanti altri, dipenderà soprattutto dagli Aggregatori di servizi privati SPID. #ClubTI4SPID segnalò già un anno fa su queste stesse pagine il ruolo strategico ed essenziale degli Aggregatori SPID di servizi privati.
Nell’ecosistema SPID saranno proprio gli Aggregatori ad offrire il servizio e quindi a facilitare l’integrazione SPID e CIE a imprese e professionisti, di qualunque dimensione, che non trovano conveniente realizzare da sé l’integrazione e l’onboarding.
In questi ultimi mesi si è sperato nell’emanazione delle linee guida AgID per gli Aggregatori di servizi privati, che permetterebbero ad imprese di servizi informatici di fornire questo servizio in outsourcing, ma ancora non vi è stata la pubblicazione delle stesse.
Comprendiamo che sulle identità digitali le priorità di legislatore, regolatore e garante debbano essere i servizi digitali delle pubbliche amministrazione e la tutela del cittadino utente, ma in una situazione di incertezza normativa simile nessuna programmazione è possibile e la maggioranza delle imprese rinvierà semplicemente sine die qualsiasi valutazione sull’adozione di SPID e CIE, congelando di fatto la diffusione tra le imprese e professionisti di queste identità, e di tutti i casi d’uso qui ricordati. Si vuol sottolineare che anche gli Aggregatori Privati contribuiscono all’interesse ed alla “tutela del Cittadino”, almeno tanto quanto quelli Aggregatori Pubblici e non possono, oggi più di ieri, essere considerati una “Priorità Minore”.
Si tratta di un elemento di incertezza profonda sui tempi e sui risultati della transizione verso il digitale del sistema Paese, in quanto il Piano Nazionale di Ripresa e Resilienza (PNRR) ha programmato una serie di iniziative denominate piano Italia Digitale 2026, tra i cui principali obiettivi sbandierati, c’è quello di voler diffondere l’identità digitale, assicurando che venga utilizzata dal 70% della popolazione italiana.
Affermiamo con forza che per essere credibile l’obiettivo di utilizzo al 70% delle identità digitali in Italia entro il 2026 è prioritario che il Governo lavori con massima urgenza sulle Linee guida relative agli Aggregatori di servizi privati e su quelle relative ai Gestori di attributi qualificati, in quanto il 2026 è dietro l’angolo per l’ambizione di risultato dichiarata.
