Grande è stata la sorpresa per le dichiarazioni del Sottosegretario Alessio Butti, a capo del dipartimento Innovazione che fu del ministro Colao, qualche giorno fa circa la intenzione del Governo di lavorare per abolire il sistema SPID, per puntare sulla carta d’identità elettronica CIE, come unico sistema di identità elettronica nazionale. Per arrivare una identità digitale unica – dice – e di Stato, non legata ad aziende private.
Perché chiudere Spid è una cattiva idea
Le dichiarazioni sono state successivamente precisate e si è compreso che l’intenzione del Governo sarebbe quella di lavorare, anche sulla scorta di quanto disposto dal DM 8 settembre 2022, che integra e potenzia il sistema della CIE, ad una sorta di integrazione dei due sistemi di identità, nel sistema CIE, sotto il controllo del Ministero dell’Interno e con la gestione dell’Istituto Poligrafico.
Non è la prima volta che un Governo paventa di abolire SPID per puntare ad un sistema di identità unica: già ricordiamo in questo senso decise dichiarazioni della sottosegretaria Pisano, all’epoca del Governo Conte-bis, salvo poi – quando scoppiò l’emergenza COVID – puntare proprio su SPID per consentire il funzionamento da remoto del Paese.
Se, da una parte, i potenziamenti in atto del sistema CIE non possono che essere benvenuti, rimangono perplessità sull’idea di abbandonare il sistema SPID o, quanto meno, relegarlo in secondo piano.
Possono allora essere utili alcune considerazioni sul perché, in questo momento, abolire SPID a favore di CIE potrebbe non essere la scelta giusta per il Paese e perché; invece, è utile mantenere entrambi i sistemi, che hanno specificità e non sono integralmente sovrapponibili.
Come evidenziato più volte su queste pagine, SPID e CIE non sono la stessa cosa, non nascono da un’identica esigenza e hanno regolamentazioni coincidenti solo in alcune parti e, non è affatto scontato che una CIE priva degli attuali difetti sarebbe un perfetto sostituto di SPID.
SPID nasce infatti come sistema federato di identità elettronica, gestito alla pari, da soggetti pubblici e privati.
Il fatto di essere federato vuol dire che non si crea un grande archivio centrale delle identità in mano allo Stato o a privati: le identità sono in mano a tanti singoli gestori dell’identità e nessuno ne ha l’archivio completo. Inoltre, se un fornitore non ci soddisfa, possiamo passare a un altro.
Nemmeno è vietato – come invece avviene per la CIE – avere più di una SPID: si possono avere tante SPID diverse, presso gestori dell’identità diversi, cosa che certamente mostra come il sistema abbia una elevata resilienza e sia pensato per garantire la più ampia tutela della riservatezza.
Per forza di cose, con la CIE, l’archivio è invece unico ed è gestito dal Ministero dell’Interno. Non vi sono gestori alternativi. Il profilo di identità elettronica è gestito dall’unica App CIE-Id e non vi è possibilità di utilizzare servizi diversi.
SPID è dunque un sistema resiliente, proprio per il fatto di essere gestito da più soggetti: se viene attaccato uno SPID provider, ce ne sarà sempre un altro attivo e nessuno ha l’intero database delle identità.
Al contempo, mentre SPID – a differenza di tutte le altre identità elettroniche notificate alla Commissione UE – nasce espressamente con la possibilità di essere utilizzata quale identità elettronica in servizi privati, la CIE non prevede in origine questo utilizzo e solo con il citato Decreto del settembre 2022, inizia a essere completata di quanto serve per l’uso in servizi privati… ma ci vorrà ancora tempo per le regole di dettaglio, per istituire un sistema di vigilanza paragonabile a quello Agid (diretto o per il tramite di convenzioni obbligatorie), per costruire le strutture di verifica in capo al Ministero e chiarirne i poteri, ecc.
Le differenze tra Cie e Spid per accessi online
La CIE è nata come un’identità di livello 3, quello che – con la necessaria presenza di un token fisico (la “carta” CIE), associata ad una credenziale informatica (il PIN), dimostra con certezza assoluta l’identità.
Questo è un vantaggio ma, al contempo, un limite per la CIE: essa deve necessariamente essere utilizzata, anche come identità elettronica, in abbinamento alla carta fisica. Questo è il motivo per cui l’app Cie-Id chiede sempre di abbinare la carta allo smartphone, ad ogni utilizzo. La CIE non ha, come invece ha SPID, la possibilità di essere utilizzata come identità di livello 2, anche molto sicura ma senza necessità di un elemento fisico collegato. Come noto SPID può anche essere utilizzata come identità di livello 1, solamente con nome utente e password, nei servizi che hanno necessità di registrare l’utente ma che non hanno necessità di identificarlo con assoluta certezza (ad esempio, siti di e-commerce, biglietterie e similari).
È vero che il DM 8 settembre 2022, prima citato, prevede che CIE potrà essere arrichita dei livelli 1 e 2, ma – ad una ricerca nella Gazzetta Ufficiale UE, non risulta ancora la notifica alla Commissione dei nuovi livelli e, dunque, ancora il percorso non è completo e bisognerà vedere se la sperimentazione darà buoni risultati.
Sarebbe, d’altra parte, improprio e poco sicuro utilizzare la Cie come identità di livello 3 per qualsiasi servizio: se si fanno acquisti online non bisogna dare il proprio documento: abituare ad usare una identità di livello 3 (la CIE) per qualsiasi servizio potrebbe rendere possibile a malintenzionati effettuare phishing aventi ad oggetto l’identità di livello 3, che attualmente non viene richiesta che da pochissimi e qualificati servizi (es. banche, sanità, ecc.) e, dunque, affinché la CIE possa ambire a diventare una possibile alternativa a SPID, è certamente prima necessario che venga completato il percorso per completarla con i livelli 1 e 2 di sicurezza.
Al sistema CIE, inoltre, manca tutto l’apparato di vigilanza e regolamentazione necessario all’utilizzo nel settore privato. Il Decreto del settembre 2022 accenna appena a poteri di “monitoraggio” del Ministero dell’Interno. L’Agid non vigila sulla CIE e non la regola e, dunque occorrerebbe ricostruire in capo al Ministero dell’Interno tutte le regole sull’accreditamento dei fornitori di servizi privati, sugli aggregatori, sui tariffari per i privati e, in genere, tutto il lavoro di vigilanza ha avuto ed ha ad oggetto il sistema SPID. Nemmeno esiste alcun regolamento sull’utilizzo dell’identità elettronica CIE da parte dei minori e delle imprese, come invece avviene con le Linee Guida SPID per minori: il Decreto di settembre ne affida l’emanazione al Ministero dell’Interno e, dunque, al momento, dobbiamo concludere che non è possibile l’uso di CIE da parte di minori. Nemmeno è chiaro come potrà funzionare CIE con i sistemi di deleghe e di attributi (la possibilità di inserire nell’identità titoli e qualifiche elettroniche emesse da scuole, ordini, enti pubblici, ecc.) come avviene per SPID.
Spid va tutelato, ecco perché
Il Ministero dell’Interno dovrebbe, in sostanza, riaccreditare e regolare sotto la propria gestione tutti i molti soggetti della galassia SPID: fornitori di servizio, aggregatori, fornitori di attributi, ecc. e per fare questa operazione ci vogliono tempo, risorse e regole, che non possono essere solo quelle dello scarno Decreto di settembre.
Non è chiaro, nel frattempo, quali siano le intenzioni verso il sistema SPID e gli attori operanti in questo ecosistema.
Il rischio è che si fermino gli investimenti e non partano i servizi nell’attesa dell’adeguamento di CIE: quello che era (ed è) visto dagli addetti ai lavori come l’anno dell’avvio effettivo dei servizi privati via SPID e l’anno della definitiva affermazione dell’uso di SPID nei servizi pubblici online, potrebbe divenire un anno perso. Dopo 10 anni di lavoro per mettere a punto il sistema e tutta la regolamentazione necessaria e con la consapevolezza raggiunta dalla popolazione, ormai in gran parte abituata ad usare SPID, il momento sembra ideale per la definitiva diffusione del sistema tra la popolazione, le imprese e gli enti pubblici.
Una incertezza del Governo sul futuro di SPID in questo momento potrebbe dunque essere fatale e bloccare lo sviluppo proprio nel momento più favorevole per iniziare un nuovo percorso – astrattamente possibile – ma che per convertire l’utenza, il sistema e arrivare a un pari livello, impiegherebbe notevole tempo, che non sono certo il PNRR ci conceda, senza contare il tema concorrenziale che verrebbe senz’altro posto dagli identity provider che hanno effettuato investimenti per lanciare e promuovere i servizi SPID, salvo poi vederli “sostituiti” de facto.
Anche l’utenza dovrebbe infatti abituarsi al nuovo sistema di CIE potenziata quando invece ha ormai metabolizzato SPID. È infatti SPID ad essere largamente prevalente.
Alcuni dati non ufficiali che circolano tra gli addetti ai lavori mostrano che, ad oggi, per ogni 42 utenti che accedono ad un servizio online con SPID, ve ne sarebbe uno solo che accede con CIE. Non parliamo quindi del numero assoluto di SPID e CIE rilasciate, che sono sostanzialmente pari, a circa 33 milioni di SPID ed altrettante CIE.
Parliamo di effettivo utilizzo come identità elettronica. La CIE, a quanto sembra, non è percepita come un’identità elettronica o, comunque, non è reputata funzionale. SPID sembrerebbe largamente prevalente anche perché se ci sono 33 milioni di SPID, è certo che tutte vengono usate come identità elettroniche (unico uso possibile) mentre non è affatto certo che i 33 milioni di CIE abbiano attivato le funzioni di identità elettronica.
Ha ragione il Sottosegretario Butti quando dice che ci sono ancora problemi nell’uso di SPID e che tali problemi impattano le fasce deboli della popolazione ma sono problemi risolvibili e certamente minori di quelli attualmente presenti – anche questi dichiarati – nel sistema CIE. Si deve dunque lavorare sul portare CIE a maturità e risolvere i temi aperti di SPID, che però ha già un sostrato di regole e applicazioni molto più ampio; su queste pagine tante proposte in questo senso sono venute, a partire da quella di affiancare alla app “IO” – difficile da usare per gli anziani – un sito “IO” visualizzabile su schermi grandi e utilizzabile con un computer a tastiera invece che con lo smartphone. Peraltro non si vede perché la CIE dovrebbe essere di uso più semplice rispetto allo SPID.
Conclusioni
Perché il 2023 diventi effettivamente l’anno dello SPID occorre dunque trasformare le incertezze di questi giorni in un deciso supporto, chiarendo che per il Governo SPID rimane una infrastruttura strategica sulla quale investire e che i cittadini possono adottare con tranquillità ed insegnare ad usare ai propri nonni spiegando che, una volta imparata, non cambierà, puntare insomma alla coesistenza dei due sistemi: dove SPID avrebbe una maggiore vocazione all’uso nel privato (non esiste la CIE per le imprese), mentre CIE potrebbe servire quella fascia della popolazione che ha necessità solo occasionali di una identità elettronica.
Aggiungiamo infine che SPID avrebbe anche bisogno di essere espressamente difeso dal Governo poiché la proposta di Regolamento EIDAS2 sul portafoglio di identità elettronica europeo, sembrerebbe ammettere come “identità elettronica UE” solo quella di livello 3, che attualmente non è stato ancora attivato per SPID, ancorché previsto, proprio per lasciare spazio alla CIE, che si trova a funzionare come livello 3 dell’identità elettronica nazionale, composita tra SPID e CIE. Sarebbe dunque lecito attendersi che SPID quindi, alla quale 33 milioni di italiani hanno affidato fiduciosi la propria identità elettronica, incoraggiati dallo Stato a farlo, sia “promossa” a livello 3 per poter competere nell’arena dei servizi privati del portafoglio di identità UE invece di essere relegata a sistema di serie B.
