identità digitali

Service provider privati Spid, chi sono e perché hanno ruolo strategico

Aziende, organizzazioni no profit o altre imprese che erogano un servizio online che identifica e autentica i propri utenti, possono adottare Spid. Diverse lo hanno già fatto. Le opportunità sono molte: vediamo quali procedure espletare e quali sono le esigenze espresse dai principali service provider privati

Pubblicato il 04 Mar 2020

Ornella Fouillouze

Vice Presidente Club TI Milano e coordinatore gruppo sanità

Gianfranco Gauzolino

Club TI Milano

Gianluca Marcellino

Demand Officer, Comune di Milano

spid

service provider privati SPID: ci sono e lavorano, anche se se ne parla poco. E hanno un ruolo importante per il futuro della (o delle) identità digitale. Soprattutto in questa fase.

Sì, perché in gennaio e febbraio la situazione delle identità digitali nazionali italiane è rimasta sospesa, con diverse proposte di riforma, alcune anche preoccupanti, tutte rinviate a data da destinarsi. Questo ritardo offre l’occasione di contribuire all’evoluzione delle identità digitali nazionali con raccomandazioni al legislatore. Per definire queste raccomandazioni, secondo Club TI Milano, che da tre anni lavora per facilitare l’adozione di SPID da parte delle imprese, e l’anno scorso ha lanciato il gruppo di lavoro aperto #ClubTI4SPID, è utile partire dall’esperienza dei service provider privati SPID.

I service provider privati SPID: cosa sono, chi sono

I service provider privati SPID sono le aziende che hanno deciso di adottare SPID per identificare i clienti e utenti dei loro servizi digitali:

  • hanno seguito, o stanno seguendo, una procedura di certificazione tecnica e amministrativa definita e guidata da AgID
  • hanno reso disponibile per uno o più dei propri servizi online, via app o browser, l’opzione “Entra con SPID” – o lo stanno facendo

Quali aziende, organizzazioni no profit o altre imprese possono farlo? Tutte quelle che oggi erogano un servizio online che identifica e autentica i propri utenti, ad esempio:

  • una grande azienda di telefonia o servizi finanziari che oggi richieda ai nuovi clienti di inviare un modulo PDF compilato e una copia della carta di identità,
  • un blogger di nicchia superspecializzato che chiede agli appassionati di registrarsi con Facebook o Google,
  • una grande ONLUS o cooperativa che gestisce i contatti di tanti iscritti e tantissimi sostenitori più o meno saltuari,
  • una catena di supermercati con le sue carte fedeltà

Insomma, da servizi informativi di nicchia per poche centinaia di lettori ad applicazioni dispositive (in prospettiva persino la stipula di un mutuo) per centinaia di migliaia o milioni di clienti.

Un’impresa che sceglie di usare SPID per identificare i propri utenti – clienti, collaboratori, fornitori e simili – ha diversi vantaggi importanti:

  • affida a terzi specializzati la responsabilità di gestire informazioni delicate sull’identità dei cittadini, riducendo significativamente i propri rischi e semplificando la conformità ai regolamenti, in particolare al GDPR
  • offre ai cittadini una scelta digitale comoda ed etica: usare una password che già conoscono ed usano, come quelle dei grandi social network internazionali, e in più gestita con garanzie e controlli, pubblici e privati, che nessuno dei grandi operatori internazionali offre, neppure a pagamento
  • identifica i cittadini in maniera univoca, con riferimento diretto all’identità anagrafica di ciascuno e al suo codice fiscale. Questo permette di semplificare tutte le attività dell’impresa con quei cittadini. In particolare,
    • SPID è uno strumento naturale per l’”onboarding”, cioè la prima identificazione, adeguata verifica e stipula di un contratto con un nuovo cliente in maniera esclusivamente digitale (quella che tradizionalmente prevedeva: scarico di un modulo in PDF – stampa – compilazione a mano – scannerizzazione – invio del modulo compilato e di copia della carta d’identità)
    • le imprese e i cittadini che usano SPID nel loro rapporto con le pubbliche amministrazioni sono esenti dall’obbligo di conservazione dei documenti informatici che da queste ricevono (un esempio concreto: chi usa SPID per accedere al sito dell’Agenzia delle Entrate, non ha bisogno di conservare una copia dei documenti del cassetto fiscale).

Chi sono oggi questi service provider privati? Ecco innanzitutto quelli che già hanno sottoscritto la convenzione, nell’ordine cronologico indicato da AgID stessa:

Tabella 1: Service Provider Privati SPID già titolari di convenzione con AgID

ImpresaUsoServizio AttualeSituazione dell’accesso con SPID
Lottomatica ItaliaOnboarding ai servizi fiduciari.
(Firma digitale di contratti tra la società e i suoi rivenditori.)		Firma DigitalePrevisto entro 2020.

L’estensione dell’accesso con SPID a servizi più diffusi (es. identificazione e adeguata verifica dei clienti) è subordinata a chiarimenti sulla roadmap di SPID, in particolare le relazioni con altri strumenti di identificazione.

Acquirente Unico (per conto di ARERA)Storia dei consumi energetici per tutte le utenze a intestate a un cittadino il portale consumiAttivo da luglio 2019
evoloweb (be-in)Scambio di “raccomandate” digitali sicuro ed economico tra condòmini e amministrazione del condominio.Be-InAttivo da ottobre 2019
InfocertRilascio online della firma digitale qualificata (FEQ, il massimo livello) per professionisti;
Onboarding a servizi digitali commerciali di imprese		Firma Digitale Remota (per cittadini; altri servizi offerti alle aziende)Attivo da dicembre 2019
NamirialOnboarding ai servizi fiduciari digitali di Namirial, per cittadini e aziende.Trust ServicesPrevisto entro giugno 2020

Alcune altre aziende hanno completato la procedura tecnica e amministrativa di registrazione e sono in attesa di autorizzazione da AgID. Ecco quelle che conosciamo. Per segnarlarne altre ci si può iscrivere al nostro gruppo LinkedIn.

Tabella 2: Service Provider Privati SPID in attesa di convenzione con AgID

ImpresaUsoServizio AttualeSituazione dell’accesso con SPID
eDue“FirmaSPID”: Servizio di Firma Elettronica Avanzata (FEA) offerto a qualsiasi organizzazione pubblica o privata per la sottoscrizione di documenti da parte del cittadinoNessunoPrevisto entro giugno 2020
NexidAccesso a iVoting, app di voto palese basata su blockchain per consigli di amministrazione, assemblee, associazioni.NessunoIn attesa di conferma della evoluzione di SPID, CIE, altre identità digitali nazionali

Perché i service provider privati sono importanti per il futuro delle identità digitali

I service provider privati di oggi sono imprese che sulle identità digitali si comportano come i cittadini, che continuano ad attivare profili SPID sempre più velocemente. Nelle prime 3 settimane di febbraio, quelle degli annunci contraddittori all’interno della stessa maggioranza di governo e del rinvio a data da definire di una riforma ripetutamente annunciata da settembre, i cittadini hanno attivato più di novemila profili SPID al giorno, quasi una volta e mezza la velocità media del 2019-20 e due volte e mezza la velocità di crescita dei primi due anni di SPID.

Insomma: cittadini e service provider privati SPID dimostrano nei fatti che i servizi digitali basati su un’identità digitale nazionale sono un’opportunità preziosa oggi, e possono quindi diventare un mercato, anche mentre i responsabili di queste identità comunicano incertezza sul loro futuro, e soprattutto disinteresse o addirittura ostilità per gli operatori privati e il loro ruolo.

Sarà proprio questo mercato potenziale, secondo noi, questo interesse di cittadini e imprese, a sostenere l’affermazione di un’identità digitale basata su quella anagrafica gestita dallo stato. Ricordiamo infatti: senza l’adesione delle imprese qualsiasi identità digitale rimarrà un nano rispetto a quelle dei grandi operatori internazionali: ognuno di noi la userebbe qualche volta al mese, magari anche ogni giorno, comunque un centesimo o un millesimo di quanto usiamo le identità di Apple, Facebook, Google, Microsoft e simili.

Per questo abbiamo voluto parlare con tutti i service provider privati e raccogliere da loro stessi indicazioni sui loro obiettivi, le loro esperienze, e le loro esigenze oggi.

L’esperienza dei service provider privati SPID

Tutti i service provider privati con i quali abbiamo parlato hanno descritto positivamente l’esperienza del supporto tecnico ricevuto da AgID: evidentemente limitato nelle risorse, ancora troppo dipendente da interventi manuali e dalla – chiarissima – competenza e buona volontà dei singoli (fino a qualche mese fa, per esempio, le informazioni tecniche disponibili alle imprese erano meno aggiornate di quelle per le pubbliche amministrazioni). Sembra chiaro che per sostenere l’adozione di un’identità digitale da parte di centinaia o migliaia di aziende contemporaneamente (come prima o poi succederà, se la domanda dei cittadini continua a sostenersi) occorrerà un processo più automatico, una struttura forse meglio organizzata, sicuramente più potente. Potrebbe essere un ruolo, da compensare naturalmente, per gli attuali Identity Provider che questo e molto altro fanno da anni per i loro servizi digitali proprietari?

Buona anche la soddisfazione con il processo amministrativo, sempre condotto da AgID. Se i service provider hanno espresso una valutazione positiva, qui siamo noi a evidenziare che il processo ricorda più la richiesta di una concessione pubblica che non un contratto negoziato tra fornitore e cliente, e quindi è difficile da inserire nel processo di scelta e acquisto di soluzioni digitali da parte di una impresa grande o piccola. Anche qui, sembra difficile che il processo attuale possa gestire centinaia di imprese all’anno, dalle più grandi alle più piccole, come sarà naturale presto.

Le tre esigenze principali che i service provider privati hanno espresso e che saranno alla base delle nostre future raccomandazioni al legislatore sono:

  • chiarezza sulla roadmap, la direzione che l’identità digitale nazionale prenderà – quel che chiedemmo ad AgID già ad aprile 2019, sperammo di ricevere dal ministro dell’Innovazione il 17 dicembre, e ci siamo ormai rassegnati ad aspettare ancora
  • impegno tangibile per l’adozione da parte delle stesse pubbliche amministrazioni: piani concreti, espliciti obiettivi di switch-off delle identità proprietarie di ciascuna PA che le identità digitali nazionali dovranno necessariamente sostituire – e quanto prima sarà, tanto meglio!
  • erogazione del servizio con modalità enterprise, in particolare:
    • contrattualizzazione e fatturazione tramite un solo Identity Provider di riferimento per ogni service provider.
      Oggi ogni impresa “cliente” di SPID stipula una convenzione con AgID, ma di fatto deve avere rapporti – persino la fatturazione! – con tutti gli IdP che autenticano i cittadini ai servizi del service provider)
    • Supporto tecnico post-vendita erogato da un fornitore – Identity Provider – unico che coordini gli altri, anziché nei limiti della buona volontà e delle risorse del regolatore stesso. Oggi la stessa impresa, in caso di difficoltà di accesso da parte dei propri utenti, deve raccogliere e interpretare per conto proprio informazioni su eventuali disservizi di tutti e nove gli IdP separatamente, col solo aiuto che i tecnici del regolatore riescono a fornire nei limiti delle risorse disponibili.

E quanto agli obiettivi e ai benefici? Perché questi service provider hanno scelto di investire tempo e fatica per integrare SPID con alcuni dei loro servizi digitali, nonostante l’incertezza su cosa succederà, e soprattutto su chi sarà responsabile di farlo succedere? Già dalle descrizioni dei servizi nelle tabelle più sopra, e ancor di più dalle comunicazioni private dei service provider, le loro scelte confermano due delle nostre ipotesi dei mesi scorsi:

  • SPID come abilitatore di servizi innovativi che sarebbe più difficile, forse impossibile, sicuramente scomodo offrire con identità digitali tradizionali. Si pensi al servizio che Be-In offre a condomìni e condòmini, la consegna di messaggi elettronici a valore legale tramite un’app, o all’accesso tramite il portale dei consumi alle informazioni di tutte e sole le utenze energetiche intestate a un certo cittadino: certo, si possono realizzare tramite una userid e una password tradizionali, o strumenti già esistenti come una PEC, ma richiedono da parte del cittadino e del service provider un’attività di allestimento e verifica molto più complessa, che SPID e i suoi identity provider hanno già compiuto
  • SPID come accesso a milioni di nuovi utenti per servizi esistenti. è forse questo il caso di interesse più immediato per tutte le imprese che già offrono servizi digitali e con SPID possono permettere a milioni di residenti in Italia di aderirvi senza alcuna delle formalità necessarie oggi.
    Gli esempi oggi più interessanti sono quelli di Infocert e Namirial: entrambi erogatori di servizi fiduciari, cioè servizi digitali complessi, normati e tutelati almeno quanto SPID stesso, potrebbero benissimo continuare ad offrirli come già fanno da anni con strumenti tutti loro interni. Se decidono di pagare altri (gli altri identity provider SPID) per un servizio che da tempo erogano in proprio, è

    • per l’accesso immediato a milioni di clienti in più, innanzitutto, e
    • per l’opportunità di costruire a partire da questa identità sostanzialmente universale combinazioni innovative di servizi propri e altrui, combinazioni che proprio nell’aggregazione di servizi diversi trovano il loro valore aggiunto.

Infocert, ad esempio, che ha attivato il servizio già da due mesi, conferma che imprese e cittadini mostrano di riconoscere il valore dell’iniziativa, premiandola in termini di acquisti.

Ecco quindi cosa abbiamo imparato dallo scambio con tutti i service provider privati SPID:

  1. esiste un’opportunità economica e commerciale (oltre che di innovazione e qualità del servizio) per servizi digitali basati su un’identità associata a quella anagrafica nazionale. Ce lo dimostrano i cittadini e le imprese che adottano questa identità per servizi nuovi e per quelli già disponibili altrimenti.
  2. La pubblica amministrazione – il legislatore, il regolatore e le singole amministrazioni – possono fare molto di più per rendere la scelta delle imprese più facile. Alcune di queste azioni avranno un costo, anche significativo. Altre, come la definizione chiara di una roadmap che massimizzi la continuità con i servizi attuali, o un modello di contratto per diventare service provider privato che si possa negoziare tra un singolo “fornitore” e un’impresa, in sostituzione dell’attuale concessione da accettare a scatola chiusa con un intermediario, il regolatore, richiedono solo lucidità e attenzione al bene comune; in una parola: politica.
  3. Le stesse imprese possono essere più decise e ambiziose: se vogliono sviluppare servizi digitali per i cittadini hanno a disposizione servizi di identificazione e autenticazione di molti tipi. Abilitare SPID è oggi una scelta naturale con costi limitati e benefici evidenti, lo testimoniano proprio le scelte dei service provider privati, le imprese grandi e piccole che hanno ormai aperto la strada.

Di queste lezioni, e dell’esperienza concreta dei service provider privati SPID attivi e in via di attivazione, faremo tesoro per influenzare l’attività del legislatore e del regolatore italiano con raccomandazioni che stiamo sviluppando e confermeremo con IdP, Service Provider privati e pubblici, altre imprese, associazioni e singoli esperti di servizi digitali in una tavola rotonda a Milano il 18 marzo.

Per valutare con noi se diventare service provider privato SPID, o semplicemente tenerti aggiornato sulle identità digitali nazionali per le imprese, aderisci al gruppo LinkedIn di Club TI Milano.

Per contribuire con le tue esperienze e i tuoi suggerimenti, e partecipare alla tavola rotonda del 18 marzo 2020 a Milano, iscriviti al Club.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • la guida

    Come scegliere il gestionale ERP adatto all'azienda

    18 Apr 2024

    di Giuditta Mosca

    Condividi

  • l'approfondimento

    AI, tre previsioni 2024: come evolverà, nel bene e nel male

    09 Gen 2024

    di Fabio Moioli

    Condividi

Prossimo

Come scegliere il gestionale ERP adatto all'azienda

Articolo 1 di 3