Il Governo Conte Bis sta spingendo per rivoluzionare il nostro accesso digitale a servizi pubblici (e privati), quindi la nostra identità digitale. Tra l’altro si prevede un prossimo cambio di scenario operativo per i gestori dell’identità SPID, che da una pluralità privata, passerebbe a un unico gestore pubblico individuato in PagoPA S.p.A. (previsione dello schema del decreto “milleproroghe”, al momento cancellata; probabilmente sarà reintrodotta in fase di conversione del decreto).
Tutto ciò introduce nuove possibili ipotesi operative e relativi dubbi, che si potranno sciogliere solo attraverso i previsti decreti attuativi.
In questo scenario si inseriscono le numerose potenzialità che la Carta d’Identità Elettronica (CIE) di ultima generazione (individuata con la versione 3.0) può esprimere nell’ambito dell’identità digitale.
La Cie 3.0 e la convergenza con Spid
Le carte emesse a fine 2019 sono circa 13.450.000, numero sicuramente significativo per considerarne utilizzi pratici.
Abbiamo già scritto dello scenario generale di utilizzo della CIE 3.0. In questa sede, invece, si descrivono con maggiore dettaglio le modalità della CIE mediante le quali si può procedere all’erogazione di servizi in rete evidenziando anche il fatto che le pubbliche amministrazioni devono attivare questo strumento, poiché la CIE è schema di identificazione notificato in Europa, in conformità al regolamento europeo 910/2014 (eIDAS).
E’ utile ricordare che la CIE è stata notificata a Bruxelles indipendentemente dallo SPID; questa circostanza potrebbe essere superata con la convergenza dello schema CIE con il livello 3 (quello più elevato) dello SPID. Nell’ambito di questa evoluzione dovrà anche essere gestito il profilo di utilizzo dei due schemi per evitare duplicazioni architetturali.
In ogni caso non ci sono dubbi sul fatto che la CIE è pronta ad essere utilizzata come credenziale di identità e tutte le informazioni per la sua attivazione sono disponibili.
“Entra con Cie”
Il Ministero dell’Interno ha attivato un’intera sezione informativa sul tema denominandola “Entra con CIE” e introduce il tema così:
“Entra con CIE” è il nome che viene conferito allo schema di identificazione che consente l’accesso ai servizi digitali erogati dalle PA mediante l’impiego della CIE 3.0. come previsto dall’art. 64 del Codice dell’Amministrazione Digitale (CAD).
L’utente può operare in due modalità, una fissa qualora abbia disponibilità di un lettore a radio frequenza ovvero in mobilità utilizzando uno smart phone Android dotato di interfaccia NFC (Near Field Communication).
L’erogatore di servizi deve applicare il manuale operativo, in cui sono disponibili anche informazioni complete sulla user experience dell’utente e su aspetti operativi legati all’utilizzo della CIE nei già indicati scenari fisso e mobile.
Il Ministero dell’Interno fornisce anche un ampio scenario sulle ipotesi di utilizzo.
I servizi accessibili tramite CIE
Si ribadisce che la Carta d’Identità Elettronica (CIE) rappresenta la chiave di accesso, rilasciata dallo Stato, che permette l’autenticazione con i massimi livelli di sicurezza ai servizi online degli enti che ne hanno abilitato l’utilizzo, sia della pubblica amministrazione che del mondo privato.
Con lettori contactless (la CIE ha un microcircuito esclusivamente interno, dotato di antenna che interagisce con le applicazioni tramite radio frequenza) o con la maggior parte dei tablet/smartphone dotati di interfaccia NFC e sistema operativo ANDROID (dalla versione 6.0 in poi), si può operare per:
- accedere ai servizi digitali, come ad esempio quelli offerti dal proprio Comune; il meccanismo è riconosciuto a livello comunitario visto lo stato di schema di autenticazione notificato della CIE 3.0;
- effettuare procedure di registrazione o check-in (strutture alberghiere, operatori telefonici, istituti e operatori finanziari, etc.) in maniera facile e sicura;
- utilizzare i mezzi di trasporto pubblici o privati (autobus, tram, tornelli della metro, car/bike sharing, ecc.), sostituendo titoli di viaggio e abbonamenti;
- partecipare a eventi (musei, manifestazioni sportive, concerti, etc.), in sostituzione dei biglietti;
- accedere ai luoghi di lavoro, al posto del badge identificativo, sia per il controllo accessi che per la rilevazione delle presenze.
Prima di approfondire un paio dei servizi sopra indicati è opportuno segnalare che l’Agenzia per l’Italia Digitale (AgID) pubblica periodicamente aggiornamenti sui soggetti che rendono disponibili servizi in
Riprendendo il discorso sui servizi utilizzabili tramite CIE è utile sottolineare che sono disponibili software di mercato che utilizzano le funzionalità della CIE e le contestualizzano nello scenario operativo. Un esempio semplice è quello dell’applicativo che compila automaticamente un form con i dati letti dalla CIE ovvero che fa “scattare” la timbratura del cartellino qualora la CIE sia utilizzata per il controllo presenze.
Questa caratteristica è particolarmente interessante perché consente di gestire il fenomeno dei cosiddetti “furbetti del cartellino”. In particolare il fenomeno della cessione del proprio tesserino a un terzo per “timbrare” la presenza. Utilizzando la CIE si può ipotizzare che sia più rara la circostanza che il titolare ceda la propria CIE a un terzo, piuttosto che la classica tessera/badge.
La firma elettronica avanzata
Il Ministero dell’Interno, al momento, non indica un ulteriore possibile utilizzo della CIE 3.0 che è quello della Firma Elettronica Avanzata (FEA) nei confronti della pubblica amministrazione.
A tal proposito ricordiamo che la norma di riferimento è stabilita nell’articolo 61, comma 2 del DPCM 22 febbraio 2013.
“2. L’utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod. ATe) , del passaporto elettronico e degli altri strumenti ad essi conformi sostituisce, nei confronti della pubblica amministrazione,la firma elettronica avanzata ai sensi delle presenti regole tecniche per i servizi e le attività di cui agli articoli 64 e 65 del codice.”
Utilizzando le informazioni sulla struttura interna della CIE, sul certificato digitale in essa installato e i template software resi disponibili a livello istituzionale è possibile apporre una FEA in modalità conforme agli standard tecnici CAdES, PAdES e XAdES. Naturalmente la catena di emissione della CIE è non qualificata ma questa limitazione non ha importanti impatti negativi se per questo tipo di sottoscrizione si faranno le opportune modifiche normative, al fine di consentire l’uso della FEA al posto della firma qualificata. Questa circostanza è anche in linea con la firma ex articolo 20 del CAD (spesso individuata come “firma con SPID”, le specifiche Linee guida di AgID sono in fase di pubblicazione dopo la consultazione pubblica) e costituirebbe elemento di semplificazione amministrativa il coordinamento delle norme specifiche al fine di garantire omogeneità ed evitare duplicazioni operative nell’identità digitale.
Qualora si intenda utilizzare la CIE per la FEA nei confronti di soggetti privati devono essere applicate le regole tecniche per la FEA stabilite nel Titolo V del DPCM 22 febbraio 2013.
Quanto descritto per la CIE ne evidenzia le numerose potenzialità che essa può esprimere nell’ambito dell’identità digitale. In un emendamento allo Schema di decreto per la conversione in Legge del cosiddetto “milleproroghe” il Governo modifica ulteriormente l’approccio all’identità digitale.
Nell’emendamento 42.24 del Governo, molto complesso e da analizzare in dettaglio dopo la pubblicazione in Gazzetta Ufficiale, si prospetta la nascita del principio di identità digitale in linea con i livelli di garanzia stabiliti nel regolamento europeo eIDAS. Il Ministero dell’Interno è gestore dell’identità e del suo funzionamento.
La CIE è credenziale d’accesso per il livello elevato (e gli inferiori); sono previste altre credenziali per gli altri due livelli. In sintesi poi si delinea lo scenario operativo, da definire con i tradizionali decreti attuativi, dove opera IPZS con la società PagoPA.
SPID viene abrogato dal 31 ottobre 2023, non è più possibile accreditare gestori dell’identità e quelli attivi possono proseguire fino allo scadere delle convenzioni. Si ribadisce la gratuità delle credenziali e si garantisce la continuità delle funzionalità SPID.
Viene stabilito che la CNS (non si nomina la Tessera Sanitaria) deve cessare mediante la definizione dei tempi di cessazione da concordare con le Regioni.
Altri scenari sono in linea con i precedenti emendamenti con la previsione attuativa tramite i decreti e le concertazioni di rito (per esempio la conversione delle identità dai gestori attuali alle nuove credenziali di accesso).
Non ci sono elementi per ritenere che gli attuali gestori dell’identità digitale possano ricevere un ristoro dei costi sostenuti per il rilascio e la gestione delle identità SPID. Non è escluso che sia attuato con altro provvedimento.
E’ significativo il fatto che si stabilisce la possibilità di richiedere il rinnovo della CIE anche prima dei centottanta giorni dalla scadenza al chiaro scopo di accelerare la diffusione del documento di identità elettronico.
Come al solito attendiamo l’approvazione della norma per fare un’analisi completa delle novità su basi consolidate.
