Questo è il momento giusto per vedere come AgID, gli identity provider, il Dipartimento per la Trasformazione Digitale e in futuro il legislatore possano far evolvere SPID perché le imprese la adottino.
A questo proposito, sono state formulate di recente le prime due raccomandazioni con il contributo del gruppo di lavoro aperto #ClubTI4SPID e di altri esperti da tutta Italia, e raccolgono il sostegno di cinque Identity Provider, di ANORC e dell’osservatorio Agenda Digitale del Politecnico di Milano e del Dipartimento per la Trasformazione Digitale.
Eccole:
- rendere disponibili a service provider pubblici e privati e promuovere verso pubbliche amministrazioni, imprese e cittadini i profili SPID per uso professionale e la firma con SPID, incoraggiando IdP e service provider ad adottarli e a sviluppare ed erogare servizi digitali basati su di essi.
- definire, aggiornare e comunicare attivamente a service provider pubblici e privati una roadmap di messa in campo di SPID e di servizi digitali pubblici e privati che la usano.
Come primo elemento di questa roadmap, riteniamo importante che sia esplicitata la data di soft switch off dei PIN proprietari (smettere di erogarne di nuovi) per almeno alcune grandi PPAA.
Un secondo elemento importante sarà l’indicazione sull’entrata in servizio dei primi Attribute Authority.
Quali sono le ragioni per scegliere queste due raccomandazioni in particolare?
Vediamo le principali.
Profili SPID professionali
- In molte imprese e soprattutto nelle pubbliche amministrazioni i collaboratori li chiedono da anni, per poter usare in servizio un profilo SPID diverso da quello che usano per le attività personali.
- Assolombarda, ad esempio, riferisce di un forte interesse tra le piccole e medie imprese lombarde.
- Gli IdP contano su questo servizio per distinguere meglio tra usi professionali e personali di SPID (oltre che per i ricavi relativi, visto che questi profili potranno essere a pagamento).
Firma con SPID
- La possibilità di sottoscrivere documenti e impegni vincolanti con uno strumento digitale ormai diffuso (6,3 milioni di utenti attivi al 31 marzo) è uno stimolo per definire nuovi servizi digitali che usino questa firma, con un livello di sicurezza piuttosto elevato. In molti casi questo livello sarà adeguato e renderà superfluo il massimo livello di garanzia, quello offerto dalla Firma Elettronica Qualificata, che impone l’uso un token fisico. Si pensi ad abbonamenti del valore di decine o centinaia di euro, magari sottoscritti dopo anni di pagamenti regolari per altri servizi
- Sarà questo, secondo noi, uno dei motivi principali per innovare servizi al cliente e adottare SPID da parte delle imprese e delle amministrazioni pubbliche, magari proprio servizi integrati tra imprese e amministrazioni, a grande valore aggiunto per il cittadino.
Roadmap di SPID
- Oggi le imprese sostanzialmente ignorano SPID: né AgID né gli identity provider ne hanno comunicato vantaggi e opportunità, come pure avevamo chiesto già a luglio. Il punto di partenza di qualsiasi comunicazione è una descrizione chiara di cosa è possibile oggi, e quando saranno possibili numerosi scenari e casi d’uso che ancora oggi attendono disposizioni e chiarimenti importanti.
- L’ultimo grande arricchimento ancora da realizzare dei servizi SPID, importante quanto la firma per abilitare integrazioni a forte valore aggiunto, è l’introduzione dei gestori di attributi dell’identità digitale, come l’appartenenza a un ordine professionale o la patente di guida. Questo obiettivo è ancora lontano. Una descrizione di come ci si arriverà e quanto tempo potrebbe essere necessario è essenziale quindi per permettere alle imprese di programmare il proprio sviluppo di servizi basati su SPID.
- Anche se il futuro di SPID è molto più solido oggi che anche solo un anno fa, una scelta chiara e decisa da parte di alcune pubbliche amministrazioni chiave è importante, e sarà sufficiente, per consolidarne definitivamente il ruolo.
Preoccupazione ormai superflua? Lo speravamo, eppure proprio alla fine di marzo, con il decreto Cura Italia, la vicenda del PIN dispositivo semplificato di INPS ci ha dimostrato che i messaggi delle grandi pubbliche amministrazioni possono ancora generare confusione sul futuro delle identità digitali nazionali e insieme sovraccarico per le amministrazioni stesse. Il PIN semplificato ha permesso di soddisfare rapidamente un’esigenza di accesso da parte di chi mancasse del PIN INPS tradizionale e di uno SPID, certo, ma molte comunicazioni dei media hanno presentato solo questa soluzione, alimentando l’equivoco che per richiedere i bonus previsti dal decreto fosse necessario o preferibile ottenerlo.
Essenziale quindi che questa roadmap preveda impegni espliciti da parte di almeno alcune grandi pubbliche amministrazioni per concludere la diffusione dei propri “PIN” di accesso, e descrivere quali situazioni richiederanno eventualmente soluzioni diverse. - Infine, grazie al clima migliorato e alle rassicurazioni ricevute, molti IdP hanno riaperto una loro roadmap di interventi su SPID, ad esempio proprio per realizzare i profili per uso professionale o la firma con SPID. Queste roadmap possono contribuire a quella complessiva, coordinarsi con essa e diventare oggetto di una comunicazione organica, da parte del regolatore, di cosa imprese, pubbliche amministrazioni e cittadini possono aspettarsi da SPID nei prossimi mesi,
La tavola rotonda durante la quale hanno preso forma le due raccomandazioni ha evidenziato molti altri risultati ed esigenze importanti. Oltre a quelli riassunti su queste pagine da Giovanni Manca, ci sentiamo di evidenziarne uno qualitativo cruciale: abbiamo percepito tra IdP, AgID e i service provider privati un clima molto più positivo di qualche mese fa, stimolato sicuramente da molti fattori come la crescita ancor più veloce di SPID in queste settimane di permanenza a casa, la disponibilità dei nuovi servizi oggetto della nostra prima raccomandazione, e la prospettiva dei ricavi corrispondenti.
Il ruolo chiave di un’identità digitale diffusa
Più in generale, queste settimane di forte cambiamento e difficoltà per tutti noi hanno dimostrato il ruolo chiave di un’identità digitale diffusa tra cittadini, pubbliche amministrazioni e imprese per aumentare la flessibilità dei processi digitali e quindi la resilienza del sistema complessivo.
Pochi giorni dopo ci è arrivata una prima conferma concreta del nuovo clima e dell’opportunità di collaborazione che ne deriva: sabato 28 marzo abbiamo saputo che il martedì successivo ci sarebbe stato un incontro chiave, che si tiene ogni qualche mese: il comitato guida di SPID con AgID e gli IdP, questa volta con il ministero dell’innovazione.
Entro lunedì mattina siamo riusciti ad ottenere la conferma che 5 IdP considerano queste raccomandazioni corrette e utili anche per pubbliche amministrazioni e cittadini, oltre che per loro stessi e per i service provider privati.
Questo ci ha permesso di presentarle con grande serenità ad AgID, Dipartimento per la Trasformazione Digitale e a tutti i nove IdP prima del comitato guida.
I prossimi passi
Stiamo lavorando per definire meglio, concordare con gli operatori del settore e formulare ulteriori raccomandazioni, almeno altrettanto importanti per le imprese ma ancora bisognose di approfondimenti.
Soprattutto, per attuare le prime due saranno essenziali diverse azioni, da parte di AgID, degli IdP e forse del Dipartimento per la Trasformazione Digitale. Potranno aiutare gli interventi di associazioni e gruppi di imprese. Come #ClubTI4SPID stiamo coordinandoci con diversi attori per contribuire a questi sviluppi e quindi a rendere più facile per le imprese adottare SPID come strumento di autenticazione per i propri servizi digitali.
Come abbiamo ricordato tante volte, a partire da Ottobre 2019, questa adozione sarà utile per le imprese stesse, vantaggiosa per cittadini e pubbliche amministrazioni, ma soprattutto essenziale per SPID stessa, che finché rimane limitata alle pubbliche amministrazioni rimarrà una delle tante chiavi digitali di ciascuno di noi, meno comoda di quelle dei grandi operatori internazionali e quindi vista dai cittadini come un’imposizione più che un’opportunità.
Per seguire come AgID, il Dipartimento per la Trasformazione Digitale e gli IdP stanno rispondendo alle nostre raccomandazioni, aderisci al gruppo LinkedIn di Club TI Milano.
Per contribuire al nostro lavoro con queste organizzazioni, tradurre in pratica queste raccomandazioni e formularne altre che aiutino le imprese ad adottare SPID, iscriviti al Club.
