Le novità annunciate per SPID dal ministro per l’Innovazione Paola Pisano, relative al modello economico e ai soggetti che erogano le credenziali di autenticazione suscitano alcune qualche perplessità: vengono infatti azzerati quasi completamente gli sforzi avviati oltre sei anni fa per una gestione dell’identità in cooperazione totale tra pubblico e privato. Con investimenti e sforzi collaborativi notevoli tra gli IdP e le componenti istituzionali.
Spid, insomma, diventa pubblico e gratuito: i nove gestori (otto privati e uno pubblico) dell’identità accreditati in SPID hanno già comunicato ad AgID la decisione di erogare gratuitamente, per sempre, l’identità digitale dei cittadini.
Le parole del ministro e gli emendamenti alla legge di bilancio
“Alla base di questa strategia c’è l’emendamento alla legge di Bilancio sull’identità digitale: cambieremo la governance, dovrà essere unica ed erogata gratuitamente dallo Stato e non più dagli Identity provider”, ha spiegato Pisano.
Preso atto di questa importante dichiarazione siamo andati alla ricerca del citato emendamento alla Legge di Bilancio e utilizzando i servizi informativi del Senato della Repubblica abbiamo trovato gli emendamenti (47.0.2 e 47.0.13). Questi sono in linea con la dichiarazione della Ministra e in sintesi, entrambi propongono di modificare (nell’emendamento lo si riscrive) l’articolo 64 del CAD che è relativo al “Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni”.
La rubrica dell’articolo è modificata con l’aggiunta alla fine di “e dai privati”.
Per questo articolo abbiamo scelto di commentare il testo dell’emendamento 47.0.13. I due emendamenti, peraltro, sono simili con qualche parte più chiara per l’uno o per l’altro. Una sintesi dei due testi sarebbe quindi auspicabile. Naturalmente trattandosi di emendamenti, l’analisi dei testi, pur essendo puntuale è soggetto alla dinamicità del procedimento decisionale politico, anche se i principi generali di approccio sono ben definiti.
Analisi dell’emendamento
Nella proposta di nuova formulazione dell’articolo si stabilisce che:
Comma 1
“1. L’accesso ai servizi digitali erogati dai soggetti di cui all’articolo 2, comma 2 che richiedono livelli di garanzia basso, significativo ed elevato ai sensi dell’articolo 8 del regolamento (UE) n.910/2014 del parlamento europeo e del consiglio del 23 luglio 2014, deve avvenire con la carta di identità elettronica. Per garantire comunque l’accesso ai servizi in rete che richiedono livelli di garanzia basso e significativo, da parte delle imprese e dei cittadini che non dispongono della carta di identità elettronica, è istituito, a cura del Ministero dell’Innovazione tecnologica e la Digitalizzazione, il sistema pubblico per la gestione dell’identità digitale (SPID). Il sistema ha le caratteristiche e funziona in conformità alle regole definite con Decreto del Presidente del Consiglio dei Ministri da adottarsi entro novanta giorni dall’entrata in vigore della presente legge, di concerto con il Ministro dell’economia e delle finanze, il Ministero dell’Interno e sentito il Garante per la protezione dei dati personali.
E’ corretta la citazione del regolamento 910/2014 (eIDAS) e l’accesso ai servizi digitali è tramite la Carta d’Identità Elettronica (CIE). Poiché la CIE non è ancora diffusa presso i cittadini (alla data risultano rilasciate circa 13.000.000 di tessere) viene istituito un nuovo SPID, a cura del Ministro per l’Innovazione tecnologica e la digitalizzazione. Si rimanda, come di consueto, ad un decreto attuativo dove si nota la completa assenza dell’Agenzia per l’Italia Digitale (AgID) nel processo di approvazione.
Comma 2
“2. Il rilascio e la gestione delle identità digitali sono affidati al Dipartimento per l’innovazione tecnologica e la digitalizzazione che vi provvede in conformità alle modalità identificate con il Decreto del Presidente del Consiglio dei Ministri di cui al comma 1, anche avvalendosi di PagoPa SpA.”
Il comma è auto esplicativo. Lascia perplessi l’affidamento di attività operative e gestionali ad una struttura politica quale è un Dipartimento della Presidenza del Consiglio ma la citazione della società pubblica per azioni PagoPa potrebbe modificare l’approccio.
Comma 3
“3. I soggetti di cui all’articolo 2, comma 2, identificati ai sensi del Decreto del Presidente del Consiglio dei Ministri di cui al comma 5 quali fornitori di attributi qualificati, rendono disponibili le informazioni delle quali sono in possesso relative ai cittadini nell’ambito del sistema pubblico dell’identità digitale con modalità e formati conformi a quanto previsto nel medesimo decreto.”
Il comma è auto esplicativo. Va letto in coordinamento con il comma 5 che, per maggiore fluidità di lettura, potrebbe essere posizionato al posto del comma 3.
Comma 4
“4. I soggetti diversi da quelli di cui al comma precedente che eroghino servizi nell’ambito dei quali trattano dati personali possono, nel rispetto delle condizioni e termini ai sensi del Decreto del Presidente del Consiglio dei Ministri di cui al comma 5, rendere disponibili tali dati, su richiesta degli interessati, nell’ambito del sistema pubblico dell’identità digitale.”
Questo comma è abbastanza oscuro anche perché qualunque trattamento di dati personali è comunque all’interno della specifica normativa europea e nazionale (Regolamento europeo 679/2016 e D.Lgs. 101/2018).
Comma 5
“5. Il Decreto del presidente del Consiglio dei ministri di cui al comma 1, stabilisce, tra l’altro:
a) il modello architetturale e organizzativo del sistema nonché l’elenco dei soggetti di cui all’articolo 2, comma 2 chiamati a svolgere funzioni di fornitori di attributi qualificati;
b) gli standard tecnologici e le soluzioni tecniche e organizzative da adottare anche al fine di garantire l’interoperabilità e l’integrazione tra il sistema pubblico di identità digitale il punto unico di accesso di cui all’articolo 64-bis e i servizi erogati dai fornitori di attributi qualificati e non qualificati di cui ai comma 3 e 4;
c) le modalità nel rispetto delle quali PagoPA Spa dovrà procedere al rilascio e alla gestione delle identità digitali anche avvalendosi di soggetti terzi ai fini della sola fase di identificazione dei soggetti richiedenti un’identità digitale e di consegna delle relative credenziali nonché i requisiti dei quali tali soggetti terzi devono essere in possesso e le condizioni anche economiche relative ai rapporti tra PagoPA SpA e tali soggetti;
d) le modalità di richiesta da parte dei cittadini dell’identità digitale;
e) i tempi e le modalità di adozione da parte delle pubbliche amministrazioni in qualità di fornitori di servizi in rete;
f) le modalità di adesione da parte delle imprese interessate in qualità di fornitori di servizi in rete;
g) la data a decorrere dalla quale i soggetti di cui all’articolo 2, comma 2, utilizzano esclusivamente la carta di identità elettronica e le identità digitali ai fini dell’identificazione degli utenti dei propri servizi on-line.
Con lo stesso Decreto sono altresì determinate le condizioni e modalità per la conversione delle identità digitali già rilasciate alla data dell’entrata in vigore del medesimo decreto in nuove identità digitali rilasciate dal soggetto di cui al comma 3 anche con riferimento al contributo da riconoscere ai gestori delle identità digitali operanti ai sensi della disciplina previgente; nella determinazione di tale contributo si tiene conto, tra l’altro, del numero di identità digitali rilasciate e degli investimenti sostenuti per il loro rilascio.”
Questo comma 5 è piuttosto articolato e complesso. Nella sostanza ripropone, in linea con il nuovo scenario, le modalità organizzative, tecniche e gestionali che devono essere applicate al SPID nel previsto nuovo modello di funzionamento. Il citato punto unico di accesso, già comunicato come “Italia Login” è oggi chiaramente individuabile nell’APP IO.
E’ importante notare che sarà riconosciuto un contributo ai gestori delle identità digitali operanti ai sensi della disciplina previgente. E’ corretta la previsione di determinare tale contributo sulla base del numero delle identità digitali rilasciate e degli investimenti sostenuti per il loro rilascio. Il riferimento al comma 3 sembra essere un refuso, visto che ci si riferisce in maniera evidente al comma 2. La cifra posta a bilancio di 15 milioni di euro (e per gli IdP ci sarà un residuo) appare decisamente insufficiente per il ristoro dei costi degli IdP (operativi da quasi 4 anni).
Commi 6-9
Per sintesi proponiamo di seguito un gruppo commi.
“6. Il rilascio e l’uso delle identità digitali non comporta oneri per i titolari.
7. I soggetti di cui all’articolo 2, comma 2 identificano gli utenti dei propri servizi digitali attraverso le identità digitali rilasciate nell’ambito del servizio di cui al comma 1 con le modalità e nei termini di cui al Decreto del Presidente del Consiglio dei Ministri di cui al medesimo comma 1 e attraverso le carte di identità elettroniche.
8. Ai fini dell’identificazione degli utenti dei propri servizi digitali i soggetti privati, ivi inclusi gli istituti di credito e i fornitori di servizi di pagamento, possono avvalersi della carta di identità elettronica e dell’identità digitale in conformità alle modalità identificate con il Decreto del Presidente del Consiglio dei Ministri di cui al comma 1 anche in tutte le ipotesi nelle quali la legge richiede di procedere all’identificazione di un soggetto attraverso l’esibizione di un documento di identità.
9. L’accesso ai servizi digitali erogati dai soggetti di cui all’articolo 2, comma 2 può avvenire anche con la carta nazionale dei servizi.”
In questo gruppo di commi notiamo subito che si stabilisce la gratuità delle credenziali SPID anche se la norma, così scritta potrebbe far pensare anche alla gratuità del rilascio della CIE.
E’ in questo scenario che si deve porre la decisione degli IdP di rilasciare per sempre gratuitamente le identità dei cittadini.
Il comma 8 è “pubblicitario” visto che stabilisce una possibilità che comunque è prevista nella normativa specifica.
Il comma 9 ribadisce una norma del CAD lasciando il dubbio che il “può” si riferisce all’erogatore del servizio che quindi è libero di scegliere se attivare l’autenticazione del titolare tramite la carta nazionale dei servizi (CNS) o si applica al titolare che ha la facoltà di accedere con la CNS e quindi questa modalità di accesso deve essere garantita dal gestore del servizio.
Commi 10-14
I commi conclusivi sono i seguenti:
“10. Al comma 1, dell’articolo 29 del Decreto Legislativo, 7 marzo 2005, n. 82 le parole “o di gestore dell’identità digitale di cui all’articolo 64” sono soppresse.
11. Al comma 1, dell’articolo 32-bis del Decreto Legislativo, 7 marzo 2005, n. 82 le parole “ai
gestori dell’identità digitale” sono soppresse.
12. All’articolo 64-bis, le parole “i fornitori di identità digitali” sono sostituite dalle seguenti “il soggetto di cui al comma 2 dell’articolo 64”.
13. Le identità digitali emesse, nell’ambito del sistema pubblico dell’identità digitale a norma della disciplina previgente restano valide fino alla conversione con le nuove identità digitali e, comunque, non oltre il 2021.
14. Agli oneri derivanti dall’attuazione del presente articolo pari a euro 15.000.000 per l’anno 2020, euro 20.000.000 per l’anno 2021 e con euro 30.000.000 a decorrere dall’anno 2022 si provvede mediante quota parte delle maggiori entrate di cui all’articolo 93, comma 2.
Parte di questi costi può essere ridotto con i ricavi conseguiti da PagoPA SpA attraverso l’erogazione, a favore dei soggetti privati aderenti al sistema SPID, del servizio di identificazione.”
Si può vedere chiaramente che si tratta di commi di coordinamento tra il vecchio scenario e il nuovo. Il comma 14 fa riferimenti alla Legge di Bilancio è quindi dovrà essere modificato rispetto all’articolo 64 del CAD che si modifica.
Si può anche notare che non compare più il comma 2-decies del vigente CAD dove si stabilisce che le pubbliche amministrazioni usufruiscono gratuitamente delle verifiche rese disponibili dai gestori di identità digitali e dai gestori di attributi qualificati.
Spid pubblico e gratuito, le perplessità sul percorso strategico
In conclusione di questa analisi su una proposta di modifica alla Legge di bilancio che ha un impatto notevole sul SPID facciamo qualche considerazione.
In questa sede abbiamo più volte scritto che il modello economico di SPID non era sostenibile per gli IdP. Dopo circa 4 anni di operatività i ricavi derivanti dall’erogazione dei servizi da parte dei soggetti privati non sono arrivati. L’affermazione della Ministra Pisano sugli IdP che non ci guadagnano anzi ci rimettono è assolutamente corretta.
Il percorso strategico prescelto, comunque, lascia perplessi. Sarebbe plausibile che a fronte dell’identità rilasciata dallo Stato, le credenziali siano gestite da privati che offrono verifica dell’identità. Si poteva dirottare il finanziamento ottenuto su questi soggetti tanto che viene previsto un ristoro dei costi operativi e gestionali. Si azzerano quasi totalmente gli sforzi iniziati oltre sei anni fa per una gestione dell’identità in cooperazione totale tra pubblico e privato. Con investimenti e sforzi collaborativi notevoli tra gli IdP e le componenti istituzionali. L’unico problema è il ricavo degli IdP derivante da un modello che non ha funzionato con una chiara responsabilità pubblica che tale modello non ha saputo modificare.
Gli IdP vengono esclusi (e anche AgID) con la sola colpa, che tale non è, di avere docilmente e ordinatamente applicato le norme e di aver garantito un sistema funzionante a costo zero per lo Stato. Il fatto che siamo a poco oltre 5 milioni di credenziali SPID rilasciate è di evidente responsabilità della PA che ancora non ha “attirato” gli utenti con servizi efficaci e appetibili e spesso non li ha nemmeno attivati nonostante gli obblighi normativi.
In ogni caso il nuovo sistema deve essere attivato con la definizione dell’infrastruttura, del personale, del call center, ecc.
La notifica del sistema SPID (ma anche quella della CIE) effettuata in ambito eIDAS dovrà essere riproposta e aggiornata, con un cambio di rotta totale rispetto al modello proposto e approvato un paio di anni fa. E’ bene ricordare che il Vice Presidente della Commissione Europea, l’estone Andrus Ansip espresse un forte apprezzamento per il modello “privato” dell’identità SPID.
Nel testo dell’emendamento è poi completamente assente ogni riferimento al periodo transitorio. Come si opera, quali regole tecniche si applicano e in base a quale principio, fino alla completa operatività del Dipartimento sopra citato, gli IdP operano gratuitamente a titolo oneroso.
In queste circostanze molto fluide, rimane la certezza che questa norma, se approvata, porta all’ennesimo giro di giostra delle istituzioni dove il principio della qualità e dell’innovazione “ordinata”, Plan, Do, Check, Act è sempre sconfitto dal metodo del reset from start.
