Si scrive SPID e si legge «Sistema Pubblico di Identità Digitale», tuttavia a un orecchio anglofono l’acronimo significa anche “velocità”, termine che mal si addice alle recenti esperienze di utilizzo delle nuove credenziali pubbliche.
Basta chiederlo alle migliaia di cittadini in “coda” virtuale, per la richiesta dei vari bonus anti Covid che, nei mesi scorsi, si sono affannati in più riprese per accedere ai siti web di Inps o di altri Enti Pubblici.
Ma cosa davvero non va del nuovo sistema di autenticazione pubblico?
Performance scadenti e complessità di utilizzo
Diciamo innanzitutto che unificare la miriade di modalità di accesso ai vari servizi online della PA in un unico sistema di identificazione del cittadino è un grosso passo in avanti e semplifica veramente l’utilizzo dei servizi pubblici fruibili via web. A regime, con un’unica credenziale si potrà richiedere la pensione, iscrivere il figlio a scuola o accedere ai servizi del proprio Comune per il pagamento dei tributi o per la mensa scolastica.
Questo bel traguardo, teoricamente auspicabile da qualsiasi cittadino, viene però vanificato nella pratica che si scontra con performance scadenti e una complessità di utilizzo davvero poco user-friendly. Performance e complessità sono le due facce della stessa medaglia considerato che il modello di sicurezza a tre fattori e triangolare prevede l’utilizzo di più infrastrutture, quelle del service provider che eroga il servizio specifico e quelle dell’identity provider che valida l’identità personale e invia il codice di sicurezza che abilità l’accesso ai servizi.
Quindi venendo a un caso pratico, quello del bonus bici, sono coinvolti il portale web del Ministero dell’Ambiente, il sito web dell’identity provider, ad esempio Poste.it, l’App PosteId installata nel proprio smartphone, oltre chiaramente a tutti i supporti fisici di rete, WiFi, eccetera. È sufficiente che anche uno solo di questi componenti non sia ben tarato o sufficientemente scalabile al crescere delle richieste che tutto il sistema va in tilt.
La scadenza mancata del 28 febbraio
Finché parliamo di bonus e di operazioni tutto sommato rinviabili il rallentamento disturba ma non ferma il Paese, cosa succederà però quando SPID diventerà l’unico modo per qualsiasi operazione telematica con la PA, dal pagamento delle imposte all’invio delle dichiarazioni dei redditi?
Il decreto Semplificazioni del 2020 (Legge n. 120/2020), modificando l’articolo 3-bis del CAD (Codice dell’Amministrazione Digitale), ha stabilito che dal 1° marzo 2021 le pubbliche amministrazioni non possono più rilasciare ai cittadini nuove credenziali proprietarie per accedere ai servizi online, ma i medesimi, in caso di nuovi utenti, dovranno utilizzare solo SPID o la CIE (carta identità elettronica). Dal 1° ottobre 2021, infine, le credenziali proprietarie rilasciate ai cittadini verranno definitivamente dismesse.
PA Digitale, il flop del 28 febbraio: un brutto colpo alla credibilità istituzionale
Gli ostacoli per imprese e professionisti
Il citato decreto, tuttavia, si è anche preoccupato di fare un distinguo importante prevedendo che l’accesso da parte di imprese e professionisti sarebbe comunque stato garantito con le vecchie modalità fino alla pubblicazione di un nuovo decreto, la cui data e i contenuti sono ancora da definire.
Quindi il Legislatore, ben conscio che i soggetti professionali avevano modalità più articolate e complesse per accedere ai servizi online, aveva differenziato i termini prevedendo un’analisi più approfondita dalla quale sarebbe scaturito un nuovo provvedimento ad hoc.
Purtroppo, come spesso accade in Italia, la Legge lascia spazi di interpretazione che si traducono poi in soluzioni e regole diverse.
Avendo distinto la norma tra cittadini e altri soggetti (professionisti e imprese) è risultato naturale, per molti Enti, bloccare l’accesso con le vecchie credenziali a tutte le persone fisiche non titolari di partita IVA, dimenticando che in realtà la maggior parte dei soggetti professionali sono rappresentati da persone fisiche prive di partita IVA (ad es. amministratori, rappresentanti legali, ecc.) che, quindi, pur agendo a nome di un’impresa, sarebbero stati trattati alla stregua dei privati cittadini con obbligo di SPID.
Stessa sorte per professionisti e intermediari in genere, dove è pur vero che il singolo titolare dello studio avrebbe mantenuto inalterato l’accesso, ma eventuali persone delegate (i cosiddetti “incaricati”) sono normalmente persone fisiche senza partita IVA e quindi nuovamente considerate cittadini.
La problematica si fa ancor più intricata quando l’accesso ai servizi online avviene da applicativi Client (vedi il desktop telematico dell’Agenzia delle Entrate) che per definizione non può avere accesso a SPID e utilizza le credenziali proprietarie.
Dobbiamo riconoscere che in questo complicato puzzle alcune amministrazioni si sono mosse meglio di altre, adottando un approccio meno burocratico e comunicando in modo chiaro il comportamento adottato. È il caso dell’Agenzia delle Entrate che, nel proprio sito web, segnala che “Le persone fisiche, prima di poter operare per le società e/o per gli enti per i quali siano stati autorizzati, devono identificarsi. Dal 1° ottobre 2021 potranno farlo esclusivamente con SPID o CIE o CNS, a meno che siano titolari di partita IVA”.
Le proposte di Assosoftware
Credo che sia necessaria una profonda riflessione su come migliorare il sistema di identità digitale partendo da alcune proposte che, come AssoSoftware, abbiamo già inviato agli enti competenti e che qui sintetizzo:
- Svincolare da SPID tutti gli accessi business di aziende e intermediari sfruttando la cooperazione applicativa tra software gestionali e servizi pubblici, identificando il soggetto tramite un certificato di firma installato nel sistema del richiedente. In questo modo, la maggior parte delle richieste potranno essere fatte direttamente da professionisti, Caf, Associazioni di categoria, per conto dei loro assistiti e automaticamente dai loro applicativi gestionali senza dover necessariamente accedere ai portali online pubblici.
- Rilasciare le credenziali SPID professionali, collegate al ruolo della persona fisica all’interno della specifica organizzazione e quindi dedicate alle attività quotidiane che i soggetti giuridici devono svolgere per adempiere agli obblighi di legge.
- Tarare e dimensionare correttamente i vari sistemi di accesso dei service provider e degli identity provider tramite ripetuti stress test (non a carico dei cittadini!). Prevedere allo stesso tempo soluzioni di recovery e fallback in caso di blocco del sistema.
È evidente che per raggiungere questi obiettivi bisogna dedicare personale e risorse adeguate, cosa che, in questa fase dell’emergenza sanitaria da pandemia, non è per nulla facile.
Credo quindi, soppesando priorità e vantaggi, che sarà inevitabile rivedere la roadmap attuale di migrazione a SPID che al momento prevede il passaggio obbligatorio al nuovo sistema di identificazione digitale a partire dalla fine di settembre 2021.
Spid, che c’è da fare dopo la scadenza (mancata) del 28 febbraio
