L’emendamento del Governo – arrivato ieri – al decreto Milleproroghe, ora in conversione al Parlamento, conferma la volontà di centralizzare la gestione dello Spid nelle mani dello Stato.
Ma la resilienza e la sicurezza offerte da un sistema Spid distribuito sono maggiori e meglio gestibili di uno centralizzato attraverso l’intervento da parte dello Stato: le strade per favorire la diffusione e la sostenibilità del modello Spid andrebbero, pertanto, cercate altrove, in particolare nel potenziamento della capacità di controllo di AgID e nel coinvolgimento di operatori quali le banche.
Da un punto di vista di sicurezza e resilienza del servizio complessivo, centralizzare la gestione di Spid, comporta infatti diversi rischi. L’attenzione principale dev’essere alla capacità di garantire resilienza a un servizio critico per la protezione dei servizi offerti dalla Pubblica Amministrazione.
Le critiche (sbagliate) all’attuale modello
Una delle critiche al modello attuale è stata storicamente la sua sostenibilità economica. Questa critica si è dimostrata sbagliata, e ne è prova l’aumento nel tempo dei soggetti entrati in questo mercato, che adesso sono ormai una decina e comprendono anche una società a partecipazione pubblica come Lepida. Si tratta di soggetti che offrono già servizi di criticità paragonabile, come PEC o firma digitale, per i quali quindi non c’è motivo di non poter offrire anche Spid.
Il modello distribuito assicura la resilienza in caso di compromissione di uno dei fornitori, che in caso di incidente potrebbe essere escluso senza causare un blocco complessivo del servizio e la perdita di fiducia da parte dei cittadini nel meccanismo nel suo complesso.
In un servizio critico come Spid, è fondamentale il ruolo di controllo esercitato da AgID. Tuttavia, la capacità di AgID di esercitare un controllo sull’operato delle Pubbliche Amministrazioni è limitata, specialmente nei confronti delle amministrazioni centrali, ed ancor più lo è quella di imporre azioni correttive in caso di non conformità. Sembra quindi più importante investire sul ruolo di AgID come controllore, potenziandone l’operatività e le competenze: l’Autorità Garante per il trattamento dei dati personali ci mostra come un’agenzia pubblica possa essere efficace nella sua attività di controllo.
L’esempio del settore bancario
Un obiettivo importante rimane quello della diffusione capillare di Spid fra i cittadini. A questo scopo, può essere utile considerare il settore bancario. Un fraintendimento che si è protratto a lungo è che se le banche offrissero le proprie credenziali di accesso anche come credenziali Spid, sarebbero poi costrette ad accettare le credenziali Spid di terzi per l’accesso ai propri servizi. Non è così: in quanto Identity Provider, consentirebbero l’utilizzo delle proprie credenziali per l’accesso ai servizi della Pubblica Amministrazione, ma in quanto Service Provider, potrebbero decidere di non aderire a Spid e quindi di non accettare le credenziali di terzi. In effetti, diversi Identity Provider fanno già esattamente questo. Le banche potrebbero quindi effettivamente offrire le proprie credenziali di accesso come credenziali Spid, e non limitarsi a vendere il servizio di terzi come alcune già fanno.
Il livello di sicurezza delle banche per quanto riguarda l’accesso ai propri servizi è molto alto, specialmente se paragonato a quello delle Pubbliche Amministrazioni. Le banche sono già soggette a controlli molto stringenti ed a regolamenti specifici emanati a livello europeo, come quello sull’autenticazione forte (strong customer authentication) emanato nell’ambito della Direttiva PSD2.
Il livello di frode nell’accesso ai servizi di home banking è bassissimo, e per quanto non derivi solo dai meccanismi di autenticazione, è indice dell’efficacia sostanziale delle misure di sicurezza adottate in questo settore. Accettare le credenziali bancarie come credenziali SPID, ritenendo adeguato il livello di sicurezza richiesto dalle normative di settore e richiedendo solo l’eventuale necessario adeguamento al Regolamento eIDAS (e naturalmente, l’implementazione dei protocolli di identità federata), permetterebbe a milioni di italiani di trovarsi con credenziali SPID per l’accesso ai servizi della PA senza dover fare azioni aggiuntive se non accettare una variazione contrattuale con la propria banca. I cittadini che non desiderassero usufruire di questa soluzione, potrebbero comunque rivolgersi agli Identity Provider esistenti, pubblici o privati che siano.
Allo stesso tempo, può invece essere necessario limitare il numero di soggetti che entra nel mercato degli Identity Provider il cui controllo sia in carico ad AgID, proprio in considerazione delle sue limitate risorse. A questo scopo, e se necessario anche per permettere la remunerazione dei provider stessi, potrebbe essere utile considerare il passaggio ad un regime di concessione.
Le differenze tra Spid e CIE
Una considerazione merita la differenza fra Spid e la CIE: Spid ha un ruolo ben preciso nell’ambito del Regolamento eIDAS e dell’autenticazione remota a livello europeo, con una fruibilità maggiore nell’accesso ai servizi online, e consente ai cittadini e quindi anche alle imprese italiane di accedere a servizi di altri paesi dell’Unione. Questa possibilità dovrebbe essere potenziata, non ridotta. La disponibilità di più fornitori consente anche al cittadino di utilizzare credenziali e fornitori diversi per servizi diversi, riducendo la concentrazione di informazioni di tracciamento sulle proprie attività, ma consentendone nel contempo la ricostruzione quando legittimo.
Infine, è utile sottolineare il ruolo che può avere il domicilio digitale nella prevenzione del furto di identità su Spid, ma anche in altri contesti come quello del credito al consumo. L’invio obbligatorio di una notifica presso il domicilio digitale di qualsiasi creazione di credenziale o di autenticazione Spid (o di altre attività come l’apertura di conti correnti, finanziamenti o altro) potrebbe avere lo stesso impatto che ha avuto l’introduzione della notifica via SMS dell’utilizzo della carta di credito.