Sembrano conclusi, a oggi, i tentativi di riforma del sistema pubblico di identità digitale (SPID) e si ricomincia a ragionare, sulla base delle regole vigenti, del percorso futuro anche a fronte di una serie di aspetti positivi sulla crescita di SPID attestati in modo oggettivo dai numeri ufficiali del progetto messi a disposizione dalle fonti istituzionali e in particolare dall’Agenzia per l’Italia Digitale (AgID).
Analizziamo di seguito, sinteticamente, lo stato dell’arte, in termini di sviluppo di SPID, di regole attive, di altre vicine all’attivazione e di ragionevoli, ma ipotetiche evoluzioni del sistema di identità digitale.
Spid, lo stato dell’arte
Lo scorso 15 marzo 2020 SPID ha compiuto 4 anni di attività con 9 gestori dell’identità digitale (8 privati e uno pubblico) attivi. Le credenziali attivate alla data del 17 marzo sono quasi 6.200.000, le amministrazioni che offrono servizi tramite SPID quasi 4.500 (ancora poche rispetto al target istituzionale di 10.000 entro l’anno 2020).
Il tasso di crescita delle identità è attestato intorno alle 200.000 identità mensili ma ci sono picchi di oltre 100.000 identità settimanali nel corrente mese di marzo.
I fornitori di servizi privati sono 7 con numeri in crescita nel breve periodo (5 ulteriori soggetti) e una percezione ottimistica sulla crescita di questi numeri riportata da fonti AgID.
L’utilizzo di SPID è elevato. Nel 2019 le credenziali SPID sono state utilizzate circa 55 milioni di volte. Nel 2020 circa 6 milioni di volte nel mese di gennaio con un incremento di circa 200.000 utilizzi nel mese di febbraio.
L’emergenza sanitaria in corso e le esigenze di connessioni remote per il lavoro agile sia per il pubblico che il privato hanno stimolato le novità su SPID.
È consolidato il principio che SPID è gratuito in modo permanente per i cittadini (livello 1 e 2).
Spid per uso professionale
Una importante fattispecie di credenziali di identità è denominata come profilo di identità SPID per uso professionale in base alla Determinazione AgID 318/2019.
La determinazione appena citata trova la sua attuazione nell’allegato contenente le specifiche Linee guida.
Questa fattispecie di identità digitale ha lo scopo di provare l’appartenenza di una persona fisica all’organizzazione alla quale si fa riferimento tramite una persona giuridica e/o la sua qualità di professionista. Queste identità non costituiscono prova dei poteri di rappresentanza di una persona giuridica dei quali una persona fisica è eventualmente in possesso. Stesso principio per l’appartenenza di un professionista a un determinato ordine professionale o altra tipologia di elenco qualificato, anche questi elementi non sono attestati dall’identità SPID per uso professionale.
Per attestare queste caratteristiche il sistema SPID prevede regole diverse regole specifiche come stabilito nel DPCM 24 ottobre 2014 recante la “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID) …”.
In particolare, l’articolo 16 del sopra citato decreto stabilisce chi e in che modo è possibile attestare gli attributi qualificati tramite appositi gestori dedicati allo scopo.
Per diritto istituzionale sono gestori di attributi qualificati il Ministero dello sviluppo economico in relazione ai dati contenuti nell’indice nazionale degli indirizzi PEC delle imprese e dei professionisti di cui all’art. 6‐bis del CAD; i Consigli, gli Ordini e i Collegi delle professioni regolamentate relativamente all’attestazione dell’iscrizione agli albi professionali; le Camere di commercio, industria, artigianato e agricoltura per l’attestazione delle cariche e degli incarichi societari iscritti nel registro delle imprese.
AgID ha diritto per i dati contenuti nell’indice degli indirizzi della pubblica amministrazione e dei gestori di pubblici servizi.
Lo sviluppo dell’utilizzo dell’identità digitale per uso professionale è utilissimo per una serie di attività dove queste particolari credenziali rappresentano un legame opponibile ai terzi tra la persona fisica e l’organizzazione. La separazione tra credenziali private e professionali è cruciale per gestire problematiche di organizzazione del lavoro, accesso a funzioni digitale e ovviamente a dati personali.
Naturalmente un importante e ulteriore sviluppo è possibile con la messa in opera delle infrastrutture per gli attributi qualificati. Una granularità nel profilo dell’identità digitale può consentire anche di migliorare la conformità alle regole sulla protezione dei dati personali (GDPR) in quanto si riesce a gestire a priori i principi di autorizzazione al trattamento dei soggetti senza dover mescolare la persona fisica come privato cittadino e quella che opera come appartenente alla specifica organizzazione.
RAO e firma con Spid
Un’altra Linea guida attiva è quella del RAO pubblico.
Il termine RAO non è comune per i non addetti ai lavori ma è l’acronimo per indicare il Registration Authority Office. Si tratta della componente organizzativa che svolge l’attività di verifica dell’identità personale dei cittadini al fine del rilascio dell’identità digitale SPID.
È la pubblica amministrazione autorizzata a questa attività consentendo l’ampliamento dei punti di riconoscimento ai fini di SPID con il vantaggio di poter disporre di pubblici ufficiali per l’attività.
Il servizio è in fase di attivazione con lo specifico obiettivo di consentire all’intera PA di operare con un’unica applicazione comune a tutti i gestori dell’identità.
In data 25 marzo 2020 sono state pubblicate sul sito di AgID anche le Linee guida formalmente indicate come ex Art. 20 del Codice dell’amministrazione digitale (CAD); in linguaggio più comune si tratta della “firma con SPID”. Come è noto, in base all’articolo 71 del CAD, esse saranno in vigore il giorno successivo alla pubblicazione del previsto avviso nella Gazzetta Ufficiale della Repubblica Italiana quindi queste Linee guida saranno operative tra qualche giorno.
È indispensabile sottolineare che si tratta di una nuova ulteriore fattispecie di sottoscrizione digitale, valida solo a livello nazionale in quanto “esterna” ai confini del regolamento europeo 910/2014 (eIDAS).
È un servizio a valore aggiunto di SPID fruibile con identità di livello 2. Al documento informatico viene conferita la garanzia di autenticità e integrità e viene ampiamente tutelato il principio del WYSIWYS (What You See Is What You Sign – quello che vedi è quello che firmi) obbligatorio anche per le firme digitali.
Sulla base delle previsioni del CAD questa fattispecie di sottoscrizione integra il requisito della forma scritta e produce gli effetti dell’articolo 2702 del Codice civile.
AgID si aspetta i primi effetti a partire dal secondo semestre del 2020 che possono essere relativi alla possibilità di sottoscrizione di documenti informatici da parte dei cittadini titolari di credenziali SPID magari tramite l’utilizzo dell’integrazione funzionale dell’APP IO, disponibile da aprile 2020 sugli store.
Per scelta operativa e organizzativa sarà possibile sottoscrivere solo documenti in formato PDF. Per ragioni connesse al regolamento europeo eIDAS la validità delle sottoscrizioni è solo nazionale. Il disconoscimento è analogo a quello della sottoscrizione autografa ovvero meno complesso della firma digitale dove si richiede la querela di falso.
Conclusioni
Quanto scritto ci consente, senza dubbio, di affermare che le condizioni di SPID sono buone. Certamente rimangono irrisolti alcuni temi che dovrebbero essere consolidati con norme primarie.
In particolare, tra i numerosi emendamenti che si sono susseguiti nell’ultimo semestre andrebbe ripreso il fatto che la Carta d’Identità Elettronica (CIE) contiene informazioni per l’identità digitale. Questo fondamentale principio oggi è stabilito solo nelle regole tecniche.
Fondamentale sarebbe anche la definizione della data di fine del ciclo di vita della CNS che è oramai superata per l’identità in rete dalla CIE. Analogo discorso per le decine di milioni di PIN (password) attivi nell’accesso ai servizi pubblici.
Tra l’altro i risparmi derivanti dall’eliminazione delle duplicazioni potrebbero essere impiegati per il sostegno ai gestori dell’identità.
Inoltre, sarebbe utile sapere quante volte è utilizzata l’identità SPID dal singolo soggetto al netto dell’utilizzo semestrale per il rinnovo della password. Sarebbe anche utile sapere quanti cittadini usano per l’accesso la CIE. Questo dato è significativo solo con la disponibilità dei dati lato fornitori di servizi, considerato che l’attivazione della CIE come credenziale è a carico diretto dell’utente.
Si ritiene anche non ottimale la comunicazione su SPID che è ancora sconosciuto a buona parte dei cittadini.
Concludendo, in modo paradossale, dobbiamo dire che SPID ha un grande futuro dietro le spalle perché il futuro che si auspicava per questa identità digitale è stato rallentato specialmente negli ultimi mesi.
L’identità digitale è base indispensabile per ogni servizio digitale e deve essere sostenuta in modo convinto, efficace e omogeneo nel tempo.
Un piccolo contributo pubblico ai gestori dell’identità sarebbe utilissimo e potrebbe essere di gran lunga inferiore ai circa 20 milioni di euro pubblici dei quali si chiedeva lo stanziamento in sede di schemi legislativi.
L’identità per uso professionale rappresenta un importante carta da giocare per il sostegno del sistema SPID (importante è l’impegno del ClubTI e di Assolombarda) ma il vero elemento disruptive è la comunicazione su SPID oggi carente nei risultati rispetto agli sforzi del privato (solo alcune pubbliche amministrazioni si impegnano).
Il futuro di SPID è sempre migliore ma ancora fragile e su questo punto bisogna sforzarsi al massimo.
