Le nuove regole Agid su Spid, con tariffe più ragionevoli per i fornitori di servizi privati, sono un passo importante nella giusta direzione. Porterà benefici allo sviluppo del sistema. La nascita dei servizi privati Spid è del resto la base per rendere sostenibile il modello di business dei gestori dell’identità digitale. Il che è proprio il nodo che più sta mettendo in difficoltà il destino di Spid..
Anche il modello operativo pensato da Agid appare ben ragionato e semplificato per quanto possibile rispetto alla complessità progettuale.
La nuova Determinazione Agid
La Determinazione del 21 giugno 2019, n.166/2019 recante “Emanazione nuovi schemi di convenzione per l’adesione al sistema pubblico dell’identità digitale (SPID) per i gestori delle identità digitali e per i fornitori privati di servizi” aggiorna e abroga (dopo circa 18 mesi) la Determinazione 366/2017 diminuendo in modo significativo le tariffe per i fornitori di servizi SPID da parte di soggetti privati introdotte dalla Determinazione precedente.
Può essere utile ricordare che nel Sistema Pubblico di Identità Digitale i soggetti coinvolti sono i Gestori delle identità digitali (IdP), i gestori degli attributi qualificati, i fornitori pubblici o privati di servizi e i titolari delle credenziali SPID rilasciate dagli IdP.
Le pubbliche amministrazioni già all’inizio delle attività nel marzo 2016 hanno iniziato a fornire, per obbligo normativo, servizi in rete accessibili tramite SPID. Il D.Lgs 217/2017 che ha modificato e integrato il Codice dell’amministrazione digitale ha stabilito che “Le pubbliche amministrazioni in qualità di fornitori dei servizi, usufruiscono gratuitamente delle verifiche rese disponibili dai gestori di identità digitali e dai gestori di attributi qualificati” (art. 64, comma 3-bis).
Questa regola associata alla indicazione istituzionale (questa fattispecie non è stabilita in nessuna norma di Legge) agli IdP di rilascio gratuito delle credenziali ai cittadini rende fondamentale per la sostenibilità economica di SPID il corrispettivo che gli IdP ricavano dalla tariffazione che devono applicare quando è un soggetto privato a richiedere le verifiche a loro carico.
La precedente Determinazione 366/2017 è stata giudicata eccessivamente onerosa dal mercato anche se AgID, all’epoca la pubblicò in accordo con gli IdP.
Anche in questo caso, come ben evidenziato da AgID le regole sono state emesse previa consultazione con gli IdP e loro esplicita approvazione.
La Determinazione è composta di alcuni allegati:
- schema di convenzione tra AgID e l’IdP;
- schema di convenzione tra AgID e il fornitore di servizi privato (SP);
- un addendum alla convenzione che ribadisce le regole del circuito SPID;
- lo schema di contratto per l’autenticazione delle credenziali SPID tra IdP e SP;
- caratteristiche degli indicatori di qualità e livelli di servizio per gli IdP;
- corrispettivi per il servizio di autenticazione SPID.
Non sono molte le differenze con la 366/2017 e comunque non sono importanti per la nostra analisi concentrata sulle nuove modalità di calcolo dei corrispettivi.
Le definizioni
I soggetti privati che intendono operare come fornitori di servizi in ambito SPID devono stipulare un’apposita convenzione con AgID che mantiene il suo di controllo anche su questi soggetti.
Nell’allegato sui corrispettivi le definizioni sono fondamentali per comprendere l’articolato successivo:
- Autenticazione – il processo con cui il Fornitore di Servizi chiede di ricevere dal Gestore dell’Identità digitale l’ID SPID e/o uno o tutti gli attributi dell’anagrafica (Codice Fiscale, Nome, Cognome, Sesso, Data di Nascita, Luogo di Nascita).
- Registrazione – il processo con cui il Fornitore di Servizi chiede di ricevere dal Gestore dell’Identità digitale l’ID SPID e/o uno o tutti gli attributi extra-anagrafica. La richiesta di registrazione dà diritto di ricevere anche tutti gli attributi dell’anagrafica. Tipicamente il Fornitore di Servizi che fa una richiesta di registrazione richiede tutta l’anagrafica e tutti gli attributi extra-anagrafica.
- Utente unico – la persona fisica o giuridica che utilizza la propria identità digitale SPID per accedere una o più volte ad un servizio in rete.
- Periodo di fatturazione – intervallo di tempo che va dal 1 gennaio al 31 dicembre di ogni anno.
Il modello di generazione del prezzo
Il modello di generazione del prezzo (modello di pricing) è chiaramente definito secondo la logica che la Determinazione chiama “pay per user”. Nell’ambito di ciascun periodo di fatturazione, gli accessi effettuati dal definito “utente unico” sono fatturati dal singolo IdP una sola volta per ogni fornitore di servizi (service provider – SP) senza tener conto della numerosità degli accessi.
Per retribuire in modo congruo le transazioni di accesso con SPID vengono definiti due scenari ai quali collegare il prezzo mediante il numero e la tipologia di attributi richiesti dal SP.
La Determinazione stabilisce:
- Accessi in modalità ‘Autenticazione’: autenticazioni SPID con richiesta dei soli attributi dell’anagrafica del Titolare
- Accessi in modalità ‘Registrazione’: autenticazioni SPID con richiesta di attributi non legati all’anagrafica del Titolare (cfr. Definizioni) ed eventuale richiesta di attributi dell’anagrafica del Titolare.
Se, all’interno dello stesso periodo di fatturazione, un Utente unico acceda allo stesso Fornitore di Servizi sia in modalità ‘Autenticazione’ che in modalità ‘Registrazione’, il SP paga un unico corrispettivo calcolato sulla base delle tariffe per gli accessi in modalità ‘Registrazione’.
Il calcolo del corrispettivo
Sviluppando queste logiche il calcolo del corrispettivo che i SP dovranno pagare annualmente agli IdP è calcolato sulla base della formula (dalla formula matematica nella Determinazione presentata per comodità del lettore anche in linguaggio naturale):
n
𝐶𝑜𝑟𝑟𝑖𝑠𝑝𝑒𝑡𝑡𝑖𝑣𝑜 = [𝑃autenticazione 𝑥 (𝑈𝑈autenticazione )i + 𝑃registrazione 𝑥 (𝑈𝑈registrazione)i]
i=1
Il corrispettivo è pari alla somma di tutti gli IdP (n) della ulteriore somma dei prezzi di tutte le autenticazioni con i prezzi di tutte le registrazioni.
La Determinazione presenta la tabella che stabilisce le tariffe applicabili, come stabilito nell’articolo 7, comma 1 del Contratto, per i SP e per ogni periodo di fatturazione.
| Utenti unici per anno/IdP | Login in modalità “Autenticazione” con credenziali di livello 1 o 2 | Login in modalità “Registrazione” con credenziali di livello 1 o 2 | Login in modalità “Autenticazione” con credenziali di livello 3 | Login in modalità “Registrazione” con credenziali di livello 3 |
| 0 ‐ 1000 | 0 € | 3,5 € | 0 € | 7 € |
| > 1000 | 0,4 € | 3,5 € | 7 € | 7 € |
In base alle logiche funzionali di base di SPID se, all’interno dello stesso periodo di fatturazione, un Utente unico acceda allo stesso Fornitore di Servizi sia con credenziali di livello 3 che con credenziali di livello 1 o 2, il Fornitore di Servizi paga solo il corrispettivo previsto per gli accessi con credenziali di livello 3.
In questa versione della Determinazione risulta di rilevante importanza la volontà di facilitare l’ingresso nel Circuito SPID per SP di piccole dimensioni e incentivare la sperimentazione del Servizio. Viene quindi prevista la gratuità per i primi 1000 utenti unici che accedono in modalità ‘autenticazione’ per ciascuna coppia SP/IdP.
Le modalità di fatturazione
Sono fisiologicamente complesse le modalità di fatturazione, per le quali servirà anche una riconciliazione dei dati tra IdP e SP.
Durante il periodo di fatturazione gli IdP rendono disponibili ai Fornitori di Servizi dei rendiconti trimestrali, opportunamente anonimizzati, contenenti l’elenco delle transazioni di autenticazione conclusesi con esito positivo (asserzione di autenticazione generata dal Gestore dell’Identità), classificate con la relativa ‘modalità’ (Autenticazione o Registrazione).
I SP avranno a disposizione 10 giorni da parte degli IdP dei rendiconti, prodotti anch’essi con tale periodicità su base trimestrale.
Il Gestore dell’Identità digitale procederà all’emissione della fattura e all’invio della stessa al SP entro il 10 gennaio dell’anno successivo a quello a cui si riferisce il “Periodo di fatturazione”.
Non è prevista l’emissione di una fattura per i Fornitori di Servizi che non hanno generato transazioni di accesso nel periodo di fatturazione di riferimento o che hanno generato un numero di transazioni di autenticazione al di sotto della soglia di promozione prevista.
I Fornitori di Servizi riceveranno, al massimo, un numero di fatture pari al numero dei Gestori dell’Identità SPID.
In conclusione: bene, ma non è finita qui
Abbiamo già sottolineato come le tariffe previste siano più ragionevoli rispetto alle esigenze del mercato e il modello operativo sia ben ragionato e semplificato. Molto positivo anche il fatto di tenere conto del mondo delle piccole realtà ovvero anche delle startup.
Rimane aperta la vicenda di grandi strutture private che offrono servizi al pubblico in convenzione con la PA come le grandi strutture sanitarie. Poiché i servizi sono resi a prezzi congrui pari a quelli della PA sarebbe utile uno sforzo per riconoscere questi servizi come resi direttamente dalla PA.
In ogni caso il percorso di SPID segna senz’altro un punto strategico a suo favore e si spera che il mercato privato ne tenga conto in modo sufficiente a finanziare gli IdP.
