Andiamo a lunghi passi versi un’identità digitale europea e l’Italia è in prima fila, con Spid. L’ultimo, decisivo, traguardo si è compiuto l’11 luglio scorso presso la Commissione europea, con la riunione del Cooperation Network, il gruppo permanente di collaborazione fra gli Stati membri dell’Unione europea previsto dal regolamento eIDAS (n. 910/2014) in materia di servizi fiduciari qualificati (fra questi firma e sigilli elettronici qualificati, servizi di validazione temporale e di recapito certificato, ecc.) e dei cosiddetti schemi di identificazione elettronica.
Cosa sono gli schemi di identificazione elettronica
Gli schemi di identificazione elettronica sono i sistemi nazionali di autenticazione ai servizi in rete che gli Stati membri possono far riconoscere in Europa, con l’obiettivo di consentire ai titolari degli stessi di utilizzarli per l’accesso ai servizi in rete dell’intera Unione.
Il regolamento eIDAS prevede la possibilità di ottenere il mutuo riconoscimento degli schemi di identificazione elettronica nazionali, a condizione che rispettino stringenti norme attuative emanate dalla Commissione Eu.
Durante la riunione si è chiuso il processo, iniziato dai rappresentati dell’Agenzia per l’Italia Digitale alla fine dello scorso anno, volto al mutuo riconoscimento del sistema SPID. Prossimo passo è la notifica formale alla Commissione (attesa a breve) cui seguirà, entro due mesi, la pubblicazione dello SPID nella Gazzetta Ufficiale dell’Unione.
Da tale data inizia a decorrere il termine di dodici mesi entro il quale gli altri Stati membri devono consentire l’accesso ai servizi in rete delle proprie pubbliche amministrazioni, riconoscendo le identità digitali SPID del livello previsto per l’accesso a detti servizi (o livello superiore). Gli Stati membri sono liberi di anticipare tale riconoscimento.
I tre livelli di sicurezza dal regolamento eIDAS
I livelli introdotti dal regolamento eIDAS, normati dal regolamento di esecuzione della Commissione europea numero 1502 dell’8 settembre 2015, sono tre (low, substantial e high), corrispondenti ai tre livelli dello SPID.
Il processo di notifica prevede un periodo di alcuni mesi durante il quale tutti gli Stati membri che hanno deciso di partecipare al processo di analisi e valutazione dello schema presentato dallo Stato interessato, ricevono la documentazione dello schema, hanno incontri e confronti con lo Stato notificante al fine di ottenere ulteriori informazioni.
Al peer review dello SPID hanno partecipato Austria, Belgio, Croazia, Francia, Estonia, Germania, Latvia, Lussemburgo, Olanda, Regno Unito, con un totale di 20 esperti e 35 osservatori
Per la notifica dello SPID sono stati forniti oltre 30 documenti, si è risposto a circa 130 quesiti scritti e si sono tenuti incontri per circa 10 ore. L’esito del lavoro condotto dal servizio Accreditamento di AgID, è terminato con l’approvazione unanime degli altri Stati membri del sistema SPID.
Un complesso processo di notifica
Il processo di notifica è stato molto complicato per le caratteristiche dello SPID. Lo SPID, infatti, è un sistema di identità federata innovativo in Europa, basato sull’utilizzo di sistemi di mobilità e sul coinvolgimento di aziende private che, in qualità di gestori di servizio pubblico, svolgono il ruolo di gestori di identità sotto il controllo dello Stato, attraverso l’AgID.
Altri Stati hanno eseguito il processo di notifica, semplificato dall’unicità dello strumento (carta di identità elettronica e simili) e da un unico gestore di identità digitale, in genere il Ministero dell’Interno.
I regolamenti europei prescrivono che il processo di notifica debba essere eseguito nei confronti di ogni singolo gestore di identità e per ogni strumento di autenticazione fornito.
Con il processo di notifica dello SPID appena concluso, sono stati notificati gli attuali otto gestori (ArubaPEC, In.Te.S.A., InfoCert, Namirial, Poste Italiane, Register, Sielte e TI Trust Technologies), riconducendo gli attuali 34 strumenti di autenticazione a 9 fattispecie.
Conseguenza di tale previsione regolamentare è l‘obbligo di effettuare un nuovo processo di notifica per ogni nuovo eventuale gestore di identità, come anche per nuove tipologie di credenziali di autenticazione nel caso in cui un gestore già operativo ottenga, per il loro uso, la prevista autorizzazione dall’AgID.
I tempi per accedere ai servizi in rete delle PA europee
Questo comporta che gli utenti di un eventuale nuovo gestore (o coloro che utilizzano nuove tipologie di credenziali) dovranno attendere il termine del processo di notifica per poter accedere ai servizi in rete delle pubbliche amministrazioni dell’Unione europea, fermo restando che potranno utilizzare da subito le proprie credenziali in ambito nazionale.
L’Italia è il secondo Stato ad aver ultimato detto processo (la prima è stata la Germania con carta di identità e permesso di soggiorno elettronici), ma anche Croazia, Estonia, Lussemburgo e Spagna hanno ultimato il processo di notifica. Belgio e Portogallo lo hanno appena iniziato.
Verso un’identità digitale europea
Il significato di questo mutuo riconoscimento è profondo e va oltre la fruibilità dei servizi in rete, rendendo possibile realizzare l’identità digitale europea che, sebbene sia realizzata con tecnologie differenti nei diversi stati, costituisce un’unica identità del cittadino nell’Unione.
Abbiamo sentito spesso riferirsi allo SPID come a un sistema che con una password unica consente ai cittadini di interagire con tutte le pubbliche amministrazioni. Certamente è una eccessiva semplificazione, sebbene renda bene l’idea, più propriamente ci si dovrebbe riferire a un’unica identità, che prevede l’uso di una sola password, come anche di sistemi a doppio fattore di autenticazione da utilizzare a seconda della fattispecie del servizio e della sensibilità dei dati trattati (utenza + password + OTP).
Ma il concetto resta valido: con la nostra identità digitale abbiamo la possibilità di interagire non solo con le pubbliche amministrazioni nazionali ma, fra non molto, anche con quelle dell’Unione europea.
Cosa attenderci per il futuro
In ambito nazionale, la volontà espressa dal precedente governo è di consentire anche l’uso della nuova carta di identità elettronica per l’accesso ai servizi in rete europei.
Salvo mutamento della volontà politica, prossimamente l’AgID provvederà a iniziare l’iter per la notifica della carta di identità elettronica, assieme al Ministero dell’Interno in quanto detentore del progetto e all’Istituto Poligrafico e Zecca dello Stato che cura la realizzazione dell’infrastruttura e la produzione del documento.
La documentazione necessaria è già in corso di avanzata stesura e si prevede di iniziare il processo di notifica entro l’anno.
Nell’ambito dell’Unione possiamo attenderci la notifica degli strumenti di autenticazione nazionali da parte dei restanti Stati membri. Nei prossimi anni, tutti i cittadini europei disporranno di almeno uno strumento per accedere ai servizi in rete di tutta l’Unione europea, interagendo con le pubbliche amministrazioni con conseguente semplificazione dei processi amministrativi.
L’ingresso di soggetti privati nello SPID
In ambito nazionale è già previsto che nello SPID possano entrare soggetti privati in qualità di fornitori di servizi in rete. In ambito europeo vi è una questione da chiarire. La norma comunitaria prevede la gratuità del processo di autenticazione in favore delle pubbliche amministrazioni che forniscono servizi online, ma non per i privati, per i quali non sono state individuate delle modalità attuative. Ma anche questo ostacolo sarà superato. Certo, ad oggi, i privati ancora sono poco presenti (Lottomatica e Bnl, Ndr.), ma arriveranno, allettati da una customer base che tenderà a coprire tutti i cittadini europei.
In conclusione, con la notifica, il Sistema Pubblico di Identità Digitale allarga i propri confini, da quelli nazionali a quelli dell’intera Unione europea.
Ringrazio i componenti dell’ottimo team: Walter Arrighetti, Dario Biani, Michele D’Amico, Annachiara Di Paolo, Antonio Florio, Stefano Ianniello, Umberto Rosini, Antonio Giovanni Schiavone, Andrea Spallacci, Riccardo Susigan e Cristina Valiante.
Ringrazio anche il Dipartimento del Tesoro (Direzione V) del Ministero dell’Economia e Consap per il loro supporto allo SPID al fine di garantire la sicurezza del processo di rilascio delle identità digitali senza il quale la notifica sarebbe stata molto più complessa, se non impossibile.