Lo switch-off digitale è previsto da tempo nel Codice dell’Amministrazione Digitale e a lungo atteso.
Dal 30 settembre 2021, per effetto del Decreto Semplificazioni del 2020 (D.L. n.76), le pubbliche amministrazioni dovranno consentire l’accesso ai propri servizi online da parte dei cittadini esclusivamente attraverso le identità digitali nazionali, cioè tramite la Carta d’Identità Elettronica (CIE), oppure tramite SPID.
Le credenziali adottate dai singoli Enti, ovvero le classiche username/password e i PIN autorizzativi, non saranno più idonee per usufruire dei servizi digitali della PA: già dal primo marzo 2021 non ne vengono rilasciate di nuove.
Ma per rendere davvero possibile ed efficace lo switch-off digitale mancava abilitare all’utilizzo dei servizi digitali anche coloro che, per molteplici ragioni (volontà, divieti o impedimenti) non riescono a ottenere un’identità digitale oppure, avendola, non sono in grado di utilizzarla al meglio. Ciò riguarda non solo le persone con una limitata alfabetizzazione digitale, ma anche quelle soggette a diverse forme di tutele, per effetto delle quali è un terzo a rappresentarli nei confronti dello Stato e dei privati.
Il nuovo Decreto Semplificazioni 2021 ha previsto l’istituzione del Sistema di Gestione delle Deleghe (SGD) attraverso cui i cittadini che ne hanno bisogno potranno autorizzare altri soggetti (cd. delegati), muniti di CIE o SPID, ad accedere ai propri servizi PA online.
Switch-off digitale: cosa cambierà con il nuovo sistema di deleghe
Il DL Semplificazioni 2021 introduce nell’ordinamento italiano un’importante novità, il concetto di delega digitale, definita come un particolare attributo qualificato (termine familiare a chi conosce l’attuale ecosistema dello SPID) che di fatto consiste nell’associazione tra l’identità di un delegato, quella di un delegante, e uno o più servizi resi disponibili dai service provider.
L’SGD consente appunto di raccogliere tali attributi qualificati, permettere al delegato di fruire dei servizi online dei service provider per conto del delegante e fornire al delegante tutte le informazioni relative agli accessi effettuati con la propria identità dal delegato.
Titolare dell’SGD è il Ministero per l’innovazione tecnologica e la transizione digitale (MITD) che per la realizzazione e per l’esercizio del sistema si avvale del Poligrafico e Zecca dello Stato, già gestore per conto del Ministero dell’Interno dell’ecosistema di servizi della Carta di Identità Elettronica.
Ma come funziona oggi una delega online? L’unica soluzione è fornire al delegato individuato la propria identità digitale. Un esempio su tutti: il nonno che consegna al nipote la propria username e relativa password, la CIE con il suo PIN, oppure le proprie credenziali SPID.
Una soluzione che, oltre ad essere vietata, costituisce un enorme problema di sicurezza poiché il delegante non può più conoscere né discriminare come venga utilizzata la propria identità digitale; il delegato, di fatto, impersonìfica il delegante, senza che il service provider possa rendersi conto che il servizio non è stato utilizzato dal legittimo titolare dell’identità digitale, ma da un suo delegato.
Come funzioneranno, invece, le nuove deleghe digitali per lo switch-off efficace? Innanzitutto, lo ripetiamo, si tratta di attributi qualificati, il che significa che gli erogatori di servizio richiederanno tale delega all’SGD tramite gli stessi protocolli informatici che già oggi permettono ai cittadini di utilizzare CIE e SPID.
Le deleghe digitali hanno un ciclo-vita scandito in due momenti fondamentali: la creazione e l’utilizzo.
In un primo momento, la delega è “creata” presso l’SGD; su questo passaggio si tornerà a breve.
In uno o più momenti successivi, invece, il delegato – identificato presso il service provider tramite la propria identità CIE o SPID – richiede di poter accedere ad un determinato servizio per conto di un terzo, il delegante. A questo punto, il service provider interroga applicativamente il SGD – presso il quale il delegato viene nuovamente autenticato – e solo se il delegato possiede una delega valida per il servizio richiesto, il sistema fornisce conferma al service provider insieme all’identità del delegante.
Non vi è dunque alcuna impersonificazione: è il delegato a presentarsi in modo trasparente e tracciabile al service provider, munito di un attributo qualificato recante l’identità digitale del delegante.
La delega digitale è valida solo per i servizi e i service provider per i quali è stata preventivamente creata, ma ha anche altri vincoli di validità (p.es. la data di scadenza, o un numero massimo di utilizzi, la possibilità di essere revocata), per limitarne l’utilizzo da parte del delegato.
Il medesimo sistema è idoneo anche a realizzare scenari in cui la delega è utilizzata per servizi “analogici” o “a sportello,” quali ad esempio la delega per il ritiro di pacchi o documenti cartacei presso sedi fisiche.
Switch-off digitale: come creare una delega per i servizi online
La creazione della delega – in un primo caso detta “semplice” – questa può essere fatta in due modi: digitalmente, con il delegante che si autentica direttamente presso l’SGD mediante la propria identità digitale CIE o SPID, oppure presso lo sportello di Enti che saranno individuati, ove il delegante può recarsi di persona ed è identificato “de visu”. Dopo che il delegante ha creato una delega semplice, il delegato è chiamato ad autenticarsi presso l’SGD con la propria identità digitale, per accettare o meno tale delega.
Una terza modalità – si parla in questo caso di delega “generale” – è prevista per i tutori: sono questi a recarsi di persona presso tali sportelli, muniti di un provvedimento legalmente valido (p.es. rilasciato da un Tribunale). In tale scenario “invertito”, in cui è il rappresentante/delegato a richiedere per se stesso la creazione di una delega, per conto del rappresentato/delegante, la delega è valida per tutti i servizi delegabili di qualsiasi service provider.
Ogni successiva modifica o uso di una delega – sia semplice che generale – è sempre comunicata via e-mail dall’SGD all’interessato (delegante e/o delegato, a seconda dei casi).
Deleghe digitali: come è garantita la sicurezza
La sicurezza delle deleghe digitali è assicurata dai meccanismi crittografici previsti nei protocolli di comunicazione tra i tre sistemi coinvolti: il service provider, l’SGD e il gestore delle identità digitali del delegato, nonché dalla duplice richiesta di autenticazione nei confronti del delegato: una presso il service provider e l’altra presso l’SGD.
Per l’autenticazione all’SGD il delegato dovrà usare la propria CIE, che offre il massimo livello di sicurezza previsto dal Regolamento “eIDAS”, ovvero uno SPID almeno di livello 2 che equivale al livello di garanzia sostanziale previsto da tale norma. Inoltre, la tracciatura automatica, che sia l’SGD che il service provider effettuano su ogni singolo utilizzo di una delega, e che è resa disponibile dall’SGD sia al delegato che al delegante, costituisce un ulteriore deterrente nell’uso improprio di tali attributi qualificati, oltre a dare la possibilità al delegante di revocare in qualsiasi momento una delega digitale non riconosciuta o non più necessaria.
Si limitano così anche i rischi che oggi presentano le deleghe cartacee ex DPR 445/2000, facilmente falsificabili e potenzialmente rispendibili in modo non autorizzato presentate con la fotocopia del documento di identità del delegante.
Switch-off digitale: i possibili scenari di utilizzo dei servizi online
Il D.L. Semplificazioni 2021 prescrive l’adozione delle deleghe digitali da parte delle PP.AA. che avverrà mediante un processo di adesione simile a quello previsto per le federazioni CIE e SPID e che, insieme alle regole tecniche e di funzionamento del sistema, sarà descritto in un DPCM di prossima emanazione.
È auspicabile che codeste deleghe digitali aprano la strada a nuovi scenari d’uso di servizi online. Ad esempio, un paziente potrebbe creare una delega verso il proprio medico di base, abilitandolo a scaricare uno specifico referto diagnostico (identificato da un numero di serie che il paziente comunica al SGD in sede di creazione della delega), affinché il medico/delegato lo utilizzi immediatamente per la cura del paziente/delegante.
Come altro esempio, un soggetto può delegare il vicino di casa, più esperto, ad assolvere alle sue pratiche per la raccolta dei rifiuti esclusivamente per il mese in corso (imposto tramite una scadenza temporale o legato ad un solo utilizzo dell’attributo qualificato).
In questi casi, la certezza che la delega non potrà essere usata per altri scopi, né presso Enti diversi, né al di là dell’esiguo limite di validità, consente di delegare più serenamente, per piccoli servizi online, anche persone verso le quali non si riponga lo stesso grado di fiducia necessario, invece, per delegare operazioni ben più sensibili. In questi esempi è anche netto il confronto con la delega “cartacea”: ben più falsificabile e rispendibile.
In futuro si prevede di estendere le funzionalità dell’SGD, incluso il suo utilizzo mediante le altre identità digitali europee conformi al Regolamento eIDAS, di adeguarlo ai nuovi protocolli di comunicazione che SPID e CIE, via via, adotteranno e soprattutto di far interagire le deleghe digitali con gli altri attributi qualificati e non qualificati per i quali verranno attivati i gestori (p. es.: Ordini professionali, Camere di Commercio, pubblici registri e varie tipologie di soggetti privati), abilitando anche in questo caso nuovi scenari di utilizzo sempre più automatizzati e semplici da fruire per il cittadino.
