A giugno 2014 l’Agenzia per l’Italia Digitale (Agid) ha organizzato una riunione per lanciare il Pilota SPID. Erano presenti rappresentanti di 18 Regioni, 6 Comuni, Banche, Assocertificatori (Associazione dei Certificatori di Firma Digitale e PEC), PA centrali. Ricordo che un consulente della ministra Madia affermò con veemenza “le PA devono fare i Service provider e quindi investire per aumentare l’offerta ai cittadini e i privati saranno IDentity Providers”.
Nelle riunioni successive si ipotizzò anche la possibilità che i cittadini pagassero qualcosa tipo due euro l’anno. Ma poi, dopo mesi di lavoro, Agid ha affermato che i cittadini non dovevano pagare nulla.
L’identità digitale Spid non è un Pin unico per il cittadino, ma è un servizio molto oneroso con significative responsabilità da parte degli IP.
I soggetti richiedenti vanno identificati con certezza (de visu, con sistemi di registrazione audio/video, oppure tramite firma digitale o CNS, eccetera) e comunque le evidenze dell’identificazione debbono essere conservate per 20 anni dall’eventuale revoca o cessazione. Il cittadino può richiedere gratuitamente la modifica degli attributi identificativi. L’IP deve revocare l’identità digitale se inattiva per oltre 24 mesi o in caso di decesso eccetera.
In fase di identificazione e nel corso del tempo almeno una volta all’anno IP deve verificare alcuni dati identificativi interrogando la banca dati di Consap (a pagamento).
Un servizio che in realtà se fatto con la dovuta attenzione dovrebbe tutelare il cittadino da frodi informatiche della sua identità non può essere banalizzato “un cittadino un Pin”.
Voglio dire che il sistema Spid è un sistema complesso che andrebbe promosso non con annunci ad effetto ma con “formazione per il cittadino”. Che senso ha consentire ad un cittadino di avere più ID anche da diversi IP se lo scopo è l’accesso sicuro? Inoltre nel decreto non si esclude che anche le PA possano diventare IP e per accreditarsi ovviamente non devono avere capitale sociale di minimo 5 milioni di euro né i requisiti di onorabilità degli organi preposti al controllo.
Un servizio che ha requisiti così stringenti non può essere erogato a costo zero anche perché sono certa che nel momento in cui verrà aperto anche ai protocolli di open ID connect il cittadino veramente potrebbe accedere a tutti i servizi, sia pubblici che privati, con un unico sistema di accesso. Chi non sarebbe disposto a pagare qualcosa pur di non dover ricordare 10 o 20 password e essere certo che una terza parte fidata lo aiuta ad evitare furti di identità. Sparirebbero dalle agende online le password, aumenterebbero le transazioni di e-commerce.
Ultimo concetto che vorrei esprimere è che per offrire un servizio come questo bisogna sapere che cosa sia l’erogazione e l’esercizio ed avere competenze specifiche, non basta creare un Pin. Mi chiedo quindi: perché tutti vogliono diventare Identity Provider?
