L’ecosistema delle identità digitali italiane è vivo e vivace, si vede chiaramente l’attenzione delle istituzioni a muoversi nelle zone di miglioramento che sono state evidenziate dall’esperienza, auspicando che le istituzioni e tutti gli attori collegati procedano ancora spediti, non possiamo che aspettarci ulteriori novità e effetti positivi.
L’ultima novità di rilievo in questo contesto è la pubblicazione del Decreto dell’8 settembre del Ministero dell’interno (rubricato “Modalità di impiego della carta d’identità elettronica”).
Atteso da mesi, il Decreto in questione, finalmente sblocca una situazione che era sembrata di stallo e che doveva trovare una soluzione.
CIE come SPID, ecco come la carta d’identità elettronica va verso la rivoluzione
CIE, perché si è reso necessario un nuovo DM
Il DM precedente, che pure è stato uno dei progetti di maggior successo del Ministero dell’Interno e dell’Istituto Poligrafico e Zecca dello Stato, nasceva alla fine del 2015 e aveva scommesso con prudenza sull’identità digitale, tanto da prevedere ancora il modello tecnologico di fatto identico a quello utilizzato già da 10 anni dalla CNS per l’autenticazione online, lasciando inoltre, a parere di alcuni esperti giuristi, una “zona grigia” riguardo l’utilizzo da parte del fornitori di servizi privati di una soluzione come CIEId.
Pur partendo da una situazione non ottimale, dal 2017 IPZS ha lavorato alacremente assieme al Ministero dell’Interno, al Team per la Trasformazione Digitale, allora guidato da Diego Piacentini, e AgID per realizzare uno strumento di identificazione online moderno, compatibile a livello di protocollo con SPID, che è stato possibile mettere in esercizio e poi notificare in Europa nel 2019, grazie ad uno sforzo congiunto di varie realtà centrali e locali, che si sono prestate alla sperimentazione (in primis la Regione Toscana e CSI Piemonte).
La CIE garantiva sicuramente un livello di sicurezza nativamente superiore ma mancava delle funzionalità e della flessibilità tipiche di SPID, tra cui i livelli 1 e 2, software per gli utenti e per gli erogatori. Appariva evidente che i due strumenti avrebbero dovuto svolgere un ruolo sia complementare, per esempio per l’ottenimento della credenziale SPID tramite CIE o per fare di CIE un Livello 3 di SPID a costo zero, che alternativo, nel caso uno dei due avesse avuto problemi (all’epoca erano freschi i problemi rilevati in Estonia e in Spagna).
Inoltre, si era generato un caso più unico che raro: la popolazione si è trovata in possesso della CIE prima di trovare sui servizi online il logo “Entra con CIE” per accedere ai servizi; la conseguenza è stata che la maggior parte della popolazione aveva lo strumento senza averne conservato le credenziali per l’utilizzo online, credenziali che non potevano essere di fatto recuperate.
In sintesi, la soluzione implementata con CIEId Server, grazie anche all’apporto fondamentale di vari attori, pur essendo uno strumento elegante e sicuro, non aveva certamente la flessibilità di SPID né era chiaro come avrebbe potuto essere utilizzata dal mondo privato (che infatti ha penato non poco per adottare la soluzione, come è possibile vedere dal basso numero di adozioni rinvenibile sul portale predisposto dal Ministero dell’Interno).
Mentre negli anni successivi CIEId viene lentamente adottata dalle Pubbliche amministrazioni, SPID si diffonde nella popolazione e il regolatore affronta e risolve molti scenari che permettono al sistema di migliorare e diventare sempre più maturo e completo; si pensi alle Linee Guida per i Minori o a quelle per l’adozione del protocollo OpenID Connect.
Per CIEId si rendeva quindi necessario uno scatto in avanti che permettesse di colmare le differenze tra i due mondi. Allo stesso tempo era necessario superare le prudenze naturali del Ministero dell’Interno, che non vedeva con chiarezza un mandato a realizzare le migliorie di cui parleremo tra poco.
Gli impatti del nuovo DM CIE
Anche grazie ad un’azione di reclutamento da parte di IPZS di alcune delle migliori teste del settore in Italia,il 5 ottobre scorso, dopo diversi mesi di attesa, riscritture, e pareri del Garante della Protezione dei Dati Personali, è stato pubblicato in Gazzetta Ufficiale il “nuovo” DM CIE, che risolve la totalità delle problematiche riscontrate.
Innanzitutto si esplicita in norma l’esistenza del CIEId Server e si introduce il recupero del PUK, cosa che consente alla popolazione di reimpostare il PIN e utilizzare la CIE online.
Va ricordato che la CIE e SPID possono contare quasi sullo stesso numero di “identità”, circa 31 milioni vs 32 milioni, ma leggendo i dati occorre evidenziare come solo le identità SPID siano effettivamente tutte identità utilizzate mentre il numero di CIE include anche un numero rilevante di minori, che SPID non prevedeva.
Affrontato il tema dell’utilizzo della soluzione e dell’assistenza del cittadino “sbadato”, l’attenzione del Ministero è stata rivolta al mondo dei fornitori di servizi, semplificando in modo considerevole l’adozione dello strumento, tramite l’introduzione degli aggregatori (come per lo SPID) e la previsione per i soggetti privati di non dover ripetere le verifiche di assenza di cause ostative a carico del Ministero dell’Interno, qualora queste siano già state assolte per l’adesione al circuito di SPID.
La previsione dei soggetti aggregatori aiuterà senz’altro a colmare la distanza che ancora oggi c’è in termini di enti pubblici implementatori (CIEId ne ha circa 6 mila contro i circa 12 mila di SPID), anche a fronte di obblighi che le dovrebbero vedere sempre appaiati; mentre la semplificazione per l’onboarding dei fornitori di servizi di servizi privati che già utilizzano SPID e la possibilità per questi di diventare anche soggetti aggregatori promuove l’affiancamento di CIEId a SPID come identità anche fuori della sfera della pubblica amministrazione
È da sottolineare come il mondo dei fornitori di servizi privati potrà diffondersi con un vantaggio non da poco rispetto a SPID, perché non è previsto un listino dei corrispettivi; questo probabilmente consentirà una maggiore diffusione nel settore privato rispetto a SPID.
Utile ricordare che il mondo dell’imprenditoria osserva con particolare interesse l’evoluzione della eID italiana, di cui CIE è uno dei due pilastri. Ne è dimostrazione il fatto che, alcuni mesi fa, anche tramite Agenda Digitale, imprese, studi professionali, organizzazioni private e senza fini di lucro hanno inviato una lettera aperta a AgID, Dipartimento per la Trasformazione Digitale e ministeri competenti chiedendo soluzioni a criticità che poi sono state affrontate anche proprio nel DM recentemente pubblicato. La lettera era stata preparata e promossa a cura del gruppo di lavoro #ClubTI4SPID, un gruppo aperto e interdisciplinare animato dal Club TI Milano, che si occupa dal 2019 di aiutare l’adozione di SPID e poi di CIE da parte delle imprese.
Riguardo la possibilità di misurare l’utilizzazione della CIE quale strumento di identità in rete, vale la pena sottolineare che il DM prevede varie innovazioni: per cominciare è possibile raccogliere le tracciature dall’avvenuto accesso ai servizi, possibilità del tutto esclusa nelle regole precedentemente vigenti. I log sono raccolti anche per scopi di policy («Al fine di monitorare e migliorare i servizi», art. 13 comma 3), cosa non del tutto scontata, e verranno conservati per 24 mesi, in linea con quanto previsto dalla normativa SPID.
Al momento dell’attuazione di quanto previsto dal DM e nel pieno rispetto della protezione dai dati personali, il Ministero dell’interno avrà la possibilità di applicare politiche migliorative in modo moderno e basato su dati quali il numero di login fatti con questo strumento, anche suddivisi «per FdS acceduto, fascia giornaliera di accesso, tipologia di credenziali utilizzate, provincia (residenza), fascia di eta’ e sesso».
Inoltre, lato accountability, è previsto che «alcuni dati in forma aggregata potranno essere resi pubblici» permettendo al sistema paese di conoscere l’effettivo utilizzo di CIE ID e, se necessario, di fare un confronto con SPID, ricordando che quest’anno SPID proietta più di 1 miliardo di login.
Una piccola novità di rilievo è rappresentata dall’aggiornamento della composizione della Commissione Interministeriale della CIE, che ricordiamo essere presieduta dal Ministero dell’Interno con la partecipazione del Ministero degli Esteri, del Ministero dell’Economia e Finanze, da AgID e ANCI, ai quali si aggiunge stabilmente il Dipartimento per la Trasformazione Digitale, consolidando ciò che era già avvenuto sin dai tempi del Commissario straordinario del Governo per l’attuazione dell’Agenda digitale.
Va sottolineato quanto è stato fatto e pensato per venire incontro agli utilizzatori, in particolare l’introduzione dei Livelli 1 e 2, come è previsto per SPID, che permetterà l’utilizzo di questa eID in modo più immediato e semplice.
Gli accessi verranno storicizzati e i cittadini potranno verificare l’utilizzo della loro identità sui servizi messi a disposizione dal Ministero dell’Interno e realizzati da IPZS.
Il collegamento con ANPR introduce una ulteriore misura di sicurezza: infatti consentirà la disattivazione tempestiva delle CIE, e conseguentemente dei Livelli 1 e 2 collegati, in caso di decesso del titolare, funzionalità che tuttora è mancante nel mondo SPID.
Quanto ai minori, la soluzione è rimandata ad un ulteriore provvedimento, che sicuramente dovrà fare i conti con previsioni del GPDR, col fatto che la CIE è da sempre disponibile per i minori e con i rischi delle credenziali in mano ai genitori, che possono impersonificare i propri figli.
È stata introdotto anche un servizio accessorio che consentirà un utilizzo della CIE come badge, attraverso la funzionalità del Numero Identificativo Servizi (NIS), che con qualche limitazione, forse eccessiva, consente di mappare un NIS nel Codice Fiscale del possessore della carta. Questa funzionalità, per quanto semplice, è uno delle pietre angolari sulle quali sarà possibile costruire servizi evoluti a bassa sicurezza, come ad esempio la bigliettazione nel trasporto pubblico, un mondo tutto da scoprire che da qualche anno cerca di emergere in esperimenti.
Lo stato delle eID in Italia
Andando oltre l’analisi degli effetti immediati del DM è possibile condividere alcune riflessioni e osservazioni sullo stato delle eID italiane.
È opinione diffusa che CIEId e SPID siano sistemi antagonisti tra loro, addirittura in conflitto l’uno con l’altro, mentre ad avviso degli autori è possibile e auspicabile una visione diversa che porti vantaggi ai diversi attori; proviamo ad elencare alcuni effetti positivi della coesistenza e convivenza delle due soluzioni.
Identità digitale: a che punto siamo? Obbiettivi raggiunti e prossimi step
Le roadmap di SPID e CIEId già da tempo convergono
Già nella regolamentazione dei Gestori di Attributi Qualificati e del Sistema di Gestione delle Deleghe (SGD), le innovazioni rese disponibili per SPID includono anche CIEId: questo fornisce il senso della misura di quanta convergenza e lavoro di raccordo sia stato fatto e venga proseguito per armonizzare i due sistemi in modo da trarre dalla loro coesistenza il massimo vantaggio per l’intero ecosistema.
Robustezza del sistema in virtù della “diversità biologica”
Può essere utile ricordare come nel 2017 l’Estonia si è trovata a fronteggiare il rischio di furto di identità per circa metà della popolazione a causa di un problema legato alle chiavi private presenti sulle loro carte.
Allora si rese necessario inibire l’accesso ai servizi online per i cittadini che avevano ottenuto l’ID Card dal 16 ottobre 2014 al 25 ottobre 2017 e provvedere ad un nuovo aggiornamento/rilascio, da effettuarsi recandosi fisicamente presso gli uffici di Polizia e della Guardia di Frontiera.
L’esistenza delle due soluzioni contemporanee di identità garantisce una maggiore robustezza nel caso che uno dei due sia oggetto di problematiche di sicurezza; problematiche che sono sempre possibile anche nelle realtà più evolute dell’Europa.
Altro aspetto è quello della continuità di servizio da parte dell’utente in caso di sospensione o scadenza di uno dei due strumenti, ad esempio lo SPID può essere sospeso in caso di scadenza dei documenti utilizzati per il rilascio oppure la carta di identità può essere smarrita, la possibilità di utilizzare un secondo strumento è una garanzia per la cittadinanza.
La scelta di implementare e poi notificare più schemi di autenticazione distinti, come ha fatto l’Italia nel 2019, è stata poi replicata da altri stati membri, come si evince dall’elenco pubblicato a cura della stessa EU.
Spinta all’evoluzione della eID
Anche ammesso e non concesso che i due sistemi si contendano gli utenti finali, le caratteristiche intrinseche delle due soluzioni portano all’esplorazione di implementazioni e migliorie leggermente diverse tra loro e quindi alla sperimentazione di nuove forme di applicazione e di esperienza utente. Entrambi i sistemi possono trarre vantaggio e migliorarsi dall’esperienza dell’altro, ad esempio CIEId è evoluto nei tre livelli di sicurezza emulando SPID e nulla vieta che un fornitore di servizi SPID possa utilizzare la CIE stessa o un altro supporto fisico come fattore di possesso nella fase di autenticazione.
Cosa possiamo attenderci nei prossimi mesi
Alla luce delle novità introdotte dal DM si profilano alcune azioni che hanno come innesco il rinnovato schema CIEId. Alcune di queste azioni sono indicate nel DM, altre invece possono essere dedotte a partire da altri documenti o dall’esperienza su quanto già fatto fino ad ora. Ne elenchiamo alcune:
- Definizione delle caratteristiche e delle funzionalità di dettaglio delle credenziali di livello 1 e 2 (così come previsto all’art. 4 del DM), definizione che includerà con apposito provvedimento anche l’utilizzo per i minorenni (art.11).
- L’implementazione delle funzionalità di recupero del PUK e conseguentemente la necessaria campagna di informazione e formazione del personale interessato; campagna che verosimilmente impatterà in breve tempo sul personale di tutti i comuni (art 15).
- Campagna di informazione verso le PPAA del nuovo schema, che prevede l’interessamento di tutti i fornitori di servizio per le modifiche collegate al nuovo schema; modifiche che verosimilmente saranno minime in quanto è presumibile che l’integrazione tecnica segua l’attuale e contemporaneamente quella proposta per lo SPID.
- Notifica all’UE dei nuovi livelli di autenticazione, così come già presentato per SPID e la precedente versione di CIEId, è presumibile che a fronte dell’introduzione dei nuovi livelli di autenticazione sia necessario una nuova notifica ai sensi del Regolamento eIDAS.
- Implementazione del registro degli accessi (art 13) e dell’interfaccia per l’utente.
- Integrazione con ANPR per la disabilitazione della identità collegata alla CIE al momento della comunicazione di decesso del titolare.
- Regolamentazione e abilitazione dei servizi di aggregazione per CIEid.
- Implementazione da parte dei vari attori di servizi a bassa sicurezza basati sui servizî NIS a corredo della CIE.
- La firma elettronica avanzata sarà finalmente riconosciuta dai sistemi di verifica delle firme elettroniche (art 16).