Il 5 ottobre è stato pubblicato in Gazzetta Ufficiale il decreto dell’8 settembre del Ministero dell’Interno, con il Ministero per l’Innovazione Tecnologica e la Transizione Digitale e il Ministero dell’Economia e delle Finanze, che porterà il nostro Paese a fare un ulteriore sostanziale passo avanti nella gestione delle identità digitali con la CIE.
Dopo che è stata finalmente quasi abbandonata la produzione di carte d’identità cartacee, la CIE oggi è nelle mani di oltre 31 milioni di cittadini Italiani di tutte le fasce d’età, dai neonati ai più anziani. È uno strumento notificato nel 2019 alla Commissione Europea in conformità al Regolamento eIDAS (electronic IDentification Authentication and Signature) e contiene un certificato di autenticazione e di firma elettronica. È un documento obbligatorio di identificazione e la sua emissione è riservata al Ministero dell’Interno, avvalendosi del Poligrafico di Stato, con il contributo economico del cittadino. È uno tra i documenti d’identità più avanzati in Europa, con la recente aggiunta del logo della bandiera comunitaria, che ha consentito un soddisfacente raggiungimento dell’obiettivo della copertura della maggioranza della popolazione con un’unica tipologia di documento d’identità. Veniamo alle novità.
CIE, verso nuovi modelli per l’identità digitale: cosa cambia con il decreto 8 settembre
CIE, cosa cambia
La CIE potrebbe fare un significativo passo in avanti grazie a questo decreto che prevede sostanzialmente:
- L’introduzione del “portale dell’identità del cittadino” per inserire dati personali non anagrafici, quali il proprio indirizzo e-mail e il numero di cellulare, oltre a recuperare il PUK e gestire la propria CIEId.
- La possibilità di visualizzare, esprimere o revocare la propria volontà in merito alla donazione di organi e tessuti.
- L’aggiunta di autenticazioni livello 1 e 2 (L1-L2) per l’accesso ai servizi, quindi senza necessariamente la lettura via NFC della carta fisica con livello 3 (L3).
In queste introduzioni appaiono evidenti alcune similitudini con SPID. D’altronde, come previsto dal Decreto Semplificazioni 2020, per accedere ai portali della PA i cittadini possono scegliere entrambi gli strumenti come modalità di identificazione e accesso ed entrambi gli strumenti notificati alla Commissione Europea in conformità al Regolamento eIDAS.
Guardando ai dettagli, occorre però fare diverse distinzioni e osservazioni:
- I 32 milioni di identità SPID attivate corrispondono a maggiorenni (da poco anche alcuni minorenni) che hanno scelto attivamente di investire tempo e/o denaro per attivare la propria identità digitale. Può essere di 3 livelli ma viene erogato e utilizzato quasi unicamente con il livello 2.
- Nel caso della CIE, i 31 milioni di fruitori sono cittadini che sono obbligati ad avere un documento di riconoscimento, dai neonati ai più anziani, che certamente utilizzeranno ben poco funzionalità di firma elettronica e identità digitale, pertanto i due numeri apparentemente simili vanno visti in modo diverso.
- L’esperienza in fase di identificazione è altresì decisamente diversa: con lo SPID ci si può autenticare in pochi passaggi su qualsiasi device con modalità leggermente diverse a seconda dell’Identity Provider, mentre con la CIE attualmente è necessario utilizzare un sensore RFID/NFC (tipicamente il proprio smartphone) avvicinando fisicamente il documento; pertanto è decisamente più complesso e dispendioso (L3). In questo le novità del decreto citato sono decisamente significative e porteranno a una sostanziale equiparazione dell’esperienza di autenticazione, senza necessità di avere la CIE a portata di mano.
- Altro dato significativo è quello del modello economico. SPID è stato sostanzialmente creato e mantenuto da 9 Identity Provider (IdP) di cui 2 di emanazione pubblica, ed è gratuito per i cittadini (ad eccezione del riconoscimento che si svolge con modalità e costi diversi a seconda degli IdP, che negli anni hanno supportato il sistema con ingenti investimenti). La CIE, oltre che essere un documento d’identità di cui si deve essere provvisti, prevede un corrispettivo una tantum da parte del cittadino.
- SPID è di gran lunga lo strumento più utilizzato, nel 2021 le autenticazioni sono state oltre 570 milioni, quelle con la CIE 22 milioni. Per quanto riguarda SPID, questi numeri sono significativi e si tratta di un traguardo di cui andare fieri come Paese.
La situazione italiana è oggi decisamente positiva in termini di diffusione e di strumenti, a conferma delle competenze del nostro Paese nell’ambito digitale e in materia di regolamentazione eIDAS a cui le stesse afferiscono, per la quale, non a caso, siamo tra i paesi europei con maggior diffusione e presenza di QTSP (Qualified Trust Service Provider).
L’impatto del nuovo regolamento eIDAS
Guardando oltre alla situazione odierna occorre prendere in considerazione anche un altro elemento, quello del nuovo regolamento eIDAS di prossima emanazione e del wallet europeo ivi presente. Il regolamento eIDAS del 2014 ha reso possibile la diffusione di identità digitali e firme elettroniche e la sua nuova versione 2.0, in discussione in queste settimane, porterà entro il 2023 alcune novità significative che incideranno sensibilmente alla diffusione degli strumenti di identificazione e dei servizi fiduciari. Tra questi è stato introdotto il servizio di wallet provider, ovvero uno strumento che entro il 2030 dovrebbe coprire l’80% della popolazione europea e permettere ad ogni cittadino di spendere la propria identità, firmare elettronicamente e condividere attributi aggiuntivi con delle c.d. relying parties.
Uno degli argomenti più dibattuti riguarda le implicazioni relative al Level Of Assurance richiesto per l’accesso al wallet, per intenderci con un processo molto simile all’autenticazione tramite SPID o CIE per l’accesso all’App IO che già conosciamo. Il LoA è sostanzialmente il livello associato e notificato ad ogni identità digitale, che ne caratterizza la “robustezza” (definita Low, Substantial, High) essenzialmente legata alla modalità di erogazione e di fruizione. I tre livelli sono assimilabili ai L1-L2-L3 di SPID e CIE e pertanto le scelte sui tavoli europei potranno condizionare significativamente la diffusione di questi strumenti in Italia e confermare o minare il primato del nostro Paese, soprattutto quello di SPID. La sfida è ambiziosa e gli elementi da tenere in considerazione sono molti tra cui: privacy, sicurezza e centralità dell’utente, per cui certamente la sintesi e il peso dei vari interessi in gioco sono complessi da valutare.
La proposta di un “modello italiano”
Apprezzando quanto recentemente fatto dai Ministeri competenti e dal legislatore, auspichiamo quindi che venga chiaramente definito e confermato un “modello italiano” sui temi di identità digitale. Gran parte del contributo alla diffusione degli strumenti digitali in Italia è stato fino ad oggi sostanzialmente a trazione privata, ma questo modello non è più economicamente sostenibile. La scelta del mercato, seppure regolamentato, ha nei fatti dimostrato di essere vincente e di stimolo per una sana competizione e diffusione degli strumenti, nonostante l’assenza di risorse economiche a supporto.
Ben 32 milioni di utenti hanno scelto SPID e considerevoli risorse del PNRR sono dedicate a questi temi; occorre capitalizzare gli ingenti investimenti e trovare un modello sostenibile, oppure decidere chiaramente di optare per soluzioni differenti. Tornare a logiche dove lo Stato diventa il principale e potenziale unico gestore, sia per l’identità digitale tramite CIEid sia tramite wallet, è certamente un cambio di rotta significativo e con impatti di lungo periodo da considerare. Inoltre, in questo momento politicamente complesso sarà determinante la scelta di competenze per valorizzare esperienze ed investimenti italiani anche sui tavoli europei. L’iter legislativo si concluderà nel 2023 e – volenti o nolenti – potrebbe avere impatti ragguardevoli per il nostro Paese che, per quanto costruito in questi anni, auspichiamo possa continuare ad essere un punto di riferimento europeo anche in futuro.
Conclusione
In conclusione, dal punto di vista degli erogatori di servizi digitali, soprattutto quelli privati, è certamente tempo di investire. In uno scenario evolutivo certamente mutevole, le identità digitali sono una realtà. Gli utenti sono ormai abituati a utilizzarle quotidianamente e non è tempo di attendere per rivedere in questa logica i propri processi di identificazione/onboarding e firma. Occorre avviare dei percorsi con strategie di breve e medio periodo per l’adozione di questi strumenti.
Dando la parola a dati e utenti la scelta è già chiara: nei progetti su cui ha visibilità l’osservatorio di Intesa, a Kyndryl Company (che è service provider per CIE e SPID) oltre il 70% degli utenti già ora sceglie di utilizzare processi di identificazione tramite identità federate, grazie ai significativi vantaggi di user experience. Perché attendere?
