Spid, una rivoluzione che nasce incompresa: ecco un chiarimento

La lettura dei numerosi articoli pubblicati di recente su CIE, Identità digitale e SPID e anche dei commenti dei lettori offre la preoccupante visione di un quadro di confusione e di mancanza di coerenza delle iniziative in atto in Italia per la gestione della identità elettronica. La consapevolezza della necessità e dell’urgenza di disporre di strumenti identificativi nuovi esiste, tuttavia le soluzione adottate sono nate da esigenze contingenti e condizionate da una visione politica incapace di concepire un quadro sistemico. Troppi sono i soggetti che, prescindendo da vicoli tecnici ed operativi, hanno potuto condizionare le scelte nella presunzione che basti una norma o un decreto per rimuoverli e superarli.

Trattando il tema dell’accesso ai servizi erogati in rete (internet) dalle pubbliche amministrazioni, la situazione di confusione esistente è senza dubbio da addebitare alle incongruenze normative e al mancato coordinamento dalle diverse iniziative intraprese – a partire dalla prima metà degli anni 2000 con l’introduzione di CIE, CNS, CRS e ora TS – per regolamentare i mezzi di accesso ai servizi erogati in rete dalle pubbliche amministrazioni (Art. 64 e 65 del CAD). Oggi il quadro appare ulteriormente intricato per l’affermarsi della iniziativa SPID e ultimamente il colpo di grazia alla comprensione del tutto potrebbe, se non chiarita, venire dalla narrazione tutta politica sul pin unico.

È interessante constatare che spesso in Italia anche in materie con contenuti tecnici molto complessi i contributi di discussione o divulgativi provengono prevalentemente da persone di cultura e formazione giuridica, che per natura tendono a trascurare aspetti tecnici e vincoli di natura operativa, mentre persone di cultura tecnica si limitano ad “osservare” senza discutere criticamente e in modo propositivo.

L’aspetto giuridico e normativo precede e prevarica l’aspetto operativo e così la palla rimane solo sui piedi di uffici legislativi che perlopiù hanno prodotto sulle tematiche in questione testi contenenti concetti, definizioni e terminologie autoreferenziali al punto di rendere spesso incomprensibili e intraducibili le nostre norme (sarebbe forse meglio scriverle direttamente in inglese e poi tradurle o almeno usare la terminologia della versione italiana delle norme europee) e dall’altro la palla dell’interpretazione resta sui piedi degli studi legali specializzati ai quali non si può certo far colpa di proporre dubbi interpretativi o di non contribuire alla chiarezza: è il loro mestiere.

SPID tuttavia, e sempre che l’iniziativa vada in porto, è forse il segnale di un cambiamento di approccio. Si tratta infatti di una soluzione di natura sistemica esclusivamente prodotta dalla cultura tecnica e sviluppata, in collaborazione con alcuni valenti colleghi, alla fine degli anni 2000 quando era ormai evidente il fallimento di tutte le precedenti iniziative intraprese in Italia nel campo dell’identity management.

Mi sono deciso a rientrare nella discussione su SPID per contribuire, se ancora posso, a fare chiarezza sul suo inquadramento con le altre iniziative esistenti, ma anche per non vedermi attribuite come “tecnico” le eventuali conseguenze negative di sempre possibili deviazioni della sua implementazione dal modello inizialmente pensato.

La prima cosa da chiarire è che SPID è una infrastruttura tecnologica che ha lo scopo di fornire agli erogatori di servizi applicativi in Internet (gli Internet Service Provider ISP) due tipi di servizi infrastrutturali: il servizio di provisioning che consiste nel fornire ai potenziali utilizzatori, per conto degli erogatori dei servizi applicativi, le credenziali per ottenere l’accesso ai loro servizi; il servizio di authentication cioè la verifica della validità delle credenziali presentate dall’utilizzatore per ottenere l’erogazione del servizio richiesto.

Le credenziali sono le informazione e i dati che il potenziale utente di un servizio applicativo deve presentare al sistema informatico dell’ISP per asserire il proprio titolo ad utilizzare il servizio (si usa dire, anche se impropriamente, per asserire la propria identità). Gli utenti detengono tali informazioni e le trasferiscono al servizio utilizzando mezzi o dispositivi tecnologici di varia natura che vengono loro forniti quando si registrano al servizio applicativo tramite il sevizio di provisioning.

È necessario e fondamentale che la natura del dispositivo utilizzato per trasmettere le credenziali al sistema informatico dell’ISP non richieda all’erogatore del servizio di soddisfare requisiti tecnici specifici di natura proprietaria .

Rispetto alla possibilità di utilizzare le credenziali da parte di un utilizzatore che non ne abbia titolo, i dispositivi di supporto alle credenziali, sono classificati in livelli di garanzia (level of assurance) che dipendono della tecnologia utilizzata per implementare le credenziali e che sono definiti a livello internazionale.

Ogni singolo ISP ha provveduto finora in proprio al provisioning delle credenziali agli utenti registrati ai suoi servizi e così, per garantire la sicurezza e un livello di garanzia adeguato ogni persona attiva nella rete dovrebbe utilizzare credenziali diverse una per ogni servizio applicativo utilizzato: una situazione che ormai è divenuta insostenibile.

Il sistema SPID consente ai gestori dei servizi applicativi erogati in rete di demandare ai gestori della infrastruttura il delicato compito – attualmente gestito in proprio – di fornire le credenziali e di autenticare gli utenti e consente loro di risparmiare i costi di provisioning sia una tantum che ricorrenti. Il costo del provisioning delle credenziali quando è necessario garantire livelli di garanzia conformi agli standard internazionali non è irrilevante e nella attuale situazione viene sostenuto da ciascun ISP. Agli ISP resta il compito non delegabile di autorizzare l’accesso ai propri servizi in base a informazioni da essi detenute relative ai titolari delle credenziali.

L’implementazione di SPID è conforme agli standard internazionali proposti dal modello di federated identity management e vista come infrastruttura SPID è una soluzione inquadrabile nel paradigma del cloud computing e come tale consente a livello sistema una significativa riduzione dei costi complessivi di erogazione dei servizi applicativi.

Le credenziali fornite da SPID sono per loro natura utilizzabili per accedere ai servizi di tutti gli ISP che aderiscono e quindi SPID offre agli utenti la possibilità di disporre di credenziali uniche (che non significa avere una sola credenziale ma poter accedere a servizi diversi o a tutti i servizi con le stesse credenziali).

Si deve ora considerare la necessità, per molti servizi erogati dalle amministrazioni pubbliche (ma anche da soggetti privati) di essere certi dell’identità personale del titolare delle credenziali presentate all’accesso. Questa esigenza nasce dalla natura stessa dei servizi erogati o per requisiti normativi; infatti molti servizi in particolare tra quelli erogati da amministrazioni pubbliche implicano l’accertamento della identità personale del richiedente il servizio per tutelarne la privacy o per garantire che il servizio venga erogato solo a chi ne ha diritto.

A questo proposito corre l’obbligo di segnalare che finora non si è provveduto a costruire una tassonomia dei servizi erogati dalle pubbliche amministrazioni che li classifichi in base al livello di garanzia delle credenziali richieste per l’accesso e che anzi con l’Art. 64 del CAD si è assurdamente preteso che qualsiasi sevizio richiedesse l’uso della CIE che è una credenziale classificabile al massimo livello di garanzia (livello 4). Si tratta di una grave omissione perché in mancanza di una classificazione a valenza nazionale si è di fatto consentito a erogatori diversi di una stessa tipologia di servizi di richiedere requisiti diversi per consentire l’accesso.

Per associare con certezza le credenziali all’identità personale del titolare è necessario che le procedure di provisioning rispettino modalità regolamentate che implicano che in fase di registrazione si proceda al riconoscimento a vista, o comunque certo, del titolare basato su un documento di identità (eventualmente anche la CIE) e che le credenziali vengano consegnate in modo riservato e certo al titolare. Con termine preso a prestito, mi piace chiamare sinteticamente questa proprietà imputabilità delle credenziali. Credenziali imputabili configurano una identità digitale a prescindere dal loro livello di garanzia .

Il provisioning e la gestione di credenziali imputabili rappresentano una attività onerosa e complessa per le garanzie di sicurezza e di fiducia che è necessario assicurare e soprattutto nel caso di piccoli erogatori di servizi della pubblica amministrazione generalmente incompatibile con le loro capacità organizzative ed informatiche. L’imputabilità delle credenziali infatti non è assicurata dalle loro caratteristiche tecniche, ma dall’osservanza di norme rigorose nei procedimenti organizzativi e gestionali di provisioning.

Aderire ai servizi di SPID è quindi di particolare interesse per le pubbliche amministrazioni, in particolare quelle di ridotte capacità informatiche, che grazie a SPID si liberano di un compito delicato e costoso, e per le stesse ragioni può essere di interesse anche per gli ISP privati.

Anche gli utenti hanno un duplice beneficio, non solo la garanzia di sicurezza assicurata dalla infrastruttura che verrà gestita nel rispetto di una normativa rigorosa da operatori sia pubblici che privati accreditati per la erogazione di servizi di natura fiduciaria e qualificati come Identity Provider, ma soprattutto elimina alla radice il problema della molteplicità delle credenziali. Infatti non essendo più associata a particolari servizi una stessa credenziale SPID può essere utilizzata per accedere ai servizi di tutti gli ISP pubblici o privati aderenti al sistema.

Nel modello architetturale di SPID gli Identity Provider sono più di uno e quindi in realtà una persona fisica si può dotare di più identità digitali attribuite da IP diversi e dotate di credenziali appartenenti a livelli di garanzia diversi. Tutte queste identità digitali fanno comunque riferimento ad un’unica identità personale e saranno utilizzabili per tutti i servizi compatibili con il loro livello di garanzia.

L’infrastruttura SPID verrà realizzata da soggetti privati accreditati che svolgono le funzioni di Identity Provider secondo il modello del federated identity management e tuttavia mentre ne risultano chiari i benefici di natura economica per le amministrazioni e i benefici per i cittadini, non appare ancora chiarito quale sia il business model che ne assicuri la sostenibilità. Alcuni vincoli di natura economica imposti a priori dalla normativa al riguardo di certo non facilitano il dispiegamento del sistema.

Queste premesse sulle caratteristiche di SPID mi sembrano sufficienti per inquadrare l’Identità SPID rispetto alle altre soluzioni previste dalla normativa vigente. Per completare l’analisi, in un prossimo articolo riprenderò alcune considerazioni sulla possibilità di utilizzare in pratica credenziali basate su smart-card crittografiche come credenziali per l’accesso a servizi erogati in rete.