Anorc: “I quattro nodi irrisolti dello Spid”
16 Marzo 2016
Andrea Lisi e Sarah Ungaro, Digital&Law Department, Ufficio di Presidenza Anorc
In questi giorni, come ufficialmente comunicato nella conferenza stampa della scorsa settimana, parte ufficialmente SPID: il 15 marzo i gestori di identità digitale accreditati da AgID hanno iniziato infatti a erogare le prime identità digitali attraverso le quali sarà possibile per gli utenti accedere ai servizi online resi disponibili dalle pubbliche amministrazioni aderenti. Di fronte a questo varo bisogna, a nostro parere, tenere un entusiasmo moderato, dal momento che ci son diversi nodi da sciogliere prima di poter considerare il processo SPID pienamente avviato e con successo, nonostante le rosee previsioni enunciate durante la conferenza (ovvero estendere entro 24 mesi il sistema di login SPID a tutta la PA italiana e distribuire 6 milioni di identità digitali entro fine anno).
> Questo articolo fa parte del dossier “Speciale Cantieri, i protagonisti raccontano Spid: cosa è ora, come sarà”
Innanzitutto, gli Identity Provider finora accreditati sono oggettivamente pochi: solo tre soggetti (ovvero InfoCert, Poste Italiane e Tim) possono attualmente erogare identità digitali a fronte di tutte le aziende, decisamente più numerose, che operano nel mercato. Nello specifico, il nodo gordiano riguarda l’ammontare del capitale sociale richiesto per accreditarsi come gestori di identità digitale. Dopo, infatti, che la sentenza del Tar del Lazio del 21 luglio 2015 aveva annullato il requisito dei 5 milioni di euro di capitale sociale inizialmente richiesto dal DPCM per poter diventare Identity Provider, tale requisito è stato introdotto nuovamente nello schema di decreto di modifica al D.Lgs. 82/2005 (CAD). Il requisito è considerato, e non a torto, ingiusto e poco equo da molte associazioni di categoria, perché ad esempio non si prevede il possesso, in alternativa, di un’equivalente polizza assicurativa – come invece previsto per i prestatori di servizi fiduciari qualificati dalla lett. c) dell’art. 24 del regolamento eIDAS – e ciò finirebbe di fatto con l’escludere dall’accreditamento a SPID le realtà medio-piccole favorendo i grandi fornitori del settore; purtroppo, però, nonostante le numerose proteste, finora non c’è nessun segnale che lasci presagire che si intenda modificare questo status quo. A ciò si aggiunga che non è così ovvio considerare i prestatori di identità digitale (o meglio di identificazione elettronica) come prestatori di servizi fiduciari qualificati, i quali sono solo quelli espressamente elencati nel punto 16) dell’art. 3 comma 1 del Regolamento eIDAS. Quindi non ci sono elementi per giustificare come un’esigenza derivante dal diritto europeo questo irrigidimento sul possesso di un capitale sociale così elevato.
A essere pochi, poi, non sono solo i gestori di identità accreditati, ma anche i servizi finora attivati dalla PA, che sono solo 300 (con la previsione di farli diventare 600 entro giugno): è chiaro che avere un’identità digitale e non poterla utilizzare per fruire in modo più semplice e veloce di servizi realmente necessari per il cittadino non porterebbe alcun vantaggio. In quest’ottica non si può lasciare tutto alla buona volontà di ogni pubblica amministrazione, ma per rendere effettivo l’incremento dei servizi offerti bisognerebbe prevedere anche delle sanzioni per le PA che non si adeguano nei tempi previsti.
Bisogna inoltre gestire con accortezza la convivenza tra SPID e altri progetti per ora incompiuti (nonostante le molte risorse investite) come la Carta nazionale dei servizi e la Carta di identità elettronica, convivenza che genererà anche una coesistenza di più PIN per il medesimo utente. Anche se si è tanto parlato di “PIN unico” di fatto per adesso se ne contano almeno due, quello dello SPID e quello della nuova CIE (Carta d’Identità Elettronica, le cui modalità tecniche di emissione sono state definite dal recente decreto 23 dicembre 2015).
Infine, ma non per minore rilevanza, bisogna dare massima attenzione alle misure di sicurezza e alle garanzie sulle modalità di trattamento dei dati personali sulle quali il progetto SPID si poggia e su cui ancora vi sono degli aspetti poco chiari, come ad esempio quello riguardante il recepimento delle indicazioni fornite dall’Autorità garante privacy (da ultimo con il provvedimento del 17 dicembre 2015).
I livelli di sicurezza previsti dal sistema sono tre e sono incrementali: i primi due livelli saranno gratis per due anni, mentre il sistema di terzo livello (quello che garantisce massima sicurezza e prevede l’uso di smart card) è ancora in attesa di predisposizione e sarà distribuito più avanti (ma a pagamento).
Per dare alla sicurezza del sistema SPID un robusto puntello sarebbe auspicabile che venissero finalmente emanate le tanto attese regole tecniche – previste dall’art. 51 del Codice dell’amministrazione digitale – sulle modalità per garantire l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture, come sarebbe opportuno che non venisse eliminato tout court dal CAD – come invece si intende fare – l’art. 50bis e con esso l’obbligo per la PA di predisporre piani di disaster recovery e business continuity, attività di ulteriore tutela per i dati detenuti dalla PA di cui invece il Regolamento europeo sulla privacy di prossima emanazione sostiene l’importanza.
In sintesi, occorre dedicare maggiore attenzione alla predisposizione di adeguate misure di sicurezza, sensibilizzando anche le amministrazioni a una “cultura della sicurezza informatica”. Ciò non solo nel sistema SPID, ma anche relativamente a tutte le infrastrutture e i sistemi informatici delle PA, soprattutto attraverso interventi normativi che prevedano da un lato lo stanziamento di adeguate risorse per gli enti e, dall’altro, serie ed effettive sanzioni a carico di quelli che dovessero rivelarsi inadempienti rispetto a tali obblighi.