Tortorelli (Agid): “Ecco la roadmap per l’identità digitale”

Rimandando al sito tematico per una descrizione di SPID, il Sistema Pubblico per la gestione dell’Identità Digitale, ovvero alla sezione SPID del sito istituzionale per la documentazione più tecnica, ritengo utile parlare di SPID raccontando l’esperienza di progetto e fornendo una visibilità del piano di sviluppo.

Nel corso degli ultimi 22 mesi AgID ha portato avanti SPID secondo un modello partecipativo al quale da subito si sono associate amministrazioni centrali, regioni ed una rappresentanza di comuni che hanno lavorato insieme ad AgID.

1. Il ruolo delle PA

La posizione che gli Enti centrali (INPS, Inail e Agenzia delle Entrate) hanno deciso di adottare, ha reso possibile avviare un modello che separasse il ruolo delle amministrazioni come fornitori di servizi da quello degli identity provider, lasciando quest’ultima attività al mercato. La convinta adesione dei tre Enti ha consentito da parte di INPS ed Inail di aver, sin dalla partenza, la disponibilità dell’accesso tramite SPID a tutti i servizi online oggi attivi sui loro portali, indice di una razionalizzazione interna dei sistemi di accesso e anche di un atto di forte commitment nell’affrontare l’innovazione che SPID introduce. Non di meno, l’aver scelto da parte dell’Agenzia delle Entrate il servizio sicuramente più visibile per i cittadini (730 precompilato) con il quale avviare l’introduzione di SPID, rappresenta analoga dimostrazione.

> Questo articolo fa parte del dossier “Speciale Cantieri, i protagonisti raccontano Spid: cosa è ora, come sarà”

Insieme con l’ANCI è stata selezionata una rappresentanza di comuni che, partivano ciascuno da esperienze di servizi online e di sistemi di credenziali distribuite agli utenti. Tali realtà (Firenze, Lecce, Milano ai quali si è aggiunto il comune di Venezia) rappresentano un esempio dei tanti Comuni che hanno intrapreso la digitalizzazione dei servizi verso cittadini ed imprese.

Da parte delle regioni si è registrata una entusiastica adesione. L’introduzione di SPID in tali Enti pone ulteriori sfide di trasformazione per contribuire alla sostenibilità dei progetti di digitalizzazione della Pa, secondo una visione Paese che non può essere parcellizzata per territori o ridotta al solo ambito di interazione con la PA. Va riconosciuto alle regioni di aver convintamente portato avanti il modello di gestione federata delle Identità digitali, definito nel relativo documento dell’allora CNIPA , modello adottato anche tra alcune amministrazioni centrali e che è stato ampiamente ripreso per la realizzazione di SPID. Il protocollo definito in tale documento è lo stesso di quello adottato nei progetti europei che hanno ampiamente influenzato, in ambito eIDAS, proprio la definizione di un modello europeo di identità digitali. Su tali basi ci si aspetta che le regioni, come stanno dimostrando, assicurino un sostegno concreto, anche con azioni sussidiarie nell’ambito del proprio territorio.

Occorre tuttavia sottolineare il divario tra il centro-nord e il resto del Paese. Infatti, a parte la quasi totalità di adesioni da parte delle regioni del centro-nord, in alcune (Friuli Venezia Giulia, Emilia Romagna e immediatamente a seguire anche un paio di altre regioni) l’accesso ai servizi delle PA vedrà coperti anche tutti gli enti del territorio. Al sud e nelle isole, all’opposto, al momento vi sono solo poche adesioni. Va ricordato che il periodo di convergenza è di due anni e che, secondo il piano di crescita digitale, possono essere utilizzati anche i fondi della programmazione 2014-2020. Quindi sussistono le condizioni di base per garantire la convergenza nei due anni, se i territori destinatari dei fondi comunitari sapranno cogliere questa ulteriore opportunità.

Questo articolo è uno degli approfondimenti raccolti nel FPA Annual Report 2016. La pubblicazione è gratuita, ma per scaricarla è necessario essere iscritti alla community di FPA. Scarica FPA Annual Report 2016.

2. GlI Identity Provider (IdP)

Il governo italiano con l’introduzione di SPID ha inteso rilasciare ad una non predefinita rappresentanza di privati un ruolo che altri Paesi hanno attribuito, ad esempio, ad un unico soggetto o ad alcuni soggetti del mondo bancario. L’apertura verso soluzioni di mercato è stata seguita anche dal Regno Unito, che al momento risulta avere 4 IdP. Occorre ricordare che per norma l’Italia, in questo processo di apertura verso il mercato, ha mantenuto, in maniera prudente anche se ciò può apparire contraddittorio, una soluzione pubblico–privato. Su tale aspetto si è preferito agire con moral suasion e separazione dei ruoli (PA come service provider-SP, lasciando al mercato il ruolo di IdP). In questo modo la previsione normativa mantiene un puntatore su una possibilità futura di intervento diretto della PA .

Si aggiunge che non riteniamo verosimile e fattibile un’ipotesi che veda un ordine di decine di IdP o numeri addirittura superiori. Nei regolamenti è inoltre chiaramente indicata la separazione dei ruoli IdP ed SP, anche quando essi coincidano con lo stesso soggetto, mentre la profilatura degli utenti è vietata. Tali condizioni, unite ai requisiti e al modello di business, dovrebbero fornire elementi di riflessione per coloro che intendano candidarsi per tale ruolo.

La solidità degli IdP sotto i vari profili definiti nelle norme e nei regolamenti ed i comportamenti che devono assumere, sono regolati inoltre anche da principi e norme generali quali ad esempio quelli relativi ai gestori di pubblici servizi. Gli schemi di convenzione evidenziano obblighi e garanzie anche in termini di service level minimi che devono essere rispettati.

3. I privati fornitori di servizi

A giudizio di chi scrive non si può considerare come unico target di SPID quello della sostituzione dei sistemi di accesso delle singole PA, benché tale obiettivo rivesta un notevole carattere di razionalizzazione dei costi diretti e indiretti, di semplificazione per i cittadini, di velocizzazione dei processi di integrazione dei servizi delle diverse PA.

Già oggi il numero di interazioni che richiedono autenticazioni effettuate verso i privati è enormemente superiore a quelle che un cittadino effettua verso le PA; un discorso un po’ diverso è quello relativo ai professionisti. Verrebbe quindi da pensare che l’utilizzo di SPID nel privato sia cosa ardua.

Provo quindi a spiegare perché tale target è importante per il nostro Paese e perché non è velleitario.

E’ noto che nel nostro Paese la fiducia verso i servizi on line è mediamente più bassa di quella relativa ad altri Paesi europei, pur avendo una eccellente distribuzione di smartphone ed un ottimo utilizzo di social network, inoltre le nostre imprese sono molto indietro nei settori del commercio elettronico e nell’esposizione di servizi su internet. In un tale scenario, avere una base clienti (di milioni di cittadini, con trend sfidanti in un breve lasso temporale) costituisce un patrimonio per i fornitori di servizi privati. Il paragone con contesti più leggeri (vedi il caso dei servizi privati che sono acceduti con la funzione “Accedi con facebook o con google”) dimostra la tesi. Nel caso SPID, a parte gli elementi di qualità, sicurezza e privacy, va sottolineato che la base utenti SPID condivide una user experience e può scegliersi la credenziale di accesso tra quelle proposte dai vari IdP, selezionando quella più ergonomica per i propri scopi.

Con tali presupposti riteniamo che un’identità digitale forte, con credenziali prodotte via via dal mercato, un sistema di regole pubbliche ed una vigilanza sul settore, possa costituire un’attrazione per settori quali il mondo bancario, i trasporti e i media. Al tempo stesso, riteniamo che l’utilizzo di SPID possa favorire le startup o le imprese innovative, fornendo una base di clienti che non devono essere identificati; in tale ambito riteniamo che diverse applicazioni della cosiddetta sharing economy possano avvantaggiarsi di un riconoscimento certo dell’utente. Per non citare di possibilità ad oggi non ancora realizzabili, quali quelle di fornire servizi e contenuti per target di età, preservando privacy e sicurezza, ovvero consentire l’accesso ad un servizio attraverso una gestione in tempo reale dei ruoli o delle qualifiche, attestazioni provenienti da chi ha sotto controllo tali ruoli e qualifiche.

Tutto quanto accennato sulla possibile adesione dei privati non è solo un auspicio, rafforzato dalle precedenti considerazioni, ma è confermato dalle concrete manifestazioni di interesse ricevute e da alcune significative esperienze estere.

4. La normativa di riferimento

La normativa che ha introdotto SPID ha un grande merito ed una visione “future proof”, avendo separato il modello dalla tecnologia. Infatti, l’evoluzione della tecnologia, essendo molto più veloce di qualunque regolamento tecnico (figuriamoci le norme), deve avere un’introduzione regolamentata nel processo di adozione, ma non nella soluzione. La scelta del legislatore, in questo caso, è stata lungimirante. Diversamente, l’impatto sistemico di una trasformazione di questo tipo non è stato parimenti valutato ed affrontato. Durante questo periodo, proprio dallo stimolo dell’interazione con i privati, si sono evidenziati due elementi principali sui quali occorrerà intervenire:

• tra gli strumenti previsti nel riconoscimento a distanza della clientela bancaria vi è la firma digitale (con la quale peraltro si può ottenere un’identità digitale), ma non è previsto l’uso di SPID, che garantirebbe una facile acquisizione di un nuovo cliente, la mobilità della clientela bancaria e quindi una maggiore concorrenza;
• il legislatore ha previsto l’integrazione di diverse banche dati anche attraverso interfacce specifiche per contrastare le frodi, anche dovute a furto di identità, nel credito al consumo. Evidentemente, rispetto alla previsione di controlli su n banche dati, la cui lettura incrociata è lasciata alla responsabilità del gestore di identità, una visione integrata, con interrogazioni predefinite su un insieme di banche dati, garantirebbe una maggiore robustezza dei controlli. E pertanto, il caso utilizzato per il credito al consumo andrebbe specializzato per tutti i (trusted) servizi pubblici che richiedono il riconoscimento di un’identità, favorendo una visione integrata delle principali banche dati.

Inoltre, il legislatore, pur avendo in maniera lungimirante individuato nella messa in rete dei gestori di attributi qualificati un elemento di grande valore per SPID, non ha tenuto conto di un fattore di scala, per cui sono ben oltre un migliaio i soli soggetti individuati di diritto dalla normativa. Tale fattore rende complesso l’inserimento degli ordini e collegi professionali.

AgID ha evidenziato le problematiche suddette, confrontandosi con gli stakeholder coinvolti e proponendo le modifiche necessarie.

5. I cittadini

Attraverso l’adozione di un sistema unico di identità digitale il legislatore si è posto due obiettivi:

• la razionalizzazione dei sistemi di accesso ai servizi on line della PA;
• la semplificazione dal lato del cittadino, favorendo quindi un utilizzo dei servizi on line.

E’ evidente che SPID da solo non basta e che occorrerà lavorare, come peraltro si sta facendo, secondo un disegno unitario, sulla semplificazione dei servizi stessi e su una maggiore ergonomia dei siti, favorendo l’utilizzo dei servizi in mobilità. Al tempo stesso, la crescita delle competenze digitali di base, l’informazione e la formazione dei cittadini è un passo necessario per promuovere l’adozione di SPID. Accanto a campagne di comunicazione, è necessario sviluppare azioni sussidiarie sia per l’ascolto delle problematiche di adozione di SPID, sia per l’individuazione di azioni di sostegno, soprattutto per quei settori di popolazione che si trovano in digital divide per motivi culturali e socio-economici, settori che rischiano di essere tagliati ancor più fuori dai benefici della digitalizzazione. In tali ambiti sono state pianificate concrete iniziative.

Con SPID, per la prima volta tra i servizi vigilati destinati agli utenti, sono previste procedure di conciliazione che devono essere messe a punto con le associazioni di consumatori. L’occasione del rinnovo delle tessere sanitarie è stato, nel caso di alcune regioni, un momento per comunicare il prossimo avvio di SPID, comunicazione che è stata gestita d’intesa con AgID.

Non ultimo va sottolineato il rapporto con il Garante per la protezione dei dati personali, non solo in fase di approvazione dei regolamenti. Con il Garante, infatti, è stata condivisa l’idea che SPID sia dalla parte della soluzione di diversi problemi che impattano la privacy dei cittadini, dalla duplicazione incontrollata dei propri dati personali, al loro utilizzo, alla tracciatura delle operazioni in rete e così via. Insieme con il Garante saranno coordinate le azioni di vigilanza sul sistema.

6. Il ruolo AgID definito nelle norme

Fin qui, pur limitandomi agli aspetti principali di questa fase, già si è visto un ruolo articolato dell’Agenzia e gli ambiti nei quali è stato svolto e si sta svolgendo il lavoro progettuale per lo sviluppo di SPID, nonché le con altre linee di azione avviate da AgID. Sotto il profilo normativo, relativamente a SPID ad AgID sono attribuiti i seguenti ruoli:

1. Definizione delle regole tecniche
2. Accreditamento dei gestori di identità e di attributi qualificati
3. Sottoscrizione e gestione delle convenzioni con i soggetti pubblici e privati fornitori di servizi, con i gestori di identità e con i gestori di attributi qualificati
4. Realizzazione e gestione del registro SPID e dei connessi servizi, quale riferimento e garanzia dei soggetti che, con i diversi ruoli, partecipano a SPID
5. Vigilanza sul settore.

Mi soffermo, per necessaria brevità, sul primo ruolo (definizione delle regole tecniche). Per loro natura le regole tecniche sono un elemento in costante evoluzione, e in tale evoluzione vanno tenuti in conto aspetti di ricerca, evoluzione tecnologica, legami e vincoli derivanti da altre legislazioni (comunitarie e settoriali), la gestione della compliance verso le regole medesime, la predisposizione di meccanismi di “manutenzione” ordinaria delle regole, i meccanismi di aggiornamento, e così via.

Con tale visione, prima ancora della pubblicazione del DPCM, AgID ha reso pubblica la bozza di regole tecniche (un anno prima della loro emanazione), al fine di raccogliere suggerimenti. Sul piano della ricerca AgID ha partecipato ai progetti Stork e Stork 2.0 relativi alle identità digitali, partecipa ad un progetto europeo di ricerca in tema di furto di identità (Eksistenz), si è aggiudicato, con il progetto FICEP, una call per l’integrazione di SPID nei building block di interoperabilità definiti per questo settore nell’ambito dei precedenti progetti ed insieme ad altri partner nazionali pubblici e privati sta partecipando ad altre call in tale ambito.

L’ambito dei regolamenti eIDAS, che prevedono tra i servizi anche le identità digitali, viene seguito con l’obiettivo di contribuire alla definizione di modelli di attuazione del regolamento, al quale SPID è conforme, anche grazie alla partecipazione di AgID ai tavoli europei.

7. Gli aspetti economici

Per il monitoraggio del dispiegamento di SPID utilizzeremo il sito tematico, sul quale verranno forniti sia i dati di adesione sia quelli di esercizio provenienti dai gestori di identità e dai fornitori di servizio.

Per quanto concerne i costi finora sostenuti da AgID possiamo dire che sono stati utilizzati 4 anni uomo complessivi oltre, come quota parte per l’hardware e il software di base circa 50.000 € per il registro, l’ambiente di staging ed altre facilities.

La norma stabilisce che le pubbliche amministrazioni non pagano per l’attività di autenticazione degli utenti e, non dovendo effettuare l’identificazione e l’attribuzione delle credenziali, non hanno costi per tali attività e per tutto ciò che comporta il ciclo di vita delle identità. Con una certa ipocrisia, si può sostenere che fin ad oggi i cittadini abbiano usufruito gratuitamente delle identità digitali rilasciate dalle singole amministrazioni, dimenticando che i costi (e l’inefficienza) di un tale sistema hanno trovato copertura nella fiscalità generale.

A titolo di esempio, un insegnante romano può avere oggi identità e credenziali presso MIUR, INPS, Agenzia Entrate, Equitalia, Motorizzazione civile, Regione Lazio, Comune di Roma, per non parlare delle municipalizzate.

Stando alla norma, i costi del sistema, considerando anche che ad AgID è dovuto da parte dei gestori di identità una fee a copertura dei costi di accreditamento e vigilanza, devono essere sostenuti dagli utenti finali dei servizi (cittadini, professionisti ed imprese), nonché dai privati che vogliano utilizzare SPID come sistema di accesso ai propri servizi.

Si ritiene che una enorme massa di utenti digitali, al crescere dei servizi acceduti, richiederà ulteriori servizi aggiuntivi agli identity provider, ma soprattutto i privati fornitori di servizi possano trovare una convenienza economica nell’adozione di SPID nella mera riduzione dei costi, pur corrispondendo ai gestori di identità una fee per i servizi forniti; senza contare i vantaggi di migliori prospettive di business che ne ricaverebbero.

Nel convincimento che, come il modello internet in molti casi ha già dimostrato, è possibile la sostenibilità di servizi free of charge per i cittadini, con opera di moral suasion si è riusciti a riportare nelle convenzioni l’impegno per ciascun Identity Provider di fornire gratuitamente, per i cittadini che lo richiedono entro il 31 dicembre del 2016, un’identità digitale e credenziali di 2 livello, mantenendole attive per un periodo di due anni. Ogni IdP, secondo una propria politica commerciale, in alcuni casi opportunamente pubblicizzati, potrà richiedere il pagamento di un corrispettivo per talune modalità di attribuzione dell’identità digitale ovvero per talune tipologie di credenziali anche di livello 2 nel corso del primo periodo. Il livello 3 e le altre categorie (professionisti ed imprese) sono esclusi da questa politica. Su questo tema AgID è impegnata per assicurare il mantenimento delle condizioni di avvio.

Le politiche di pricing relative ai service provider privati seguiranno criteri stabiliti da AgID. Sugli utenti finali (cittadini, professionisti ed imprese) ci siamo già soffermati.

8. Prossimi passi

Alle sfide del deployment del sistema, sul piano delle amministrazioni e dei cittadini, si aggiungono una serie di attività di completamento del sistema tra le quali:

• la definizione degli schemi di convenzione con: i privati fornitori di servizi in rete, i gestori di attributi qualificati;
• la messa in esercizio del registro;
• l’accreditamento dei fornitori di attributi qualificati, primo tra tutti il registro imprese, attraverso i soggetti responsabili della gestione;
• l’accreditamento dei laboratori per l’emissione dei certificati di conformità dei meccanismi utilizzati per l’autenticazione.

Contemporaneamente, si perseguirà l’obiettivo di aggiungere il maggior numero di servizi (e killer application) pubblici e privati.

Si lavorerà anche sul recupero delle identità pregresse. Al momento sono state già autorizzate quelle rilasciate da uno degli IdP, secondo un processo conforme alle regole SPID. Purtroppo moltissime Identità rilasciate in passato dalle amministrazioni non rispondono ai canoni di sicurezza SPID, sia per la parte relativa all’identificazione dell’utente, sia per la documentazione conservata comprovante tale identificazione.

L’entrata in vigore del nuovo CAD, per quanto a conoscenza allo stato attuale, risolverà i problemi normativi citati che non favoriscono lo sviluppo del sistema.

Ci si aspetta, da parte del mercato ICT, che sappia cogliere le numerose opportunità che l’introduzione di SPID può offrire. Nessun obbligo di dismissione di preesistenti sistemi è richiesto per i privati, ma anche le campagne di sensibilizzazione e comunicazione possono essere un’occasione di stimolo e ci si aspetta che sia sempre più pressante la richiesta dei cittadini di non usare altri pin e altri sistemi di credenziali.

9. Conclusioni

Portare avanti progetti come SPID, come accennato nei paragrafi precedenti, richiede un approccio multidisciplinare (normativo, mercato, comunicazione, tecnica, regolamentazione europea, etc) e multidimensionale (PAC, PAL, Privati in genere, banche, startup, mercato ICT).

Il metodo di lavoro che abbiamo via via costruito, pur mantenendo dritta la barra sull’obiettivo, ha garantito ampia partecipazione. E’ doveroso da parte mia evidenziare, con profonda gratitudine, un riconoscimento ai colleghi AgID innanzitutto e a tutti coloro, precedentemente citati in via diretta e indiretta, che con sincera condivisione degli obiettivi, superando anche interessi di parte, hanno contribuito ad arrivare dove siamo. Nel rispetto dei ruoli e pur avendo registrato punti di vista talvolta molto differenti, si è instaurato un buon clima di collaborazione con gli IdP (tra i quali includo anche alcuni candidati per tale ruolo), che ha favorito la standardizzazione dei processi e del comportamento ai morsetti, a vantaggio dell’adesione dei service provider e anche dei futuri identity provider.

Riassumendo, abbiamo oggi 3 IdP accreditati, un quarto in istruttoria, un quinto che ha appena presentato domanda ed un sesto che ha annunciato la presentazione della richiesta di accreditamento. Gli attuali IdP hanno presentato per le valutazioni di AgID nuovi tipi di credenziali e nuovi canali per il riconoscimento e l’attribuzione di identità SPID, in aggiunta a quelle già autorizzate. Da questo mese, e progressivamente per i due successivi, avremo 5 amministrazioni centrali, 8 regioni, 3 comuni in via diretta e oltre 800 amministrazioni locali, che hanno firmato o stanno firmando la convenzione. Entro il corrente mese avremo circa 300 servizi accessibili con credenziali SPID, che diventeranno 600 entro giugno; numero nel quale non sono state conteggiate le istanze di servizio che, in particolare la Regione Friuli Venezia Giulia, attiverà per i diversi enti locali.

Possiamo prudentemente stimare che le pubbliche amministrazioni citate rappresentino tra l’80% ed il 90 % degli utenti profilati sui portali delle PA che accedono a servizi con identificazione, quindi con lo switch off dei sistemi di dette amministrazioni, attraverso l’attribuzione di un’identità SPID, si otterrà la massa numerica di utenti adeguata per fare da volano anche verso i privati, e si potranno verificare i vantaggi per utenti e amministrazioni.