Spid, gli equivoci che mettono a rischio il progetto
Il rischio che errori concettuali e sistemici imposti per decreto nella implementazione della CIE possono ostacolare il successo di SPID, ad esempio l’idea di inserire nella CIE un riferimento alla identità digitale: questo complicherebbe enormemente le cose
16 Febbraio 2016
Alessandro Osnaghi, Università di Pavia
Per inquadrare l’Identità SPID rispetto alle altre soluzioni previste dalla normativa vigente è utile riproporre alcune considerazioni già svolte in un precedente documento sulla possibilità di utilizzare in pratica credenziali basate su smart-card crittografiche come credenziali per l’accesso a servizi erogati in rete.
La tecnologia delle smart-card consente di realizzare credenziali imputabili appartenenti ai livelli di garanzia 3 e 4 ma, come ha dimostrato l’esperienza più che decennale relativa alla CIE e alle CNS CRS, le credenziali di questo tipo non sono praticamente mai state utilizzate dai cittadini perché comportano una non banale gestione del posto di lavoro individuale da parte sia dell’utente che dell’ente che le rilascia e non sono quindi adatte per l’uso in mobilità o su qualunque posto di lavoro non appositamente configurato (hardware e software). Richiedono anche una gestione specifica e non standard da parte del fornitore del servizio applicativo.
Pur essendo trascorsi quasi due decenni dalla introduzione nessuna amministrazione ha mai gestito l’autenticazione tramite CIE e nel caso della CNS CRS le Regioni hanno sperperato negli ultimi dieci anni centinaia di milioni di euro per gestire l’accesso con queste credenziali ai propri servizi sanitari senza vederli praticamente utilizzati e ora abbandonano gradualmente la partita adottando la TS tessera sanitaria nazionale con valenza di tessera fiscale fornita da MEF/Agenzia-Entrate/Sogei.
La TS, di cui è in corso una rapida distribuzione all’intera popolazione, presenta dal punto di vista tecnico caratteristiche di imputabilità e di sicurezza che la qualificano al livello di di garanzia 3 a prescindere dalla facilità del suo uso, che pure presenta le limitazioni menzionate per tutte le smart-card. Il suo utilizzo per l’accesso a servizi in rete è però reso più semplice e praticabile dal fatto che, per le proprie esigenze di servizio il Ministero delle Finanze svolge già tutte le funzioni di un Identity Provider ed è dotato (attraverso Sogei) della capacità tecnica ed organizzativa di supportare l’utilizzo della TS a livello nazionale anche sui posti di lavoro personali degli utenti. Come noto la TS non è la sola tipologia di credenziale fornita da MEF/Agenzia-Entrate/Sogei che infatti eroga servizi in rete accessibili anche con credenziali imputabili di livello 1(UserID e Password). che rilascia a tutti i cittadini.
In presenza della volontà politica, MEF potrebbe facilmente uniformarsi agli standard di SPID garantendo in questo modo la possibilità di accedere con le proprie credenziali ai servizi di tutte le amministrazioni sia pure solo da postazioni opportunamente configurate oppure usando credenziali di livello 1.
Gli Identity Provider privati che si qualificano per SPID, non avranno certo interesse a distribuire credenziali di livello 3 di tipo smart-card per la loro difficile fruibilità e perché il settore sarebbe già coperto dalla TS e si concentreranno piuttosto sulla distribuzione di credenziali a livello 1 e 2 ed eventualmente 3 che utilizzano tecnologie più adatte ad un uso ubiquito o in mobilità.
La concorrenza a CIE come credenziale di accesso non è quindi rappresentata dalle credenziali erogate da SPID, ma piuttosto dalla TS e ci sono molte ragioni per prevedere che in queste condizioni, nonostante eventuali sempre possibili imposizioni ope legis, della CIE per l’accesso ai servizi in rete non si parlerà più anche a causa dei prevedibili lunghi tempi richiesti per la sua diffusione a tutti i cittadini. Una ruota quadrata non potrà mai rotolare e non sempre vero che “ lex facit de albo nigrum…aequat quadrata rotundis ”.
Tuttavia come si sa diavolo sta nei dettagli e il rischio che errori concettuali e sistemici imposti per decreto nella implementazione della CIE possono ostacolare il successo di SPID è sempre in agguato, basti pensare ad esempio alla idea peregrina di inserire nella CIE un riferimento alla identità digitale SPID: questo complicherebbe enormemente le cose senza servire ad alcunché. È se mai necessario fare il contrario e mantenere nella identità digitale un riferimento ad un documento di identità personale.
Un ultimo pericolo proviene dalla narrazione tutta politica sul PIN unico. Pur volendo concedere, almeno in questo campo, alla politica una comprensibile improprietà di concetti e di linguaggio, sarebbe opportuno convenire che PIN unico è solo uno slogan. Quello che si vuole ottenere è la possibilità di accedere ai servizi di tutte le amministrazioni con le stesse credenziali che non sono necessariamente uniche (cioè le sole). SI tratta allora di un obiettivo così ovviamente condivisibile che è già implicato da tutte le soluzioni esistenti. La CIE ha da sempre incarnato l’obiettivo di essere una credenziale unica. Un’altra possibile credenziale unica per i servizi della pubblica amministrazione è implementata dalla TS che a norme vigenti dovrebbe già oggi essere accettata da tutte le amministrazioni. Se la TS è poco fruibile si potrebbero utilizzare per tutti i servizi le credenziali di livello 1 fornite a ciascuno di noi dalla Agenzia delle Entrate, mentre per le credenziali di livello 2 o 3 interverrà SPID che realizza questo obiettivo.
Il rischio vero è tuttavia che ad opera di zelanti interpreti quella che dovrebbe essere considerata solo una semplificazione comunicativa e uno slogan diventi invece una incomprensibile e ingiustificabile soluzione alternativa.