Non sappiamo se funzionerà lo SPID che sta per essere introdotto – il decreto dopo il suo complesso iter dovrebbe essere pubblicato sulla Gazzetta Ufficiale verso giugno. Ma se funzionerà, e al momento non esistono motivi per dubitare, avremo fatto un notevole passo in avanti per facilitare l’accesso dei cittadini ai servizi Internet, diminuendo tutti gli attuali rischi, tutelando la privacy, diminuendo gli innumerevoli archivi nei quali oggi sono depositati i nostri dati.
Di cosa sia sostanzialmente lo SPID (Servizio Pubblico di Identità Digitale) abbiamo già scritto. Adesso, grazie a un interessante articolo di Andrea Rigoni, uno degli artefici di questo sistema, cerchiamo di capire qualcosa in più.
Su quali premesse è nato lo SPID? Sulla constatazione che oggi per accedere ai vari servizi Internet forniamo ogni volta e a ciascun servizio delle informazioni: dati anagrafici, indirizzo mail, consenso privacy, ecc. Ogni servizio ha un suo sistema di Identità: per questo ci viene chiesto di registrarci e fornire una password che protegga il nostro profilo. Così sono nati tanti nostri profili, ognuno protetto da una password, teoricamente diversa ma spesso di fatto unica e spesso coincidente con la password per accedere alla nostra email. Violare questo tipo di identità digitale si è dimostrato molto facile: così si sono facilmente diffusi i furti di identità.
Su questa premessa è scaturita la proposta di legge sullo SPID, presentata dal Stefano Quintarelli (Scelta Civica), Paolo Coppola (PD), Antonio Palmieri (FI), fatta propria dal Governo ed inserita in un articolo della legge n. 98 del 9 agosto 2013. Un gruppo coordinato da Andrea Rigoni, all’interno della Unità di missione presieduta da Francesco Caio, ha disegnato il nuovo sistema.
Ci si è basati sull’analisi dei progetti di altri Paesi arrivando ad un modello considerato molto innovativo, con la massima attenzione alle aspettative di noi utenti che vogliamo servizi semplici e diretti. Il Decreto non entra nei dettagli tecnici ma definisce uno schema generale per creare il sistema vero e proprio.
Al centro del sistema il cittadino che potrà ottenere una o più identità digitali. Di fatto l’ID è “l’equivalente di un Passaporto Digitale, che conterrà alcune informazioni identificative obbligatorie, come il codice fiscale, il nome, il cognome, il luogo di nascita, la data di nascita e il sesso. Oltre a queste informazioni, l’Identità conterrà altre informazioni come un indirizzo di email e un numero di telefono, utili per poter comunicare con il soggetto titolare dell’Identità. Oltre a queste informazioni, l’Identità conterrà una o più credenziali, utilizzate per poter accedere ai servizi in modo sicuro”.
Poi ci sono i Gestori delle Identità. Il Gestore “è un soggetto pubblico o privato che, previo accreditamento presso l’Agenzia per l’Italia Digitale, si occuperà di creare e gestire le Identità Digitali”. Sono previsti anche i Gestori di Attributi qualificati, “ovvero soggetti che per legge sono titolati a certificare alcuni attributi, come un titolo di studio, una abilitazione professionale, ecc”.
Infine ci sono i Gestori di Servizi, cioè tutte le pubbliche amministrazioni, ovvero tutti quei soggetti privati che decideranno di aderire a SPID in maniera volontaria.
Il cittadino che desidera ottenere una Identità Digitale si deve rivolgere a uno dei Gestori di ID accreditati. Il Gestore dovrà riconoscere il cittadino, con una verifica de visu, a meno che il cittadino non abbia già una carta d’identità elettronica, o una carta nazionale dei servizi, o una tessera sanitaria con carta nazionale dei servizi. Il Gestore quindi fa una verifica in tempo reale dei dati forniti dal cittadino con quelli della Anagrafe Nazionale della Popolazione Residente. Infine il Gestore crea l’ID del cittadino e gli fornisce una o più credenziali di sicurezza.
Qui si innesta una delle novità dello SPID: non esisterà un unico sistema di autenticazione ma i singoli gestori potranno utilizzare i sistemi di autenticazioni più evoluti dal punto di vista tecnologico forniti dal mercato. Dovranno soltanto attenersi ai tre livelli previsti dal Decreto e che si riferiscono a regolamenti europei e standard internazionali (password, on time password, sistemi basati su App, smart card, secureSim). Uno schema insomma di grande flessibilità.
Ovviamente i Gestori dell’ID dovranno trattare le informazioni sui cittadini con la massima sicurezza, secondo criteri che saranno stabiliti dall’Agenzia per l’Italia Digitale.
Infine è da sottolineare che SPID risponde al principio di condivisione minima degli attributi. Cioè, la mia ID contiene una serie di informazioni su di me, ma quando mi rivolgo ad un Gestore di Servizi i dati miei possono essergli passati dal Gestore ID solo su mio esplicito consenso.
Dopo la pubblicazione del Decreto sulla Gazzetta Ufficiale sarà avviato un progetto pilota aperto alle società che vorranno parteciparvi sia come Gestori di ID sia come Gestori di Servizi. Il progetto pilota durerà sei mesi e solo alla fine, entro i tre mesi successivi, verranno emanate le Regole Tecniche.
A quel punto tutti i siti della Pubblica Amministrazione dovranno adeguarsi al nuovo sistema di identificazione.
(questa immagine è tratta dall’articolo di Andrea Rigoni su agendadigitale.eu)