Quali sono i nodi irrisolti dello SPID?

In questi giorni, come ufficialmente comunicato nella conferenza stampa della scorsa settimana, parte ufficialmente SPID: il 15 marzo i gestori di identità digitale accreditati da AgID hanno iniziato infatti a erogare le prime identità digitali attraverso le quali sarà possibile per gli utenti accedere ai servizi online resi disponibili dalle pubbliche amministrazioni aderenti. Di fronte a questo varo bisogna, a nostro parere, tenere un entusiasmo moderato, dal momento che ci son diversi nodi da sciogliere prima di poter considerare il processo SPID pienamente avviato e con successo, nonostante le rosee previsioni enunciate durante la conferenza (ovvero estendere entro 24 mesi il sistema di login SPID a tutta la PA italiana e distribuire 6 milioni di identità digitali entro fine anno).

Innanzitutto, gli Identity Provider finora accreditati sono oggettivamente pochi: solo tre soggetti (ovvero InfoCert, Poste Italiane e Tim) possono attualmente erogare identità digitali a fronte di tutte le aziende, decisamente più numerose, che operano nel mercato. Nello specifico,il nodo gordiano riguarda l’ammontare del capitale sociale richiesto per accreditarsi come gestori di identità digitale. Dopo, infatti, che la sentenza del Tar del Lazio del 21 luglio 2015aveva annullato il requisito dei 5 milioni di euro di capitale sociale inizialmente richiesto dal DPCM per poter diventare Identity Provider, tale requisito è stato introdotto nuovamente nello schema di decreto di modifica al D.Lgs. 82/2005 (CAD). Il requisito è considerato, e non a torto, ingiusto e poco equo da molte associazioni di categoria, perché ad esempio non si prevede il possesso, in alternativa, di un’equivalente polizza assicurativa – come invece previsto per i prestatori di servizi fiduciari qualificati dalla lett. c) dell’art. 24 del regolamento eIDAS – e ciò finirebbe di fatto con l’escludere dall’accreditamento a SPID le realtà medio-piccole favorendo i grandi fornitori del settore; purtroppo, però, nonostante le numerose proteste, finora non c’è nessun segnale che lasci presagire che si intenda modificare questo status quo. A ciò si aggiunga che non è così ovvio considerare i prestatori di identità digitale (o meglio di identificazione elettronica) come prestatori di servizi fiduciari qualificati, i quali sono solo quelli espressamente elencati nel punto 16) dell’art. 3 comma 1 del Regolamento eIDAS. Quindi non ci sono elementi per giustificare come un’esigenza derivante dal diritto europeo questo irrigidimento sul possesso di un capitale sociale così elevato.

A essere pochi, poi, non sono solo i gestori di identità accreditati, ma anche i servizi finora attivati dalla PA, che sono solo 300 (con la previsione di farli diventare 600 entro giugno): è chiaro che avere un’identità digitale e non poterla utilizzare per fruire in modo più semplice e veloce di servizi realmente necessari per il cittadino non porterebbe alcun vantaggio. In quest’ottica non si può lasciare tutto alla buona volontà di ogni pubblica amministrazione, ma per rendere effettivo l’incremento dei servizi offerti bisognerebbe prevedere anche delle sanzioni per le PA che non si adeguano nei tempi previsti.

Bisogna inoltre gestire con accortezza la convivenza tra SPID e altri progetti per ora incompiuti (nonostante le molte risorse investite) come la Carta nazionale dei servizi e la Carta di identità elettronica, convivenza che genererà anche una coesistenza di più PIN per il medesimo utente. Anche se si è tanto parlato di “PIN unico” di fatto per adesso se ne contano almeno due, quello dello SPID e quello della nuova CIE (Carta d’Identità Elettronica, le cui modalità tecniche di emissione sono state definite dal recente decreto 23 dicembre 2015).

Infine, ma non per minore rilevanza, bisogna dare massima attenzione alle misure di sicurezza e alle garanzie sulle modalità di trattamento dei dati personali sulle quali il progetto SPID si poggia e su cui ancora vi sono degli aspetti poco chiari, come ad esempio quello riguardante il recepimento delle indicazioni fornite dall’Autorità garante privacy (da ultimo con il provvedimento del 17 dicembre 2015).

I livelli di sicurezza previsti dal sistema sono tre e sono incrementali: i primi due livelli saranno gratis per due anni, mentre il sistema di terzo livello (quello che garantisce massima sicurezza e prevede l’uso di smart card) è ancora in attesa di predisposizione e sarà distribuito più avanti (ma a pagamento).