Accedi Area riservata
lentepubblica
lentepubblica


SPID: meccanismo per servizi, non per identificare

lentepubblica.it • 30 Ottobre 2014

Un equivoco va chiarito per questo sistema di credenziali informatiche, uniche e interoperabili, che sta per sbarcare in Italia. Non è un modo per identificare gli utenti. Né è un sistema dispositivo: non si firma nulla. Sarà invece il modo più semplice e immediato per accedere a siti e servizi pubblici e privati.

E’ stato in questi giorni approvato il decreto attuativo dello“SPID”, il sistema pubblico dell’identità digitale. Dopo la pubblicazione del decreto potrà quindi (finalmente) partire l’implementazione del sistema che consentirà dunque a breve di accedere con una unica credenziale a tutti i siti e servizi online della pubblica amministrazione.

Ricordo, per chi ancora non avesse familiarità con il concetto di SPID, che la credenziale SPID potrebbe coincidere con quelle che già utilizziamo nella vita di tutti i giorni (sarà sufficiente che chi le fornisce divenga “identity provider”): ad esempio il generatore di codici per la banca, la SIM del cellulare, il bancomat, l’autenticazione della carta di credito, ecc. che, a scelta del cittadino, potranno divenire così anche abilitazione per l’accesso ai servizi di tutti i siti della PA, senza moltiplicazione di procedure e codici di riconoscimento.

Uno dei primi pensieri, costante in chiunque tenti di immaginare vantaggi ed implicazioni dell’adozione di un simile sistema è quella di comprendere il rapporto tra “identità digitale” e altri sistemi di identità/identificazione.

Da qualche tempo mi sono convinto che esiste un problema nell’aver chiamato il sistema SPID “identità” digitale.

Di fatto, SPID non è e non nasce come un sistema alternativo di identificazione del cittadino, non è questa la sua funzione e se venisse trattato come tale risulterebbe pressoché inutilizzabile o, comunque, poco utile.

SPID è un sistema di credenziali informatiche uniche ed interoperabili che consentono al loro utente di accedere a tutti i siti e servizi offerti dalla PA italiana e, in prospettiva, dalle PA comunitarie; a SPID potranno inoltre aderire inoltre servizi commerciali in Italia ed nell’Unione Europea (ma non solo) che, in questa maniera, risolveranno il problema di dover registrare ex novo ed in maniera sicura e certa i propri utenti, sarà SPID a curare questi aspetti per loro tramite gli identity provider.

Accedere a un sito non implica essere identificati. Un sito, quando ci fa accedere, verifica che siamo in possesso delle credenziali valide per accedere al profilo. Non accerta la nostra identità. Non può essere, infatti, certo che chi immette le credenziali sia sempre la stessa persona, tanto che è nota l’ipotesi del furto di identità.

Tale considerazione implica una riflessione sul concetto di identità digitale, come declinato in SPID, rispetto al concetto di identificazione presente nell’ordinamento italiano.

I lettori di queste brevi considerazioni mi perdoneranno se prendo, per qualche riga, il tono del giurista (ma tale sono) ma il problema è proprio di diritto: identificare è un concetto di ordine pubblico ed è un operazione che, come risultato, ha quello di stabilire con certezza se una persona è chi afferma di essere.

L’operazione di identificazione può essere compiuta solo da pubblici ufficiali e, in particolare, se non siamo noi a chiedere di essere “identificati” può essere richiesta d’imperio solo da esponenti delle forze dell’ordine; pensiamo a quando in occasione di situazioni tumultuose si sente dire che la polizia ha “identificato” alcune persone e questa situazione è disciplinata dal Testo Unico delle Leggi di Pubblica Sicurezza.

In alcune specifiche occasioni come, ad esempio il rilascio della Identità Spid, può essere utile utilizzare identificazione da parte di pubblici ufficiali o di soggetti aventi potere identificazione in altri ambiti: il Comune non è infattti affiancato dall’ufficiale d’anagrafe come avviene per l’identificazione con altre tecnologie, all’atto del primo rilascio della carta d’identità (con i testimoni se non abbiamo un altro documento), oppure il notaio quando sta formando un atto pubblico.

Identificare è insomma un operazione per pochi e serve a dare certezza dell’identità di chi richiede un documento, con il quale dovrà ad esempio espatriare o essere identificato dalle Forze dell’Ordine, in particolare, identificare richiede particolari qualifiche in chi identifica. L’operazione di identificazione serve dunque a dare una identità certa a qualcuno la cui identità è potenzialmente sconosciuta ed è quella che si fa anche in caso di documenti che si sospettino essere falsi o di persone che non hanno alcun documento.

Quando esibiamo un documento in un’operazione che è gestita da soggetti diversi dai pubblici ufficiali con potere di identificazione dobbiamo essere consapevoli che le persone davanti a noi non hanno potere di identificarci. Esse si limitano ad acquisire il nostro documento a conferma della bontà dell’operazione svolta. In caso di problemi il documento verrà verificato da chi ha potere di identificarci. Ad esempio, l’operatore telefonico che rilascia una SIM non è in grado di verificare la nostra identità, esso ritira il nostro documento e ne trasmette i dati al Ministero degli Interni. Può farne una sommaria verifica ma non è titolato all’identificazione (fermo restando che chi presenta documenti falsi, anche in quella sede commette un reato).

In alcuni casi la Legge prevede invece che anche soggetti privati si debbano accertare della nostra identità. E’ il caso, ad esempio, degli adempimenti antiriciclaggio bancari cui siamo periodicamente chiamati se abbiamo un conto corrente o una carta di credito.

E’ anche il caso del rilascio della firma digitale, che prevede l’intervento di un pubblico ufficiale a conferma dell’identità della persona cui la firma viene attribuita, perché la firma ha il potere di certificare l’identità della persona di chi firma con lo stesso valore di una firma autografa.

Se si appone una firma digitale davanti a un notaio, per capirsi, si può vendere casa senza che inchiostro tocchi penna e per tale motivo occorre essere identificati al rilascio.

Altra cosa è l’identità digitale che ha a che fare con l’accesso ai servizi della PA. Essa non è rilasciata con la finalità di permettere atti dispositivi (es. una richiesta di pensione), ma di consentire l’accesso al sito. L’ente potrà richiedere sicurezze aggiuntive per certi tipi di atti che si andranno ad abbinare a una certa identità digitale. Ad esempio potrebbe richiedere a chi si presenta con l’identità digitale di confermare alcuni dati all’atto del primo accesso o di fornire una copia del documento di identità o, ancora, effettuare una verifica di carta di credito/SMS.

Ciò risponde al fatto che quando accediamo ad un sito e ci registriamo, la nostra identità non entra in gioco, è un fatto di credenziali.

Anche se ci rechiamo a uno sportello pubblico e domandiamo un servizio, in molti casi non ci viene chiesto un documento, compiliamo un modulo, autocertifichiamo quanto occorre, ma non siamo identificati.

Qualora la prestazione che richiediamo sia di una certa importanza, in genere, viene chiesto di esibire il documento.

Questo è il parallelo che vorrei fare: un conto è l’accesso ai servizi, altro è confermare la richiesta con una identificazione (questione tra l’altro dove anche il tipo di identità SPID rilasciata è rilevante).

Se devo richiedere un certificato che chiunque può richiedere, la mia identità non è rilevante, è importante che io abbia titolo ad accedere a quel servizio e che la richiesta sia tracciabile.

Se devo chiedere di andare in pensione è importante che la mia identità sia accertata.

Una soluzione potrebbe essere quella di utilizzare sistemi di identificazione indiretta, portare cioè a garanzia della mia identità un accertamento di identità già svolto altrove (es. in banca, alle Poste, al Comune all’atto del rilascio della mia carta d’identità), non occorre necessariamente che sia effettuata una identificazione ex novo. Attraverso l’IBAN e la carta di credito potrei, come già avviene in alcuni processi di rilascio della firma digitale e di servizi di telecomunicazione, portare “identificazioni” già avvenute nel processo di rilascio della identità SPID.

Teniamo conto che, sino ad ora, le richieste di servizi della PA sono state svolte, per la maggior parte, inviando un fax corredato da copia del documento. Questo solo, per legge (DPR 445/2000), è stato considerato sufficiente a dare certezza della provenienza da una determinata persona che si rivolge ad un ufficio pubblico. Non solo: da qualche anno anche una e-mail con pdf del documento è considerata dal Codice dell’Amministrazione Digitale avere lo stesso valore!

A fronte di questo sistema, in vigore da 15 anni, vi è ora chi dice che l’identità digitale non può che essere rilasciata tramite richiesta “di persona” perché altrimenti si minerebbe la certezza che le operazioni della Pubblica Amministrazione vengono richieste effettivamente dall’interessato.

A mio avviso, i sistemi e le cautele di rilascio dell’identità digitale, che prevedono comunque il passaggio per identity provider che effettuano operazioni di identificazione a monte e non precludono a chi riceve l’identità digitale di richiedere ulteriori conferme di identità (es. richiedere il documento) in corso d’opera, non possono che introdurre una migliore certezza nei rapporti tra cittadino e Pubblica Amministrazione.

Il punto da tenere presente è che SPID non è un sistema dispositivo: con SPID non si firma nulla. Esso serve solo a facilitare l’accesso ai servizi da parte del titolare di una certa credenziale. Il sistema consente di avere certezza che chi accede è il valido titolare di quella credenziale e può navigare nel sito e vedere i dati informativi abbinati a quel profilo. Una volta conseguito l’accesso ai servizi vi potranno essere crescenti livelli di sicurezza che consentiranno, progressivamente, di arrivare alla certezza univoca anche della provenienza di una determinata operazione. Irrigidire i requisiti di rilascio potrebbe dunque essere una operazione vessatoria quanto contraria alla stessa ratio per cui, in Italia e nell’Unione Europea si è lavorato per istituire un sistema di identità digitale (meglio, di credenziali digitali uniche).

 

 

FONTE: Agenda Digitale (www.agendadigitale.eu)

AUTORE: Eugenio Prosperetti

 

SPID, agenda digitale

Fonte:
Subscribe
Notificami
guest
0 Commenti
Inline Feedbacks
View all comments

Continua a leggere...

Istruzione digitale: le scuole che realizzeranno ambienti didattici innovativi
Istruzione digitale: le scuole che realizzeranno ambienti didattici innovativi. Alle Scuole saranno destinati 2,1 milioni di euro per la creazione…
Adempimenti Legge 190 2012: nuova versione del file XSD
Novità importanti in materia di adempimenti Legge 190 2012: la nuova versione del file XSD è stata appena lanciata dall’ANAC.…
Internet e banda larga, il Rapporto ISTAT 2019 bacchetta l’Italia
Internet e banda larga, il Rapporto ISTAT 2019 bacchetta l’Italia: nel nostro Paese anche se rimane un gap rilevante rispetto all’Ue…

Notizie più lette

In quali casi è possibile l’esonero dalle visite fiscali?
Vediamo quali sono i casi in cui è possibile l’esonero dalle visite fiscali, nei quali è consentito uscire durante gli…
Acquisti in Rete Pa: i webinar previsti a maggio 2024
Disponibile il calendario dei webinar in programma a maggio 2024 volti a formare all’utilizzo degli strumenti di acquisto e di…
Controlli anti frode sul PNRR: la Circolare della Ragioneria di Stato
La lotta alla corruzione e i controlli anti frode all’interno del Piano Nazionale di Ripresa e Resilienza (PNRR) hanno assunto…
lentepubblica
Per inviare notizie o comunicati
comunicati@lentepubblica.it
Per informazioni commerciali
marketing@lentepubblica.it
Posta Elettronica certificata (PEC)
info@pec.lentepubblica.it
Seguici su
lentepubblica.it è una testata giornalistica registrata al Tribunale di Catania n.18 del 21/12/2017
©2019 - 2024 lentepubblica.it
Iscriviti al canale Telegram di Lentepubblica.it. Stay tuned!
  Iscriviti  al nostro canale Telegram! Rimani sempre aggiornato ed…