Era proprio necessario affidare ai privati la gestione di dati così sensibili? Non poteva occuparsene lo Stato? Quanto ci costerà? E perché non renderlo gratuito per sempre? Sono questi i principali interrogativi che esperti del settore, e non, si pongono su Spid, il sistema pubblico dell’identità digitale che ha debuttato martedì 15 marzo dopo una genesi durata tre anni, e sul quale si è recentemente pronunciato il Consiglio di Stato ritenendo “irragionevole e illegittima” la norma sul capitale sociale che ha fatto sì che a qualificarsi come operatori autorizzati fossero soltanto tre grandi aziende. Ecco che cos’è, come e da chi sarà gestito e gli aspetti più controversi.
CHE COS’È
Si tratta di un sistema di login che permette ai cittadini e alle imprese di accedere con un’unica identità digitale a tutti i servizi online di pubblica amministrazione e imprese aderenti per la cui fruizione è richiesta l’identificazione e l’autenticazione degli utenti. È costituito da credenziali con caratteristiche diverse in base a tre livelli di sicurezza individuati per accedere ai vari servizi.
CHI SE NE OCCUPERÀ
Le prime società accreditate dall’Agenzia per l’Italia digitale (Agid) a rilasciare le credenziali sono Infocert, Poste Italiane e Telecom Italia. Si tratta dei cosiddetti Identity Provider, che metteranno a disposizione degli utenti le identità digitali dei cittadini e ne gestiranno l’autenticazione. Le tre società gestiranno gratuitamente per i prossimi due anni nome e password, mentre la smart card, espressione del terzo grado di identificazione Spid, è già a pagamento.
Le credenziali permetteranno di accedere online a 300 servizi della pubblica amministrazione, che entro giugno saranno 600. I primi a partire saranno Inps, Inail e Agenzia delle Entrate. Tra le regioni invece si sono attivate Piemonte, Friuli Venezia Giulia, Emilia Romagna, Liguria, Toscana, Marche e il comune di Firenze).
LA SENTENZA
La sentenza del Consiglio di Stato del 24 marzo 2016 ha annullato definitivamente i requisiti di capitale per le attività di identity provider stabiliti dalla Presidenza del Consiglio dei ministri, statuendo che l’affidabilità di una azienda non possa essere messa in relazione al suo capitale sociale. A escludere di fatto le pmi sono al momento i requisiti del decreto che ha istituito Spid, nel quale si richiedono almeno 5 milioni di euro di capitale sociale per entrare nella lista dei fornitori dell’identità digitale.
La Presidenza del Consiglio dei Ministri aveva fatto ricorso al Consiglio di Stato dopo aver ricevuto l’alt dal Tar del Lazio che ha accolto il ricorso delle associazioni Assoprovider e Assintel sul tema dell’elevato capitale sociale necessario, come elemento di qualifica per poter diventare “Identity Provider Spid”.
L’ESCLUSIONE DELLE PMI
“L’identità digitale targata Renzi la pagheremo noi tutti”, ha scritto Fulvio Sarzana, uno dei legali che ha assistito le associazioni. Al centro del ragionamento di Sarzana c’è l’esclusione da parte del governo delle piccole medie imprese, oggetto della sentenza del Consiglio di Stato: “Lo Stato Italiano ha optato per un sistema privato caratterizzato però da forti parametri escludenti nei confronti delle piccole e medie imprese, le quali sono impossibilitate, in virtù di requisiti di capitale elevatissimi (5 milioni di capitale sociale, 10 milioni addirittura secondo la legge bancaria, a termini del Codice dell’Amministrazione digitale, la cui bozza di modifica è stata presentata dopo l’annullamento del requisito di capitale ad opera del Tar Lazio a luglio 2015) a svolgere le attività di identificazione”, aveva commentato Sarzana prima di conoscere l’esito della sentenza.
COSA CAMBIERÀ
L’Agid ha elencato una serie di servizi ai quali si potrà accedere da pc, smartphone e tablet attraverso la propria identità digitale: dal sito Inps sarà possibile ad esempio vedere i contributi versati, dal sito Inail vedere il Cud lavorativo, dal sito del proprio comune cambiare l’indirizzo di residenza, oppure controllare un referto medico dal Fascicolo sanitario elettronico. E ancora, chiedere il riscatto della laurea, accedere ai servizi anagrafici, fare domanda di iscrizione alla gestione separata, iscriversi agli asili nido, richiedere la certificazione Isee, congedi di maternità, inviare la domanda di disoccupazione, pagare i contributi Inps ai lavoratori domestici ecc.
COME OTTENERE LA PASSWORD
Per ottenere un’identità Spid l’utente dovrà fare richiesta ad uno dei provider accreditati dall’Agid, il quale, dopo aver identificato l’utente (fisicamente o per via telematica), emetterà la sua identità digitale.
Sarà possibile recarsi fisicamente nei luoghi messi a disposizione da Poste, in 360 uffici (ecco la mappa), o Infocert, per ora nelle sedi di Roma, Milano e Padova, oppure optare per la registrazione via Web. Tim al momento è attiva solo online. La procedura non è delle più semplici: bisogna essere in possesso di uno strumento di identificazione elettronica come la firma digitale, la carta nazionale dei servizi o la carta di identità elettronica con annesso lettore di smart card da collegare al computer. Al costo di 15 euro Infocert propone anche la verifica “de visu” con webcam.
CHI TUTELA LA PRIVACY
“Non ci sono dati sensibili in mano a terzi e non c’è un rischio di schedatura di informazioni superiori rispetto a quelle già in possesso di un operatore. Così come non c’è il rischio di un tracciamento di quello che viene fatto all’interno del sito”, ha garantito durante la trasmissione Presi per il web su Radio Radicale Stefano Quintarelli, parlamentare del gruppo misto, da anni impegnato per la realizzazione del Sistema di identità digitale. “C’è una teorica possibilità di andare a vedere a che sito l’utente si è collegato, però questi dati non sono utilizzabili ai fini di profilazione. Il Garante farà delle ispezioni per verificare che ciò non accada”, ha spiegato Quintarelli ricordando che sul tema è impegnato un gruppo di lavoro che coinvolge il Garante, l’Agid e l’Associazione italiana per la sicurezza informatica.
Tanti invece i vantaggi: “L’identità è un elemento fondamentale per creare sicurezza e costruire le condizioni per avere interoperabilità e integrazione dei back end, fondamentali affinché i privati possano sviluppare servizi e applicazioni da integrare con i servizi della PA, elemento che aumenterebbe la cultura digitale in Italia”, ha commentato il parlamentare dell’Intergruppo Innovazione ad un convegno.
POCHE PAROLE SUI DATI PERSONALI
Siamo sicuri? “Da un punto di vista privacy, devo ammettere che le norme di copertura – che hanno istituito e regolano il sistema SPID – sono state di poche parole, limitandosi in alcuni punti a richiamare l’obbligo di rispettare, genericamente, il Codice in materia di protezione dei dati personali”, ha detto Luca Bolognini, presidente dell’Istituto italiano per la privacy e la valorizzazione dei dati.
“Sarebbe urgente che Agid e il Garante stabilissero un piano congiunto di controlli su questi aspetti diversi dalla mera data security, magari chiedendo anche ai Gestori la produzione di report periodici redatti da auditor privacy indipendenti e terzi; e sarebbe utile che il Garante emanasse, quanto prima possibile, un Provvedimento Generale simile a quello rilasciato nel 2014 con riferimento al mobile payment, in grado di specificare le regole di raccolta dei consensi per incrocio/elaborazione (anche massiva, Big) dei dati raccolti dai vari soggetti SPID a fini commerciali e promozionali”, ha suggerito Bolognini.
LA MACANZA DI QUALIFICA E COMPETENZE
Ma per gli esperti non è solo un problema di privacy. “L’introduzione di questo strumento è sicuramente un’innovazione interessante sulla carta, ma criticità operative e la possibile obsolescenza tecnologica – sul progetto originario – rischiano di evidenziarle i limiti sulla effettiva sicurezza informatica, ha commentato a Formiche.net Massimo Melica, avvocato specializzato in diritto applicato alle nuove tecnologie.
Eccone alcuni: “Con lo Spid si annulla l’identità del soggetto, si livella la stessa non contemplando che l’eventuale ingresso digitale, in porzioni della PA, può essere determinato anche dalla qualifica del soggetto che nello specifico non è stata prevista. Quindi tutti anonimi cittadini o meglio tutti cittadini livellati dalla mancanza di qualifica e di competenze”.
LA SOSTENIBILITà DEL BUSINESS
Nulla si sa al momento dei costi del servizio dopo i primi due anni. “Questi due anni ci serviranno per capire se e quanto far pagare Spid. Va considerato che la PA non paga canone ai provider per l’identità digitale mentre questo sarà richiesto ai privati e proprio la loro adesione è la grande scommessa. Bisogna capire se il business si ripaga con i servizi a valore aggiunto o con gli eventuali canoni dei privati. In ogni caso si tratterebbe di importi molto contenuti. Ma non escludo che potrebbe continuare ad essere gratis”, ha detto Simone Battiferri, direttore ICT Solutions & Service Platforms, in un’intervista al Corriere delle Comunicazioni.