Il Sistema pubblico di identità digitale (Spid) rappresenta il sistema di identificazione personale elettronica, la nostra identità digitale certificata dallo Stato attraverso la quale è possibile accedere ai servizi on-line resi disponibili dalle pubbliche amministrazioni e dalle imprese private. Questo comporterebbe, una volta resi disponibili, l’eliminazione delle file fisiche presso gli sportelli del proprio comune per avere un certificato di residenza, oppure presso l’Inps o, ancora, per l’iscrizione dei figli a scuola. Il numero di identità Spid erogate ha attualmente superato i 2,8 milioni, quasi raddoppiando rispetto allo scorso anno. A dicembre 2017 (ultimo dato censito) le amministrazioni attive sono circa 4.000 e i servizi erogati 4.350.
Inoltre, l’Italia è il secondo Paese in Europa (il primo è stato la Germania) ad aver ottenuto il riconoscimento reciproco dello Spid in tutta l’Ue come da regolamento eIdas (electronic Identification Authentication and Signature): in altre parole, la nostra identità digitale, e tutti i servizi resi disponibili tramite essa, è ammessa da tutte le pubbliche amministrazioni dell’Unione Europea. Potenzialità enormi, quindi, che però, considerando la ancora modesta diffusione dello strumento, non sono state evidentemente percepite. Eppure, c’è un settore che potrebbe dare un forte impulso allo strumento e trarne enormi benefici: quello finanziario.
Il legislatore europeo, al fine di aumentare il trust nelle transazioni bancarie digitali da parte degli utenti, garantendone una maggiore sicurezza e protezione da frodi, ha emanato una serie di normative: Psd2, Gdpr, Aml che si basano sui principi di disclosure della responsabilità, sicurezza dei processi, garanzia dell’identità digitale. E proprio l’identità digitale gioca un ruolo fondamentale in ambito Psd2 con la Sca (stong customer autentication), oppure in tema Aml con l’adeguata verifica della clientela o, infine, con il problema del trattamento dei dati inerente i principi di privacy by design e by default imposti dalla Gdpr. Legittimo in questi termini immaginare un accordo tra istituzioni e banche che passi da Spid che garantisca la certezza nelle comunicazioni. I benefici sarebbero innumerevoli. Oggi aprire un conto corrente o avere un carta di credito o in genere qualunque servizio finanziario, comporta per l’Istituto l’adempimento di una serie di obblighi normativi volti a confermare l’identità dei richiedenti e fugare rischi di riciclaggio: si tratta della cosiddetta Know Your Customer (KYC) e delle procedure di Adeguata Verifica della Clientela.
Solo nel 2016, infatti, ci sono stati 15,4 milioni di vittime di furti di identità, solo negli Stati Uniti; nel dark web un’identità è venduta a prezzi ridicoli: circa 5-10 dollari per fotocopie della carta di identità. Ad oggi però la Kyc è spesso lenta, problematica, inefficiente e quasi sempre legata alla presenza fisica presso le filiali e realizzata tramite verifiche cartacee. La possibilità invece di disporre di uno strumento con Spid consentirebbe di compire in maniera pressoché immediata, in sicurezza ed in remoto il processo di verifica del cliente e quindi del suo onboarding con riflessi positivi per tutti gli attori. La user experience del cliente sarebbe infinitamente migliore. Per i prestatori dei servizi lo Spid porterebbe in positivo una diminuzione dei costi per la verifica del cliente ed una maggiore compliance alle normative sulla conservazione e trattamento dei dati: ad oggi servono complicati per verificare i dati personali del cliente e le interconnessioni tra i diversi erogatori di servizi comportano continue verifiche esponendoli, tra le altre cose, a rischi di “fuga” dei dati o rendendoli più vulnerabili agli attacchi informatici.
Quindi lo Spid consentirebbe al cliente di usufruire in maniera web-based di prodotti e servizi finanziari personalizzati senza “uscire da casa”, alle banche di servire meglio i propri clienti aumentando la propria redditività e di dismettere i sistemi interni di gestione dell’identità diminuendo quindi anche i costi. A livello di sistema, l’adozione dello Spid anche da parte di Banca d’Italia consentirebbe di migliorare il sistema di prevenzione delle frodi e di efficientare le informazioni contenute nella Centrare dei Rischi.
Due sono gli aspetti da considerare in merito al ritardo nell’applicazione quotidiana: quello normativo e quello relativo alla diffusione. La disciplina attuale (decreto legislativo 231/2007) considera assolto l’obbligo di identificazione del cliente, anche senza la sua presenza fisica, attraverso l’identità digitale purché sia nell’ambito del sistema pubblico per la gestione dell’identità digitale rilasciato all’interno di un regime di identificazione elettronica compreso nell’elenco pubblicato dalla Commissione europea eIdas “compliant” e sia di “livello massimo di sicurezza”. Se per ciò che attiene il primo aspetto, per come già detto, lo Spid rispetta i requisiti, per quanto riguarda il livello massimo di sicurezza siamo ancora soltanto all’inizio di un percorso che però, si spera, proceda rapidamente. Lo Spid infatti prevede tre livelli di sicurezza ai quali sono ovviamente legati diversi gradi di fruizione di servizi. Se ormai il livello “due” di sicurezza è di uso quotidiano, per il terzo, e massimo, livello esiste soltanto un solo provider che fornisce il suo rilascio ed il suo ottenimento ed utilizzo richiede un supporto fisico.
Ciò che invece potrebbe incrementare la diffusione di Spid, oltre ad un ampliamento dei servizi offerti che ne farebbe percepire maggiormente l’utilità a parte dei cittadini, è legare il suo rilascio a quello di un qualunque documento della Pa: all’atto del rinnovo della Carta d’Identità, per esempio, l’amministrazione comunale provvede a consegnare anche lo Spid. Efficienza, velocità, sicurezza, comodità: questi i vantaggi del nostro nuovo “io” nei rapporti con Pa e aziende nel mondo 4.0.
