N°1-Mon Mar 30 14:50:00 CEST 2015
Di cosa parliamo quando parliamo di...
di Michele Manente, Notaio
Saranno soggetti pubblici e privati abilitati a fornire a pagamento SPID a cittadini e aziende e a fornirla gratuitamente alla P.A.
Iniziamo subito con lo svelare l'acronimo: SPID sta per “Sistema Pubblico per la gestione dell'Identità Digitale di cittadini e imprese” ed è stato di recente definito con Decreto del Presidente del Consiglio dei Ministri 24 ottobre 2014 in G.U. n. 285 del 9 dicembre 2014, in attuazione del disposto dell‟art. 64 del D.Lgs. n. 82/2005 come modificato dal D.L. n. 69/2013 convertito con L. n. 98/2013.
Si tratta di un sistema che consente (art. 2) “agli utenti di avvalersi di gestori dell'identità digitale e di gestori di attributi qualificati, per consentire ai fornitori di servizi l'immediata verifica della propria identità e di eventuali attributi qualificati che li riguardano".
Semplificando, si tratta di un sistema che consentirà di realizzare (in ambito informatico) una corrispondenza biunivoca tra un determinato utente e i suoi attributi identificativi (dati anagrafici, codice fiscale, partita IVA ed estremi di un documento di riconoscimento), attributi secondari (numero di telefono, indirizzo di posta elettronica, ecc.) o attributi qualificati (qualifiche, abilitazioni professionali, ecc.).
SPID rappresenterà, in definitiva, una sorta di cassetto o contenitore virtuale al cui interno ciascun utente di servizi telematici potrà far confluire numerosi dati e attributi personali, pronti per essere “comunicati” a terzi (pubblici o privati) al fine di poter usufruire di servizi on-line.
In tal modo l'utente digitale non dovrà ogni volta digitare nei vari siti web i propri dati, ma (semplicemente autenticandosi tramite SPID) autorizzerà il sistema stesso a comunicare al singolo sito web i dati specifici che l'utente avrà consentito.
Pensiamo al bancomat
SPID è qualcosa di simile, ma si spinge oltre. A molti, immagino, sarà capitato di acquistare un prodotto o di utilizzare un servizio in internet e di doversi quindi “iscrivere” al relativo sito web, comunicando vari dati personali (anagrafici, indirizzo di residenza, posta elettronica, ecc). Come sappiamo, la ben nota tessera bancomat (una volta sbloccata con il PIN) autorizza il Sistema informatico ad effettuare operazioni sul conto corrente bancario ad essa associato.
SPID è qualcosa di simile, ma si spinge oltre. A molti, immagino, sarà capitato di acquistare un prodotto o di utilizzare un servizio in internet e di doversi quindi “iscrivere” al relativo sito web, comunicando vari dati personali (anagrafici, indirizzo di residenza, posta elettronica, ecc). Come sappiamo, la ben nota tessera bancomat (una volta sbloccata con il PIN) autorizza il Sistema informatico ad effettuare operazioni sul conto corrente bancario ad essa associato.
Ebbene, sarà anche capitato di notare che spesso questi siti web consentono due modalità alternative di iscrizione: la prima, che potremmo definire “classica”, consiste nel tipico inserimento di tutti i dati direttamente in un apposito modulo interno al sito stesso; la seconda (che potremmo definire "rapida”) consiste nell'accesso al nuovo sito mediante l'utilizzo di credenziali "esterne" già utilizzate in altri siti (di norma Facebook o Google).
Si tratta, in questo secondo caso, di una procedura “facilitata” in quanto consente a un utente di accreditarsi all'interno di un sito web “A” (che non conosce ancora i dati personali dell‟utente) attraverso un “collegamento” generato con un altro sito web “B” (che invece già contiene i dati dell'utente) al fine di attivare uno scambio di informazioni tra i due siti web ed evitare - da parte dell'utente - il reinserimento manuale di tutti i propri dati.
Ebbene, SPID dovrebbe funzionare esattamente in questo secondo modo, consentendo agli utenti di accedere ai servizi digitali della Pubblica Amministrazione e a quelli di tutti i soggetti privati che volontariamente adotteranno SPID semplicemente consentendo a questi ultimi di ottenere i loro dati personali direttamente da un soggetto terzo, chiamato “Gestore dell'identità digitale".
Chi saranno i "Gestori"?
Saranno soggetti pubblici e privati abilitati a fornire a pagamento SPID a cittadini e aziende e a fornirla gratuitamente alla P.A.
Risulta che abbiano già manifestato il proprio interesse Poste Italiane, Telecom e le altre aziende di telefonia, e poi (naturalmente) le banche.
Verrebbe da chiedersi per quale motivo si sia scelto di affidare la gestione dell'identità digitale dei cittadini a soggetti terzi anche (e forse soprattutto) privati, anziché a una apposita pubblica amministrazione.
Le giustificazioni “ufficiali” che sono state date a questo legittimo interrogativo sono sostanzialmente:
- Principio della libertà di scelta dell'utente. Ogni cittadino potrà scegliere il Gestore che vorrà (anche più di uno contemporaneamente) e smettere di usare un Gestore se lo desidera.
- Nessuna banca dati centralizzata delle identità. Per proteggere la privacy degli utenti, ogni Gestore sarà responsabile dello svolgimento in modo sicuro delle attività connesse, mentre ogni sito web di destinazione – pubblico o privato – avrà accesso solo ed esclusivamente ai dati di cui ha bisogno per erogare il servizio.
- Sicurezza. Utilizzando diversi Gestori il sistema è più sicuro e meno vulnerabile; non esiste un singolo elemento che possa interrompere il servizio e nessun servizio unico che disponga di tutti i dati in un unico luogo.
- Sviluppo di un mercato. I Gestori avranno la libertà di progettare servizi per soddisfare le norme dettate dal Governo. Ciò consentirà loro di sviluppare servizi che possono essere utilizzati sia dal settore pubblico che privato, con conseguente riduzione dei costi.
- Sfruttare al massimo la tecnologia disponibile. La tecnologia e i metodi per la verifica delle identità sono in continua evoluzione. Le organizzazioni del settore privato, operando già in questo ambito, sono in una posizione migliore rispetto a qualunque pubblica amministrazione per tenere il passo con gli sviluppi di mercato (http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/spid).
Protezione e riservatezza dei dati personali
Com'è facilmente intuibile, una simile esternalizzazione della gestione dell'identità digitale non ha mancato di sollevare talune preoccupazioni per i possibili rischi connessi alla protezione della riservatezza dei dati personali.
Tuttavia un elemento è opportuno che venga fin d'ora chiarito: nonostante i termini utilizzati, SPID non è (e non può essere) un sistema di identificazione.
- Sfruttare al massimo la tecnologia disponibile. La tecnologia e i metodi per la verifica delle identità sono in continua evoluzione. Le organizzazioni del settore privato, operando già in questo ambito, sono in una posizione migliore rispetto a qualunque pubblica amministrazione per tenere il passo con gli sviluppi di mercato (http://www.agid.gov.it/agenda-digitale/infrastrutture-architetture/spid).
Protezione e riservatezza dei dati personali
Com'è facilmente intuibile, una simile esternalizzazione della gestione dell'identità digitale non ha mancato di sollevare talune preoccupazioni per i possibili rischi connessi alla protezione della riservatezza dei dati personali.
È stato infatti notato che "con SPID gli identity provider (cioè i Gestori delle identità digitali, nda) avranno miliardi di dati su di noi. È vero che Poste, aziende di telefonia e banche li hanno già ora, ma con la digitalizzazione spinta di P.A. e imprese, il volume dei dati crescerà in modo esponenziale.
Il sistema, certamente, dovrà evolvere e devono ancora essere definite nel dettaglio le relative specifiche tecniche.
Accedere a un sito web non significa anche essere identificati
Tuttavia un elemento è opportuno che venga fin d'ora chiarito: nonostante i termini utilizzati, SPID non è (e non può essere) un sistema di identificazione.
Un sito web, quando ci fa accedere, verifica unicamente la corrispondenza tra un certo codice “utente”, esistente nel proprio data base, e le credenziali che vengono inserite in quel momento. Ma ciò non significa in alcun modo essere certi che - dall'altra parte della tastiera del computer - chi immette le credenziali sia effettivamente la persona che “dice di essere”.
Basti pensare nuovamente al bancomat. Se io concedessi a mia moglie di utilizzare la mia tessera bancomat, comunicandole il relativo PIN (errore gravissimo), lei si autenticherebbe tranquillamente nel circuito con le mie credenziali. Che l'operazione sia lecita, in quanto da me previamente autorizzata, non muta la sostanza giuridica del fatto. Mia moglie non viene identificata dal sistema, viene solo e soltanto autorizzata al compimento di operazioni su un determinato conto (il mio).
Se al contrario fosse stata identificata, molto probabilmente non sarebbe stata autorizzata ad operare in assenza di una più espressa delega (scritta).
E in questa prospettiva appare assai positivo il fatto che un simile delicato aspetto sia già stato pubblicamente messo in evidenza.
Leggi anche:
sulla sicurezza
(http://espresso.repubblica.it/inchieste/2014/09/23/news/spid-l-identita-digitale-per-tutti-entro-il-2015-ma-quali-rischi-per-la-privacy-1.181420);
e sulla identificazione
(http://www.agendadigitale.eu/identita-digitale/1131_ma-lo-spid-non-ci-identifica-ci-da-accesso-a-servizi.htm).
Se al contrario fosse stata identificata, molto probabilmente non sarebbe stata autorizzata ad operare in assenza di una più espressa delega (scritta).
L'identificazione, quindi, è (e rimane) un concetto di ordine pubblico ed è una operazione che, come risultato, ha quello di stabilire con certezza se una persona è davvero chi dice di essere. E una simile operazione può essere compiuta solo da pubblici ufficiali.
Si tratta, quest'ultimo, di un concetto che andrà con forza ribadito e chiarito in fase di applicazione del sistema, e soprattutto spiegato ai potenziali utilizzatori ed erogatori dei servizi digitali, affinché questi - confidando erroneamente su una apparente garanzia di certezza che il sistema, da solo, non può dare - non siano indotti ad erogare prestazioni di una certa rilevanza senza adottare ulteriori garanzie di sicurezza e (quindi) di effettiva identificazione dell‟utente. E in questa prospettiva appare assai positivo il fatto che un simile delicato aspetto sia già stato pubblicamente messo in evidenza.
Leggi anche:
sulla sicurezza
(http://espresso.repubblica.it/inchieste/2014/09/23/news/spid-l-identita-digitale-per-tutti-entro-il-2015-ma-quali-rischi-per-la-privacy-1.181420);
e sulla identificazione
(http://www.agendadigitale.eu/identita-digitale/1131_ma-lo-spid-non-ci-identifica-ci-da-accesso-a-servizi.htm).
