6 minute read
Il Sistema
Pubblico di Identità Digitale (SPID)
È la chiave di accesso semplice, veloce e sicura ai servizi digitali delle amministrazioni locali e centrali e dei privati aderenti. Oltre alle funzioni previste dal sistema eIDAS a livello europeo, un’innovazione solo italiana è la possibilità del suo utilizzo per firmare digitalmente documenti (la cosiddetta “Firma SPID”), cosa che ha consentito dal 2021 la sottoscrizione digitale delle proposte referendarie.
SPID consente anche l’accesso ai servizi pubblici degli stati membri dell’Unione Europea. Ora, il sistema è maturo e, nonostante i ritardi di AgID nell’attuare la regolamentazione, è in grado di servire i privati, con pagamento dei relativi servizi.
Il primo passo ufficiale dello SPID è stato il decreto della Presidenza del Consiglio dei Ministri del 24 ottobre 2014. A fine febbraio 2023 il numero di identità SPID erogate è di oltre 34 milioni, in costante ascesa.
• La Carta d’Identità Elettronica (CIE)
È il documento d’identità dei cittadini italiani che, grazie a sofisticati elementi di sicurezza e anti contraffazione, permette l’accertamento dell’identità del possessore e l’accesso ai servizi on-line delle Pubbliche Amministrazioni abilitate alla CIE sia in Italia che in diversi Paesi dell’Unione Europea grazie al microchip contactless. Costa 16,79 euro e per usarla servono un codice PIN, il PUK e un lettore apposito, perché contiene un chip nel quale sono conservati tutti i dati personali. Il numero di carte rilasciate è simile alle identità SPID, ma nel 2022 questo è stato usato per effettuare un miliardo di accessi ai servizi pubblici, contro i 21 milioni di CIE.
• La Carta Nazionale dei Servizi (CNS)
È un dispositivo (una Smart Card o una chiavetta USB) che contiene un “certificato digitale” di autenticazione personale. La completa corrispondenza informatica tra CNS e Carta d’Identità Elettronica (CIE) assicura l’interoperabilità tra le due carte.Tra le PA, per esempio, la emettono le Camere di commercio e le Regioni. La CNS è predisposta per essere utilizzata come tessera sanitaria e inoltre per consentire l’utilizzo della firma digitale.
Dall’identità digitale al digital wallet: un cambiamento rivoluzionario
L’Italia ha visto una crescita esponenziale dei numeri legati all’attivazione delle identità digitali trainati, come abbiamo visto, dalla pandemia da Covid-19 e dall’impossibilità di accedere ai servizi tradizionali.
È fondamentale però che questo piano si muova strategicamente all’interno del quadro europeo. Per questo è necessario tenere sempre presente come si stia muovendo l’Europa in questo senso.
L’EUDI, introdotto dalla revisione del regolamento eIDAS, nasce per risolvere i problemi di interoperabilità e coerenza sia nei livelli di sicurezza e nella user experience delle identità digitali di ogni paese membro, ma sarà molto di più delle identità che oggi conosciamo; si parla infatti di “wallet”, cioè uno strumento che funziona tramite portafogli digitali disponibili su applicazioni per telefoni cellulari e altri dispositivi per:
• identificarsi on-line e off-line,
• firmare elettronicamente documenti,
• conservare e scambiare informazioni fornite dai governi (es. nome, cognome, data di nascita, cittadinanza) e fonti private affidabili,
• utilizzare le informazioni per confermare il diritto di soggiornare, lavorare o studiare in un determinato Stato membro,
• usufruire di servizi pubblici, come richiedere un certificato di nascita o certificati medici oppure segnalare un cambio di indirizzo,
• aprire un conto in banca o chiedere un finanziamento,
• presentare la dichiarazione dei redditi,
• iscriversi a un’università, nel proprio paese o in un altro Stato membro,
• conservare una ricetta medica utilizzabile ovunque in Europa,
• noleggiare un’automobile usando una patente di guida digitale o fare il check-in in albergo.
Oltre all’identità digitale il nuovo regolamento aggiunge alcuni servizi fiduciari a quelli già regolamentati nella prima versione (nominati precedentemente):
• l’electronic archiving, che in Italia è già previsto dal CAD, si potrà così espandere in tutta Europa, aprendo nuovi mercati per alcuni paesi;
• la gestione degli apparati di firma e degli HSM (Hardware Security Module, dispositivo fisico attraverso il quale è possibile produrre e gestire chiavi digitali per la strong authentication), che diventerà un servizio fiduciario a sé stante;
• la possibilità di registrazione e storing dei dati su electronic ledger (blockchain), apparsa nella prima versione;
• i “verificatori” di certificati, firme elettroniche, sigilli e attestazioni diventeranno veri e propri servizi qualificati;
• l’emissione di attributi e attestazioni elettroniche (che potranno poi essere spesi con il digital wallet).
Il cittadino non sarà obbligato a utilizzare l’EUDI Wallet, ma lo Stato membro è obbligato a mettere a disposizione almeno una soluzione conforme a esso. Inoltre, l’EUDI wallet dovrebbe essere un metodo di autenticazione dell’identità e di trasmissione degli attributi accettato obbligatoriamente dai servizi che prevedano un livello di garanzia elevato o l’uso di autenticazione forte, quindi probabilmente anche dai servizi bancari e di pagamento.
L’EUDI wallet non prevede (necessariamente) un nuovo sistema di identità elettronica, ma è una collezione di servizi di vari provider forniti attraverso un’unica applicazione (l’applicazione wallet) da un wallet provider.
Questo wallet, comunque, si configura già come una grande innovazione nell’ambito delle identità digitali, non solo per i numerosi ambiti e use case a cui si potrà applicare, ma anche per l’altissima attenzione alla privacy dei cittadini: il wallet infatti consentirà agli utenti di condividere solo e unicamente le informazioni necessarie ad accedere al servizio.
Secondo le Linee Guida emanate a Gennaio 2023 l’EUDI wallet prevederebbe l’uso di smartcard o token, verificando ogni volta la carta fisica con lo smartphone.
L’aspetto che più fa discutere sui tavoli di lavoro della revisione eIDAS è la questione legata ai livelli di sicurezza delle identità digitali attualmente in uso nei paesi europei (comprese SPID e CIE) per l’accesso dei cittadini al digital wallet europeo. La maggior parte degli SPID attualmente in uso in Italia si limita al livello 2 (utente, password e app o SMS) e pochi sono di livello 3 (che prevede un supporto fisico particolare che gestisce delle chiavi crittografiche). Alcuni Paesi europei diversi dall’Italia, tuttavia, richiedono che l’accesso al wallet sia limitato alle identità digitali con livello 3, già raggiunto invece da CIE. Il timore è quindi che con la revisione eIDAS gran parte delle utenze SPID diffuse oggi in Italia non sarebbero accettate per accedere al digital wallet, decisione che potrebbe limitare molto il futuro di SPID.
Dopo una prima fase prevista di almeno 24 mesi di sperimentazione sul nuovo wallet, vedremo quali saranno gli sviluppi futuri.
La speranza è che i servizi del portafoglio UE saranno complementari e non sostitutivi di quanto realizzato nel mondo SPID/CIE, e che quindi l’EUDI Wallet costituisca una possibilità, ma non sia l’unico modo possibile e consentito, di comunicare elettronicamente.
L’identità digitale nazionale (IDN)
A fine febbraio il Dipartimento della Trasformazione digitale ha organizzato il primo incontro tra il sottosegretario all’Innovazione, Alessio Butti, e gli esperti del tavolo tecnico nominato ad hoc per valutare la fattibilità del progetto relativo alla creazione di un nuovo sistema di Identità Digitale Nazionale. L’intenzione del governo è quello di unificare SPID e CIE all’interno di una app per smartphone unica.
Le opzioni possibili sono due: fare un bando ex novo per una nuova app (che rischia di allungare i tempi) oppure utilizzare l’app IO come “piattaforma” per far funzionare il sistema.
Il problema sono i tempi, in un momento in cui è in scadenza la convenzione con molti provider di SPID, di cui si rischia il blocco. Da un primo incontro con AgID, Assocertificatori ha posto due condizioni per allungare i contratti (al momento sembra fino a giugno): un accordo immediato sulla ripartizione dei costi di SPID con lo stanziamento di fondi ad hoc per investire in innovazione e nuovi servizi e il coinvolgimento nel progetto IDN.
La decisione sull’identità digitale italiana nasce quando è in cantiere l’EUDI wallet, anticipando un lavoro che, a livello comunitario, è entrato proprio in una fase di sperimentazione generale. Poche settimane fa la Commissione ha rilasciato la cornice generale dell’architettura, mentre a fine 2022 sono state assegnate le gare da 37 milioni per sperimentare alcuni casi d’uso e quella da 26 milioni per creare l’app vera e propria di EUDI Wallet, che poi ogni Paese potrà adattare, come accaduto per le app del green pass. Si spera che l’IDN sarà compatibile con l’EUDI Wallet, così da evitare nuovi cambiamenti nei prossimi anni.
Come proteggere la propria identità digitale Visto l’aumento continuo dei crimini informatici legati soprattutto al furto delle identità, è necessario concludere con l’importante raccomandazione di proteggere con cura la propria identità digitale, mantenere i sistemi (antivirus, firewall, sistemi operativi, ecc.) sempre aggiornati, modificare spesso e con regolarità le password creandole sicure e custodendole in luoghi sicuri (il migliore è la memoria!), connettersi solo tramite reti sicure.
Questi sono solo alcuni dei principali suggerimenti per proteggere la propria identità digitale da cui dipendono la nostra reputazione, il nostro lavoro e anche la nostra sicurezza fisica. In un mondo in cui i concetti di reale e virtuale sono sempre più interconnessi, l’identità digitale e l’identità reale si fondono, per cui va protetta la prima con gli stessi criteri con cui va protetta la seconda.
Quello che accadrà in tema di identità digitale lo scopriremo nei prossimi mesi, e speriamo porti a un sistema di semplice utilizzo per tutti e che permetta di semplificare molti processi burocratici che ancora oggi fanno perdere molto più tempo di quello che sarebbe necessario.
Avere un “portafoglio digitale” che fornisca le informazioni strettamente necessarie durante ogni processo in cui avvenga l’identificazione personale senza compilare sempre gli stessi dati per tutte le amministrazioni, enti o società con cui dobbiamo interagire in Italia o in Europa è ormai un fatto che non può più essere rimandato.
