Considerazioni sul futuro di SPID

Il futuro di SPID è stato oggetto di una forte attività legislativa, sia nell’ambito della Legge di Bilancio,  che nelle varie fasi del decreto “milleproroghe” (approvazione del decreto e poi le attività per la conversione in Legge).

L’obiettivo di questa attività, che alla data non ha portato a nessuna nuova norma sul tema, è quella di riformare lo SPID per trasformarlo da un sistema gestito prevalentemente da privati (un solo gestore dell’identità pubblico è accreditato – Lepida S.p.A.) a un sistema “monocolore” gestito da un unico soggetto pubblico.

Considerato che non c’è alcuna nuova norma vigente sul tema, la sintetica analisi che proponiamo di seguito è frutto della lettura dei numerosi emendamenti presentati, sul medesimo tema, nell’ambito delle attività indicate all’inizio del presente articolo.

Questa analisi consente di ipotizzare anche le azioni successive del Governo qualora gli emendamenti fossero stati approvati e quindi si poteva procedere alla redazione dei decreti attuativi.

La novella del CAD: riassunto delle puntate precedenti

Punto cruciale di ogni emendamento è la gestione pubblica del sistema di identità digitale; ad un certo punto nella novella del Codice dell’amministrazione digitale (CAD) scompare anche il Sistema Pubblico di Identità Digitale che diventa appunto identità digitale.

La gestione amministrativa passa al Ministero dell’Interno e del Dipartimento per la trasformazione digitale che si avvale di partner tecnici come il Poligrafico dello Stato (che oggi produce e gestisce le parti tecniche della CIE) e PagoPA S.p.A. società pubblica nata per gestire l’omonima piattaforma, l’APP IO (un sistema di aggregazione dei servizi pubblici nato a beneficio della fruibilità degli stessi da parte di cittadini e imprese), l’Anagrafe Nazionale della Popolazione Residente (ANPR) e altre questioni presenti nel CAD e conseguentemente nel vigente Piano Triennale per l’informatica nella pubblica amministrazione.

La norma proposta poi, rimandando come prassi a decreti attuativi, stabiliva norme per:

  • la presenza della Carta di Identità Elettronica (CIE) come credenziale di identità di massimo livello;
  • l’indicazione di principio della necessità di definire il passaggio delle credenziali dai gestori dell’identità al nuovo soggetto pubblico;
  • le modalità di mantenimento dei livelli 1 e 2 dell’identità digitale (password e password con credenziale “one shot” presumibilmente per gestire le utenze non in possesso di CIE;
  • consolidare alcune norme primarie sul futuro della Carta Nazionale dei Servizi (CNS); peraltro, pur citando la necessità di concertare le azioni con le Regioni non si parla della Tessera Sanitaria (TS) e le regioni emettono TS-CNS.

In questo susseguirsi di emendamenti, anche del Governo, puntualmente dichiarati inammissibili dalle Commissioni parlamentari, si è scatenata una discussione qualche volta imprecisa. Vediamo quindi di rappresentare i fatti, sempre analizzando gli emendamenti nelle loro ultime proposizioni.

Si afferma che lo SPID in questo modo è gratuito. Ma già alla fine dello scorso anno l’Agenzia per l’Italia Digitale aveva emesso un comunicato che rappresentava l’aggiornamento delle convenzioni tra AgID e i gestori dell’Identità nel senso che SPID (livelli 1 e 2) è gratuito per sempre.

La nuova stagione

Proseguiamo la nostra analisi sulla base dell’ultimo emendamento al decreto di conversione in legge del “milleproroghe”. La credenziale di riferimento è la CIE.

Questa è credenziale d’accesso per il livello elevato (e gli inferiori) e sono previste altre credenziali per gli altri due livelli. In sintesi, poi si delinea lo scenario operativo, da definire con i tradizionali decreti attuativi, dove opera IPZS con la società PagoPA.

Il colpo di scena

 Si prevede di abrogare SPID dal 31 ottobre 2023, non è più possibile accreditare gestori dell’identità e quelli attivi possono proseguire fino allo scadere delle convenzioni. Si ribadisce la gratuità delle credenziali e si garantisce la continuità delle funzionalità SPID.

Viene stabilito che la CNS (non si nomina la Tessera Sanitaria) deve cessare mediante la definizione dei tempi di cessazione da concordare con le Regioni.

Altri scenari sono in linea con i precedenti emendamenti con la previsione attuativa tramite i decreti e le concertazioni di rito (per esempio la conversione delle identità dai gestori attuali alle nuove credenziali di accesso).

Gli attori protagonisti

 Non ci sono elementi per ritenere che gli attuali gestori dell’identità digitale possano ricevere un ristoro dei costi sostenuti per il rilascio e la gestione delle identità SPID. Non è escluso che sia attuato con altro provvedimento.

È significativo il fatto che si stabilisce la possibilità di richiedere il rinnovo della CIE anche prima dei centottanta giorni dalla scadenza al chiaro scopo di accelerare la diffusione del documento di identità elettronico.

Sempre leggendo con attenzione l’ultimo emendamento e combinandolo con ipotesi emendative precedenti si nota la scomparsa del Sistema Comune di Identificazione a carico del Poligrafico e di altre piccole questioni anche finanziarie.

La regia

Concludendo l’analisi possiamo affermare che la riforma dell’identità digitale è una decisione di natura politica.

Il modello vigente di SPID basa la sua sostenibilità economica sui servizi che i privati erogano nel modello di gestori di servizio con il pagamento delle tariffe determinate da AgID in totale concertazione del mercato. Questo ritorno economico non c’è stato per tutta una serie di motivi che non è possibile esaminare in questa sede, ma è indubbio che il modello di business è stato proposto dalla politica 5 anni fa.

SPID è operativo dal 15 marzo 2016 quindi sta per compiere quattro anni. AgID comunica che sono circa 5.750.000 le credenziali SPID emesse mentre il Viminale indica in oltre 14.270.000 le CIE rilasciate. Questa circostanza evidenzia che il ruolo della CIE nell’identità digitale è cruciale.

Per quanto attiene al modello di funzionamento la CIE consente di accedere ai servizi tramite lo stesso modello della TS-CNS, quindi non esistono problemi di protezione dei dati o di sicurezza diversi da quelli affrontati ad oggi.

L’intermediazione dell’accesso con un ipotetico gestore unico è tecnicamente inutile.

In tutto questo gran parlare di cose che non esistono, poco si fa sullo sviluppo dei servizi, poi da integrare nell’APP IO, anche a supporto delle amministrazioni più “deboli” (cosa fatta per l’accesso ad ANPR). Altrettanto poco si dice e si fa sulle caratteristiche funzionali della CIE, sulla qualifica di lettori efficaci per le funzionalità della stessa e sull’utilizzo dell’APP in ambiente Android per l’accesso obbligatorio ai servizi in rete, vista la notifica in Europa della CIE come schema di autenticazione.

Deve essere giudicato positivamente il tentativo di normare a livello primario le caratteristiche di autenticazione della CIE, cosa che oggi è nei fatti ma non nel CAD. Positiva anche la volontà di segnare la fine ordinata della CNS, duplicato della CIE sul piano dell’identità in rete.

Come al solito ci si aspettano nuovi sviluppi, ma le novità sull’identità digitale non sono la gratuità della stessa o presunte responsabilità del mercato. Certamente permane la volontà politica di cambiare modelli precedentemente proposti e sui quali il mercato ha investito in modo fiduciario.