Identità digitale ai blocchi di partenza: pubblicato il decreto SPID

Analisi

La norma sul Sistema Pubblico per la gestione dell'Identità Digitale è un passaggio fondamentale per gestire in sicurezza le relazioni digitali tra aziende, cittadini e pubbliche amministrazioni. Si attendono ora i regolamenti dell’Agenzia per l’Italia digitale. Secondo Stefano Quintarelli, promotore della norma, si tratta di un "salto epocale". Ecco come funzionerà

Alessandro Longo

Stefano Quintarelli, parlamentare di Scelta CivicaStefano Quintarelli, parlamentare di Scelta CivicaSiamo entrati nella fase finale per il debutto dello SPID, il sistema pubblico di connettività, anche noto come il progetto che vuole fornire una identità digitale per ogni cittadino. Il 9 dicembre è stato pubblicato, con un certo ritardo sul previsto, il decreto attuativo SPID e adesso, nel giro di due mesi, si attendono quattro regolamenti da parte dell’Agenzia per l’Italia digitale. Nel frattempo, sempre all’interno dell’Agenzia, ferve la fase pilota che coinvolge diverse Pa e soggetti privati.

«Lo SPID è un salto epocale per le relazioni digitali che intercorrono tra aziende, cittadini, pubbliche amministrazioni», ha detto Stefano Quintarelli, il padre della normativa (è un parlamentare di Scelta Civica e presidente del Comitato d’indirizzo dell’Agenzia), durante un recente convegno CorCom a Roma.

«In seno ai lavori per l’Agenda digitale, ho subito sottolineato che il tema dell’autenticazione era cardine dello sviluppo. Un’autenticazione semplice e sicura rimuove infatti ostacoli alla crescita dell’offerta e della domanda dei servizi digitali italiani. Questo è appunto SPID», ha aggiunto. Non solo: da un punto di vista più generale, è la risposta nazionale (ed europea, all’interno del regolamento Eidas) allo strapotere degli over the top americani nei confronti dei nostri dati e identità digitali. Non a caso, nello stesso convegno, Quintarelli ha collegato il tema dello SPID all’esigenza di ridare sovranità agli utenti sui propri dati che ora sono dominio di Google, Facebook e altri soggetti.

 

Non solo un PIN unico

È un passaggio che si comprende solo se si approfondisce la natura dello SPID, ancora poco chiara nelle divulgazioni giornalistiche finora. Non è solo, banalmente, un “pin unico per tutti i cittadini”. È in realtà un sistema federato dove vari soggetti privati gestiranno le nostre identità digitali, in modo sicuro. Potremo utilizzarle per accedere a tutti i servizi della PA e a quelli di soggetti privati che volontariamente accetteranno SPID.

«Funzionerà così», spiega al nostro sito Francesco Tortorelli, responsabile del tema Identità Digitale presso l’Agenzia. «L’utente dovrà per prima cosa procurarsi la propria identità SPID presso uno degli identity provider che si sono accreditati presso di noi». Potranno farlo di persona, con un documento di identità, oppure via web utilizzando uno strumento congruo, come la Tessera Sanitaria-Carta Nazionale dei Servizi. «Potranno anche richiedere più di un’identità, a gestori diversi. Per esempio io ne avrò una per l’e-commerce e l’altra per i servizi della PA», dice Tortorelli. È lasciato alla libertà di scelta dell’utente. «Vanno poi sul sito del proprio Comune o di un’azienda che vende panettoni- per esempio- e vi troveranno un pulsante SPID. Ci cliccano e il sito chiede loro da quale gestore hanno ottenuto l’identità digitale. Vengono quindi indirizzati al sito del gestore, dove si loggano con lo SPID, per poi tornare- sempre in automatico- sul sito originario. A questo punto si ritroveranno autenticati e potranno svolgere i servizi richiesti: ci penserà il gestore a garantire al sito pubblico o privato che l’utente ha quell’identità».

I dati da inserire cambiano a seconda del livello di sicurezza richiesto dal servizio. Nel primo livello, è sufficiente una password, che l’utente otterrà dal gestore («magari potrà sceglierne una, purché ritenuta abbastanza sicura»). Nel secondo e nel terzo livello, c’è invece un’autenticazione a doppio fattore: oltre alla password, bisogna usare il codice generato da un dispositivo. «Nel secondo livello sarà sufficiente un’app di uno smartphone. Nel terzo, invece, bisognerà usare un dispositivo certificato», continua Tortorelli.

 

La partenza non prima di aprile

A questo punto si apre la questione della tempistica. Purtroppo il decreto è stato pubblicato in Gazzetta Ufficiale solo il 9 dicembre (con la pausa natalizia che incombe), pur essendo stato firmato il 24 ottobre. Si sono persi quasi due mesi nella (solita) burocrazia dei palazzi. Adesso si dovrà correre: «contiamo di completare a metà febbraio i quattro regolamenti che restano. Due sono già pronti e aspettiamo solo l’ok del Garante della Privacy».

Gli annunci del Governo parlano di un debutto dello SPID ad aprile, ma questa data non è prescritta dalle norme e al momento sembra sfidante. «Per la seconda metà di marzo faremo i primi accreditamenti degli identity provider».

Quelli che stanno partecipando alla fase pilota sono Telecom Italia, Poste Italiane e Infocert (ma altri soggetti comunque sono in fase avanzata dei lavori, tra cui- a quanto risulta- c’è Aruba). Le PA che partecipano al pilota sono l’Inps, l’Inail, l’Agenzia delle Entrate, le Regioni Piemonte, Friuli, Emilia Romagna, Toscana, Marche e i Comuni di Firenze, Lecce e Milano.

In primavera i cittadini dovrebbero essere in grado di mettere le mani sullo SPID, anche se non è chiaro ancora quanti saranno, al debutto, i servizi accessibili in questo modo.

 

 

Articoli Correlati

Normative

eIDAS: un regolamento Europeo per le Identità Digitali interoperabili … ma non solo

Il 17 settembre 2014 è entrato in vigore il Regolamento UE 910/2014 (eIDAS) che permetterà a un cittadino Europeo di essere identificato...

agenda digitale

Un Sistema Pubblico per l'identità digitale

Il Decreto “Fare” ha introdotto un’importate novità per favorire la diffusione di servizi in rete e agevolarne l'accesso da parte di cittadini...