Ancora prima di nascere il nuovo sistema pubblico di identità digitale – SPID – già alimenta discussioni e per ogni convinto sostenitore che esso annovera, almeno un altrettanto convinto detrattore sembra potersi trovare.

Ma cosa è SPID ?

Leggendo la bozza di D.P.C.M. qui scaricabile all’art. 1, comma 1, punto u) leggiamo che SPID è il Sistema Pubblico dell’Identità Digitale, istituito ai sensi dell’articolo 64 del CAD, modificato dall’articolo 17-ter del decreto-legge 21 giugno 2013, n. 69, convertito, con modificazioni, dalla legge 9 agosto 2013, n. 98, al quale aderiscono le pubbliche amministrazioni e le imprese [omissis].

Secondo AGID il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni.

Ma chi sono questi soggetti pubblici e privati che gestiscono l’identità digitale ?

Sempre nella bozza di D.P.C.M. all’art 1, comma 1, punto l), leggiamo che i gestori dell’identità digitale sono “le persone giuridiche accreditate allo SPID che. previa identificazione certa dell’utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica. Essi inoltre, in qualità di gestori di servizio pubblico, forniscono i servizi necessari a gestire l’attribuzione dell’identità digitale degli utenti, la distribuzione e l’interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite e l’autenticazione informatica degli utenti;”

Ci si potrebbe chiedere come avvenga l’autenticazione informatica degli utenti a cura dei gestori dell’identità digitale. L’identificazione avviene per inserimento di un codice identificativo e di una credenziale di accesso così definite – punti g) e h) del D.C.P.M. -:

g) codice identificativo: il particolare attributo assegnato dal gestore dell’identità digitale che consente di individuare univocamente un’identità digitale nell’ambito dello SPID;

h)  credenziale di accesso: il particolare attributo di cui l’utente si avvale, unitamente al codice identificativo; per accedere in modo sicuro, tramite autenticazione informatica, a
i servizi qualificati erogati in rete dalle pubbliche amministrazioni e dalle imprese che aderiscono allo SPID.

Nella bozza delle specifiche di SPID messa a disposizione da AGID possiamo rintracciare questo schema che illustra il processo di autenticazione per mezzo del quale è possibile avere accesso ad un determinato servizio informatico:

Tuttavia, affinché il service provider possa fattivamente erogare il servizio occorrerà che il titolare di una certa identità digitale sia caratterizzato da alcuni attributi che ne specificano le caratteristiche peculiari. Queste caratteristiche sono implementate attraverso attributi così definiti – punti b), c), d) ed e) del D.P.C.M. -:

b) attributi: informazioni o qualità di un utente utilizzate per rappresentare la sua 
identità, il suo stato, la sua forma giuridica o altre caratteristiche peculiari;

c) attributi identificativi: nome, cognome, luogo e data di nascita, sesso, ovvero ragione o denominazione sociale, sede legale, nonché il codice fiscale o la partita IVA e gli estremi del documento d’identità utilizzato ai fini dell’identificazione;

d) attributi secondari: il numero di telefonia mobile, l’indirizzo di posta elettronica, il domicilio fisico e digitale, nonché eventuali altri attributi individuati dal17Agenzia, funzionali alle comunicazioni;

e) attributi qualificati: le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati;

Sempre secondo il D.P.C.M. l’Agenzia per l’Italia Digitale cura l’attivazione dello SPID, gestisce l’accreditamento dei gestori dell’identità digitale e dei gestori di attributi qualificati, stipulando con essi apposite convenzioni, cura l’aggiornamento del registro SPID e svolge funzioni di vigilanza e controllo sull’operato dei soggetti che partecipano allo SPID.

Il registro tenuto da AGID è accessibile al pubblico e contiene l’elenco dei soggetti abilitati a operare in qualità di gestori dell’identità digitale, dei gestori degli attributi qualificati e di fornitori di servizi.

Fino a qua lo scenario per quanto articolato non sembra prestare il fianco a particolari critiche. Ma se andiamo a leggere un commento come quello dell’avvocato Eugenio Prosperetti riportato in “Ma lo SPID non ci identifica” capiamo che la cosa è un po’ più complessa di come sembra.

In tale articolo si precisa – a mio parere a ragione – che l’identità digitale gestita da SPID serve principalmente ad ottenere l’accesso ai servizi della P.A. e non necessariamente ha la finalità di permettere atti dispositivi. Sostanzialmente si afferma che una cosa è dire che è stata accertata – attraverso i meccanismi di SPID – la nostra identità digitale, altra cosa è affermare che quella identità digitale abbia tali e tante garanzie alle spalle da poter avere – ad esempio – la stessa valenza di una firma, con la quale disporre ed ordinare – atti dispositivi -.

Ma quali conseguenze possiamo derivare da tali considerazioni?

La prima è forse più importante conseguenza è che una autenticazione andata a buon fine in SPID non può essere garanzia, di per sé, che un servizio sia erogabile: dipenderà infatti da quale sia il servizio richiesto e da quali siano le caratteristiche dell’identità digitale richiedente.

Potranno esistere servizi che non richiedono particolari livelli di sicurezza che potranno essere erogati senza particolari cautele, ma altri servizi richiederanno caratteristiche più stringenti all’identità digitale per poter essere erogati.

Pensando all’ambito sanitario, quindi a contesti che molto spesso prevedono il trattamento di dati sensibili, ci si chiede quali dovranno essere i requisiti minimi che dovranno essere garantiti per poter erogare i requisiti richiesti.

Un esempio potrà forse aiutare a fissare le idee: si supponga che un’azienda ospedaliera decida di affacciare un servizio in internet per il rilascio delle copie conformi di cartella clinica. Il paziente che abbia subito un ricovero nella struttura ospedaliera potrà, una volta autenticato, richiedere il rilascio della copia conforme della propria cartella clinica e quando questa sia pronta potrà scaricarla direttamente sul proprio PC.

La consegna della copia conforme di una cartella clinica è un’operazione che richiede l’identificazione del consegnatario – oggi allo sportello si viene identificati per poter ricevere la copia -, quindi sarà necessario che l’identità digitale del cittadino abbia un valore identificativo – per poter ottenere la consegna della copia di cartella – e di firma – per poterla richiedere -. Sarà, pertanto, necessario che l’identità SPID sia stata assoggettata al massimo livello di autenticazione gestibile.

Viene da pensare che ciò sia ottenibile solo a fronte di un rilascio di credenziali SPID da parte di un gestore dell’identità digitale che abbia riconosciuto de visu il paziente, che abbia cioè adottato le modalità più stringenti di rilascio delle credenziali. In altri termini è pensabile che credenziali ottenute in maniera più agevole e che sarebbero adeguate per fruire di servizi meno sensibili non siano utilizzabili.

Viene quindi da concludere che molti dei servizi che si potrebbero ottenere dal Servizio Sanitario Nazionale aderendo a SPID dovranno confrontarsi con lo stesso scoglio che hanno dovuto superare tutti gli altri progetti di accesso a servizi eHealth oggi messi in campo: portare il cittadino ad uno sportello per riconoscerlo de visu e rilasciargli una credenziale forte che permetta il trattamento di dati sensibili quali quelli sanitari.

La vera, grossa, novità è che una volta ottenute queste credenziali potrebbero servire per ogni possibile accesso di rango inferiore grazie alla interoperabilità garantita da SPID. In un futuro, speriamo non troppo lontano, potrò forse accedere al mio fascicolo sanitario elettronico con le credenziali rilasciate dalla mia banca, chissà se potrò anche fare home banking con le credenziali rilasciate dall’azienda sanitaria per l’accesso al FSE.

Abbiamo di fronte scenari certamente stimolanti.

PG.

Quest’opera è distribuita con Licenza Creative Commons Attribuzione 3.0 Italia.