Il recente annuncio, poi risultato sostanzialmente infondato nelle prospettive di attuazione temporale e relativo alla volontà di spegnere gradualmente SPID a favore della Carta di Identità Elettronica (CIE) ha sollevato polemiche ed evidenziato possibili criticità nella proposta di consentire l’accesso ai servizi in rete con un unico ecosistema. Proviamo ora ad analizzare le diverse possibilità.
Scenario 1. CIE
In Italia lo strumento storico per l’accesso ai servizi in rete è la Carta Nazionale dei Servizi (CNS). La tessera CIE è una smart card dotata di un microchip senza contatti visibili all’esterno (contactless) che contiene i dati personali, la foto e le impronte del titolare, protetti da meccanismi che ne prevengono la contraffazione.
Per utilizzare la CIE per l’accesso ai servizi in rete è necessario un lettore di smart card NFC che ha un costo variabile dai 20 ai 50 euro. In alternativa il modo più semplice per utilizzare la CIE è quello di attivare NFC sul proprio smartphone, ovvero installare l’APP CieID od essere utilizzata direttamente con l’APP IO.
Abbiamo provato a sintetizzare le criticità che potrebbero emergere a seguito dell’utilizzo della CIE come unico strumento di autenticazione.
- Indisponibilità di una CIE. L’utente già in possesso di un valido documento di riconoscimento (passaporto, carta di identità cartacea) sarebbe costretto a rinnovare il documento prima della scadenza o a dotarsi di esso per la prima volta.
- Non disponibilità di un telefono dotato di interfaccia NFC.
- Malfunzionamenti della CIE
- Perdita di definizione delle scritte sulla superficie esterna della tessera per l’utilizzo della CIE nel riconoscimento a distanza in ambito SPID.
- Interfaccia NFC dello smartphone difettosa o guasta.
- Errori nell’utilizzo dell’interfaccia NFC. L’errore più frequente è quello di avvicinare la CIE e muoverla. Per attivarsi la CIE deve sfruttare il campo elettromagnetico trasmesso dal telefono. Muovere la carta o il telefono può creare problemi in questa operazione.
- NFC del telefono non abbastanza potente.
- Tempi lunghi per ottenere la CIE sia in ragione dei tempi di attesa per l’appuntamento di emissione ma anche per il tempo di consegna della carta che non è contestuale alla richiesta.
Scenario 2. TS-CNS
La TS-CNS (Tessera Sanitaria e Carta Nazionale dei Servizi) è una smart card contenente un certificato elettronico che consente ai cittadini di essere riconosciuti in rete con certezza della propria identità.
Attraverso la TS-CNS è possibile accedere ai servizi online disponibili della Pubblica Amministrazione Locale e Nazionale. La TS-CNS è sia a contatti che contactless, può funzionare se supportata applicativamente con un’APP analoga a CieID.
Anche per la soluzione TS-CNS abbiamo provato a sintetizzare le criticità che potrebbero emergere a seguito del loro utilizzo, ovvero un po’ critica la modalità di distribuzione del PIN e del PUK che in alcune regioni è ai limiti del misterioso.
Scenario 3. SPID
SPID è il Sistema Pubblico per l’Identità Digitale promosso dall’AgID e quindi dal Governo, che permette a cittadini e imprese di accedere con un unico login a tutti i servizi online di pubbliche amministrazioni e imprese aderenti. SPID è quindi una sorta di “passepartout” per i servizi pubblici online.
SPID si basa su un modello federato e collaborativo di aziende private. I “gestori delle identità digitali” sono, infatti, aziende private accreditate dall’AgID per la fornitura dei servizi di identità digitale. Cittadini e imprese possono scegliere liberamente il proprio gestore di identità digitale preferito.
SPID ha superato a fine 2022 la quota di 33 milioni di identità rilasciate, portando quindi la copertura della popolazione a oltre il 55%. E' cresciuto anche il numero degli accessi annui ai servizi passato dai 140 milioni del 2020 alla soglia del miliardo nel 2022. Pur rallentando, la crescita della diffusione di SPID sta diventando progressivamente più organica, cioè legata alle necessità quotidiane e non spot della popolazione.
Di seguito i vantaggi emersi dal sistema SPID
SPID si basa su un modello federato e collaborativo di aziende private. I “gestori delle identità digitali” sono, infatti, aziende private accreditate dall’AgID per la fornitura dei servizi di identità digitale. Cittadini e imprese possono scegliere liberamente il proprio gestore di identità digitale preferito.
Richiedere, ottenere ed attivare un’identità digitale con SPID è molto semplice. Basta recarsi personalmente presso qualsiasi sportello di un IDP. Gli IDP (Identity Provider) sono molteplici (Aruba, Infocert, Intesa, Lepida, Poste Italiane, SielteID, TeamSystem, TIM, Namirial, Register) e giocano un ruolo fondamentale nel decretare il successo del sistema perché portano in “dote” allo SPID il proprio bacino di utenti potenziali.
Al momento l’IDP Namirial è l’unico a rilasciare SPID in tempo reale con la modalità di riconoscimento de visu. Ciò significa che l’utente riceve la sua SPID nel momento stesso in cui la richiede presso uno sportello autorizzato.
Conclusioni
CIE è sicuramente un valido strumento di autenticazione digitale, ma da utilizzare in parallelo con SPID, che va mantenuto e non sostituito.
Riteniamo che avere un unico provider di Stato sia più pericoloso del sistema federato di SPID, che conta oggi 11 società fra pubbliche e private, fornitrici del servizio ai cittadini. I rischi sarebbero elevati non solo per quanto riguarda la privacy, ma anche per le possibili minacce: ci sarebbe infatti un unico punto per attaccare e manipolare l’identità digitale di un cittadino.
Considerate inoltre tutte le criticità innanzi esposte in merito ai vari scenari, è doveroso ricordare che la legislazione vigente (Cittadinanza digitale) prevede che l’uso delle tecnologie sia attuabile in modo accessibile ed efficace, il che escluderebbe a priori l'adozione di un unico strumento di autenticazione non federato. Il rischio di trasformare una grande opportunità in un fragoroso problema è elevato.
