A cura di di Luigi Rufo
L’Agenda Digitale, cornice rappresentativa delle iniziative italiane per la digitalizzazione, ha posto ultimamente sul tavolo di lavoro l’importante tema dell’Identità Digitale, focalizzandosi sull’analisi e la progettazione del Sistema Pubblico di Identificazione (SPID).
Introdotto dall’articolo 17-ter del decreto legge 21 giugno 2013, n. 69,“Decreto del Fare” – che modifica il comma 2 dell’articolo 64 del Codice dell’amministrazione digitale – il sistema SPID rappresenta, insieme alla Carta nazionale dei servizi (CNS) e alla Carta d’identità elettronica (CIE), uno strumento di gestione dell’identità digitale che ha come obiettivo – vista l’esigenza di disporre di strumenti per l’identificazione certa degli individui nel web 2.0 – quello di favorire la diffusione dei servizi in rete e consentire ai cittadini e alle imprese di farsi riconoscere online dalla pubblica amministrazione o da qualsiasi altro fornitore di beni o servizi, attraverso l’uso di un codice identificativo univoco.
In tal senso e secondo quando previsto dall’art. 64, comma 2-sexies, è stato predisposto un Decreto del Presidente del Consiglio dei Ministri che, ad oggi, ha compiuto un primo passo verso l’approvazione (e quindi l’emanazione). Infatti, il 23 giugno scorso, lo schema del DPCM recante “Definizione delle caratteristiche del sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese“, vista la materia trattata, è stato notificato alla Commissione europea, che dovrà far pervenire eventuali osservazioni proprie e di altri Stati membri dell’Unione entro il 24 settembre 2014. Al termine di tale procedura, il Decreto potrà essere emanato.
Questo sistema – o come ai più piace definirlo “ecosistema” tecnologico – è costituito come un insieme aperto di soggetti pubblici e privati (i Gestori delle identità digitali) che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete; dunque, in altri termini, procedono ad assegnare le credenziali al cittadino, attore più importante, garantendo univocità di corrispondenza fra persona e codice di sicurezza, che tuttavia potrà essere per ogni richiedente più di uno.
Si deve sottolineare che, rispetto agli strumenti di identificazione già ammessi dal nostro ordinamento, il sistema SPID ha una grande particolarità, in quanto consente ai Gestori di fornire a loro discrezione uno dei tre differenti livelli di autenticazione previsti – il primo livello basato sul rilascio di una password, il secondo livello che prevede il rilascio di una coppia di chiavi (pubblica e privata) e un terzo livello che rende disponibile una coppia di chiavi basata su certificati digitali – e così facendo permettono maggiore flessibilità e rispondenza alle evoluzioni tecnologiche.
Sicuramente questo nuovo strumento, messo a disposizione di cittadini e imprese, potrà aumentare la fiducia verso l’uso dei servizi internet, conducendo a una vera e propria rivoluzione nelle modalità di acquisto e pagamento di prodotti online, di accesso agli atti della Pubblica Amministrazione, di repressione di reati informatici ecc. Anche se gli attributi personali (es. nome, cognome, indirizzo di posta elettronica, abilitazioni professionali) e le credenziali dovranno essere trattati sempre nel rispetto delle misure minime di sicurezza (D.lgs. 196/2003) e delle norme che ne garantiscono una buona tenuta (art. 615 quater c. p.).
Da ultimo ci si augura, come ha fatto notare il Presidente ANORC, l’avv. Andrea Lisi, che con il sistema SPID “non si parta in retromarcia”, infatti avviare la procedura di notifica in Europa, senza attendere l’approvazione del regolamento comunitario in materia di identificazione elettronica e servizi fiduciari, non è stato un’ottima mossa, dal momento che si rischia che da Bruxelles rispondano, come già è accaduto per il DPCM sulle Regole Tecniche per la formazione dei documenti informatici, che si deve attendere l’approvazione del Regolamento EIDAS.
>> Vedi tutti i contributi della Rubrica DigitalDOC