ProgettiPubblica Amministrazione

SPID, si va verso il terzo livello ma…

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

SPID cresce, la gente inizia a utilizzarla. Il sistema di autenticazione con semplice User ID e password (primo livello) permette di fruire già di non pochi servizi della pubblica amministrazione ma…

SPID è l’acronimo di Sistema Pubblico di Identità Digitale. Si tratta della soluzione per l’autenticazione che dovrebbe permettere ad aziende (tramite il responsabile legale della società) e cittadini (e in parte già assolve a questo compito) di accedere a TUTTI i servizi online della PA con pc, tablet e smartphone almeno con Username e Password. In questi giorni il dibattitto su SPID è quanto mai nel vivo, anche perché sono effettivamente sempre di più i servizi che ne consentono l’utilizzo: per esempio dovrebbe essere già conosciuta dalle mamme e dai papà che stanno procedendo all’iscrizione dei figli a scuola.

Per ottenere SPID basta richiederla ad uno dei gestori di identità accreditati dall’Agenzia per l’Italia Digitale ( essi sono InfoCert, Poste Italiane, Sielte e TIM ognuno offre il servizio in modalità diverse) , che provvede ad autenticare l’identità del richiedente.

In verità non finisce qui perché infatti esistono tre livelli di SPID, a seconda delle esigenze di sicurezza di quello che si sta facendo: il primo livello permette l’utilizzo di User ID e PSWRD (autenticazione a singolo fattore), il secondo aggiunge la generazione di un codice di controllo aggiuntivo monouso (password ulteriore e OTP associati alla digitazione di una User ID), con il terzo livello si può procedere anche ai pagamenti e ai dati più sensibili perché questo livello si basa su autenticazione informatica a due fattori basato su certificati digitali e criteri di custodia delle chiavi private sui dispositivi, per soddisfare ai requisiti Allegato 3 della Direttiva 1999.

Accesso a INPS con SPID
Accesso a INPS con SPID

Fa sorridere e non poco il fatto che anche SPID si traduce praticamente e necessariamente in una spesa ulteriore da sostenere a carico dei soggetti: è prevista infatti la possibilità di ottenere SPID di primo livello gratuitamente, ma le modalità più immediate, online, si pagano (sempre tra i 14 e i 19 euro), tranne che con Poste Italiane ma a patto di essere già clienti. Oppure bisogna avere già un lettore di Smart Card, Carta di Identità Elettronica o Carta Regionale dei Servizi oppure la firma digitale (non quella della vostra banca).

Nella nostra esperienza, ci siamo messi di buona volontà e volevamo completare tutto il processo di richiesta SPID con InfoCert, ma online, subito, senza muoverci da casa, abbiamo pagato, e abbiamo sperimentato direttamente che la procedura magari non richiede un alto livello di expertise, ma non è alla portata della popolazione più anziana, di sicuro.

Per fare tutto online bisogna disporre di un indirizzo email, di un telefono cellulare, di documento di identità valido, codice fiscale o tessera sanitaria, buona connessione, webcam a una risoluzione sufficiente per consentire all’operatore remoto di vedervi bene e di fotografare in tempo reale il documento fronte e retro, anche se l’avete già inviato fotocopiato. Gli operatori di InfoCert nella nostra prova si sono dimostrati impeccabili ma, lo ripetiamo, non è certo una modalità davvero alla portata di ogni cittadino.

Non solo, un InfoCert ID non è per sempre, vale per due anni, poi va rinnovato. Non sono pochi due anni? Non valeva la pena di garantire a SPID una durata pari a quella di una carta di identità e quindi decennale, con la possibilità di modificare i dati attraverso uno SPID di secondo livello per tutti? E ancora… Non sarebbe valsa la pena di evitare la frammentazione su tre livelli? Si ha come l’impressione che, ancora una volta, questo procedere per step, ma con i cittadini già coinvolti quando ancora si è a mezza via, potrà generare anche una grande confusione.

SPID con autenticazione a due fattori, come servizio effettivo offerto al cittadino e compiuto, avrebbe fatto crescere meglio e subito la fiducia nel nuovo sistema di autenticazione. In fondo (con i dovuti rischi mitigati) le banche già permettono pagamenti e trattamento di dati più che personali (il conto corrente) con autenticazione a due fattori e anche la gente ha imparato a usarli, in alcuni casi addirittura con i profili associati già alla firma digitale.

Già le banche… Certo avrebbe sollevato un polverone affidare a loro non l’onore, ma l’onere di provvedere ad un tempo a uniformare i propri sistemi per SPID e a fornire SPID ai cittadini… Via, lo sappiamo benissimo di chiedere troppo, ma l’accelerazione verso SPID 2 e 3 sarebbe stata immediata. Povera PA, nemmeno in grado di fornire un servizio ritenuto base, ma sempre alla ricerca di partner privati per realizzare anche progetti di base propri.

La buona notizia invece è che al momento sono già attivi circa 4mila siti di uffici e enti pubblici che rendono possibile procedere dopo l’autenticazione con SPID, anche se per servizi minimi o esclusivamente di consultazione. Ci spingiamo ancora oltre, con i sogni: finalmente ad ottobre (2016) si è iniziato a lavorare a Italia Login, che vorrebbe costituire il punto di accesso centrale ai servizi online della PA secondo le linee guida sempre di AgID.