Premessa ‘Legislativa’
La LEGGE del 9 agosto 2013, n. 98 modifica tramite l’art.17-ter il CAD andando a specificare : 1. Al comma 2 dell’articolo 64 del codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, e successive modificazioni, dopo il primo periodo è inserito il seguente: “Con l’istituzione del sistema SPID di cui al comma 2-bis, le pubbliche amministrazioni possono consentire l’accesso in rete ai propri servizi solo mediante gli strumenti di cui al comma 1, ovvero mediante servizi offerti dal medesimo sistema SPID”. L’accesso con carta d’identità elettronica e carta nazionale dei servizi è comunque consentito indipendentemente dalle modalità di accesso predisposte dalle singole amministrazioni. (E quindi via DDU)
2-bis. Per favorire la diffusione di servizi in rete e agevolare l’accesso agli stessi da parte di cittadini e imprese, anche in mobilità, è istituito, a cura dell’Agenzia per l’Italia digitale, il sistema pubblico per la gestione dell’identità digitale di cittadini e imprese (SPID).
2-ter. Il sistema SPID è costituito come insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’Agenzia per l’Italia digitale, secondo modalità definite con il decreto di cui al comma 2-sexies, gestiscono i servizi di registrazione e di messa a disposizione delle credenziali e degli strumenti di accesso in rete nei riguardi di cittadini e imprese per conto delle pubbliche amministrazioni, in qualità di erogatori di servizi in rete, ovvero, direttamente, su richiesta degli interessati.
Al 2-sexies, troviamo f) alle modalità di adesione da parte delle imprese interessate in qualità di erogatori di servizi in rete.
Il Documento Digitale Unico viene introdotto con il DL. n. 179/2012 con lo scopo di raccogliere in un’unica tessera la Carta d’Identità Elettronica (CIE), la Carta Nazionale dei Servizi (CNS), la Tessera Sanitaria (TS) e il Codice Fiscale, lo stesso prevede l’utilizzo di smartcard con un doppio microprocessore, a radiofrequenza e a contatti. La presenza del processore a radiofrequenza (contacless) caratterizza il DDU come strumento innovativo ed estremamente attuale, mentre la presenza del chip contact garantisce retro compatibilità verso le carte che il DDU andrà a sostituire. Il DDU avrà validità di 10 anni, e ci vorranno 10 anni prima che il dispiegamento a tutti la cittadinanza venga ultimato; lo stesso sarà sia un DOCUMENTO DI IDENTITA’ [1] che un DOCUMENTO DI RICONOSCIMENTO [2].
Cosa cambia
Avremo un sistema unico di gestione delle identità digitali SPID, che verrà realizzato da Agid, con la possibilità di sfruttare soggetti che già gestiscono l’identità digitale, gli indiziati sono le Regioni che già si sono attrezzate con sistemi di tale tipo, vedasi Emilia Romagna (Federa) oppure il servizio di Identity Provider della Regione Lombardia (IdPC). Questi sistemi attualmente sfruttano i certificati sui documenti di identificazione (o firma digitale), oppure sistemi di autenticazione più laschi come utente/password o OTP di qualche genere.
Avremo un documento unico di identificazione e di riconoscimento DDU.
L’intreccio tra DDU e SPID
L’identità digitale è caratterizzata dal livello di affidabilità dell’identità stessa, e che si definisce come il grado di attendibilità delle identità digitale, e varia in base alla modalità con cui l’utente è identificato presso il proprio gestore delle identità. Ad esempio il livello di affidabilità in Federa è articolato come segue :
- Bassa:
- Utenti non identificati.
Sono gli utenti che si registrano online presso il gestore delle identità. - Media:
- Utenti identificati in maniera debole/indiretta tramite SIM/USIM.
Sono gli utenti che si registrano online presso il gestore delle identità, inserendo e confermando il proprio numero di telefono cellulare. - Alta:
- Utenti identificati “de visu” da un operatore del gestore delle identità.
- Utenti identificati tramite smartcard CIE/CNS.
- Utenti identificati tramite invio di documentazione. (??)
Oppure a livello internazionale vengono considerati tre diverse fattori di autenticazione:
“Una cosa che conosci”, per esempio una password o il PIN.
“Una cosa che hai”, come un telefono cellulare, una carta di credito o un oggetto fisico come un token.
“Una cosa che sei”, come l’impronta digitale, il timbro vocale, la retina o l’iride, o altre caratteristiche di riconoscimento attraverso caratteristiche uniche del corpo umano (biometria).
Quando viene utilizzato più di un fattore di autenticazione si parla di strong authentication (autenticazione forte); l’uso di un solo fattore, ad esempio la sola password, viene considerato una autenticazione debole.
Come facilmente si deduce dai due distinti contesti, per avere una strong autentication/forte affidabilità il DDU diviene la soluzione naturale, in quanto è “qualcosa che ho” ed è equivalente a CIE/CNS.
Considerazioni per le Pubbliche Amministrazioni Locali
L’ipotesi di sviluppo di queste due tecnologie è che probabilmente verrà creato uno SPID che consentirà di autenticarsi in modo forte tramite il DDU (o a scemare con CNS/CIE), ed in modo light con altri sistemi auto-dichiarativi o basati su utente/password. (Autenticazioni deboli). Il DDU usato come smart-card+PIN avrà la stessa efficacia e usabilità della CRS/CNS/TS, dati ufficiali RL nel 2011 (http://dati.lombardia.it) 900k accessi con CRS, dati ufficiosi Reg.Toscana : “… sul territorio che posso osservare (3,5M cittadini) ogni settimana sono circa 2K soggetti utilizzano per la prima volta un servizio accessibile via CNS. Il 40% dei soggetti adulti ha utilizzato almeno una volta un servizio con CNS “ … In ogni caso, se confrontati all’autenticazioni forti delle banche i dati sono molto esigui. A riguardo vi sono tre linee di pensiero :
1) I servizi per cui accedere con CRS/CNS sono esigui ed è per tale motivo che non vi è incentivazione all’uso di tali dispositivi.
2) L’accoppiata lettore più smart card è una tecnologia obsoleta
3) I privati ad oggi non usano i sistemi di autenticazioni della PA per autenticarsi ai loro servizi privati. (Ad esempio non posso autenticarmi alla mia banca con la CRS).
Evidentemente la verità è la ‘somma pesata’ delle tre motivazioni, per la 2) la presenza della tecnologia NFC nel DDU, se accompagnata da una UX buona potrebbe aprire la porta agli accessi mobile non possibili ora con CNS. Per la 3) invece è contemplata nel 2-sexies, comma f) che vuole incentivare l’adozione del sistema pubblico di identificazione anche per i servizi privati. La 1) vede noi protagonisti con l’obiettivo di creare servizi alla cittadinanza che valgano la fatica di superare le barriere tecnologiche (che comunque seppur minime esistono) per ottenere il servizio stesso.
Considerazioni Europee
L’Agenda Digitale Europea prevede un sistema di identity federato (vedasi e-Identity (http://ec.europa.eu/digital-agenda/life-and-work/public-services) e progetto Stork 2 (https://www.eid-stork2.eu/) ), pertanto lo SPID Italiano dovrà sicuramente attenervisi ed essere con esso interoperabile.
[1] Dal DPR n. 445 del 2000, art. 1 “Definizioni”, comma 1 d): “DOCUMENTO D’IDENTITÀ la carta d’identità ed ogni altro documento munito di fotografia rilasciato, su supporto cartaceo, magnetico o informatico, dall’amministrazione competente dello Stato italiano o di altri Stati, con la finalità prevalente di dimostrare l’identità personale del suo titolare”
[2] DPR n. 445 del 2000, art. 1 “Definizioni”, comma 1 c): “DOCUMENTO DI RICONOSCIMENTO ogni documento munito di fotografia del titolare e rilasciato, su supporto cartaceo, magnetico o informatico, da una pubblica amministrazione italiana o di altri Stati, che consente l’identificazione personale del titolare”