Decreto del fare: l’Istituzione del Sistema pubblico per la gestione dell’identità digitale
Il c.d. “decreto del fare” (Legge n. 98 del 9 agosto 2013, rubricata come “Conversione, con modificazioni, del decreto-legge 21 giugno 2013, n. 69, Disposizioni urgenti per il rilancio dell’economia” pubblicata in Gazzetta Ufficiale n. 194 del 20 agosto 2013), prevede all’art. 17-ter, modificando l’art. 64 del D.lgs. 82 del 2005 (Codice dell’amministrazione digitale o CAD), l’istituzione del Sistema pubblico per la gestione dell’identità digitale (SPID) di cittadini e imprese.
Esso è definibile come un sistema di credenziali informatiche uniche ed interoperabili che consentono di accedere ai siti e ai servizi offerti dalla PA nazionale e, in prospettiva, da quelle comunitarie.
Lo scopo di utilizzo della identità digitale in argomento è, pertanto, quello di semplificare l’accesso per l’utilizzo dei servizi on-line promossi dalla PA ed utilizzare un unico identificativo (da qui il nome “PIN unico”) per svolgere una serie di attività quali per esempio la partecipazione ad un bando, il pagamento delle tasse, la richiesta di un certificato, etc.
L’identità informatica è rilasciata secondo modalità definite con il decreto del Presidente del Consiglio dei ministri (DPCM) di cui al comma 2-sexies dell’art. 62 del CAD.
Tale ultimo decreto è stato appena emanato e rappresenta un punto fondamentale del progetto promosso dall’Agid (Agenzia per l’Italia digitale) sulla identità digitale che raggiungerebbe i suoi obiettivi, per i più ottimisti, non oltre il bienno 2015 – 2017. E’ di oggi (14 novembre) l’annuncio di Marianna Madia, Ministro della PA, per cui lo Spid prevede una serrata tabella di marcia scandita da due obiettivi importanti, il primo scatterà ad aprile 2015 per arrivare al 2017 con 10 milioni di utenti collegati, ovvero un italiano su sei.
L’AgID dovrà adottare entro dicembre ulteriori cinque provvedimenti, che completano il pacchetto dello SPID, ovvero le regole tecniche, le modalità applicative, le modalità di accreditamento degli identity provider, le modalità con cui si importano in SPID le identità precedenti e gli schemi di convenzioni con altri soggetti.
Secondo il decreto, l’identità informatica non sarà rilasciata da enti pubblici, ma da soggetti privati accreditati (indicati come Identity Provider o gestori dell’identità digitale) che possiedono tutti i requisiti di cui all’art. 10 del DPCM sullo SPID, tra i quali la capacità organizzativa e tecnica necessaria a svolgere l’attività.
Tali soggetti dovranno, secondo l’art. 7 del DPCM, verificare la corrispondenza dell’identità del soggetto richiedente mediante modalità manuali, come la richiesta di esibizione a vista della carta d’identità, o informatiche, come l’utilizzo della Tessera Sanitaria elettronica e/o della Carta dei Servizi elettronica. Il gestore, inoltre, deve dar prova della modalità di verifica dell’identità e mantenerne traccia con conservando i file di log, ovvero il documento identificativo qualora cartaceo, etc. I documenti che definiscono il procedimento di adesione devono essere, per di più, conservati per 20 anni dalla data di scadenza o della revoca dell’identità digitale (art. 7 del DPCM).
Infine, i gestori dovranno adempiere a tutti gli obblighi descritti dall’art. 11 del DPCM in argomento, ovvero, a titolo di esempio, utilizzare sistemi affidabili che garantiscono la sicurezza tecnica e crittografica dei procedimenti; adottare adeguate misure contro la contraffazione; effettuare, con cadenza almeno annuale, un’analisi dei rischi; allineare le procedure di sicurezza agli standard internazionali; condurre semestralmente le c.d. “Penetration Test“; informare tempestivamente l’Agid e il Garante per la protezione dei dati personali su eventuali violazioni di dati personali; etc.
La scelta di affidare la gestione delle identità digitali a soggetti privati, piuttosto che pubblici, si spiega con le garanzie che questi offrono e che ad essi vengono tassativamente richiesti. Quali, per esempio, i requisiti tecnici (soprattutto sotto il profilo della sicurezza) necessari per la creazione e il mantenimento di una infrastruttura complessa come quella in analisi.
Inoltre, una gestione siffatta eviterà anche che le informazioni dei cittadini aderenti allo Spid, a cui vengono associate le identità digitali non confluiscano in un unico database, limitando ancor più i rischi legatiad un eventuale accesso illegittimo.
La scelta sull’utilizzo di tale strumento di identificazione rimane, tuttavia, in capo alle pubbliche amministrazioni in quanto il comma 2 dell’art. 64 prevede che le pubbliche amministrazioni possono consentire l’accesso ai servizi in rete che richiedono l’identificazione informatica anche se questa è effettuata con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi, purché tali strumenti consentano l’individuazione del soggetto che richiede il servizio. Tale possibilità potrebbe però inficiare gli obiettivi di un adeguamento pressocchè totale alle nuove modalità garantite dallo Spid per come auspicate anche dal Ministro Madia.
Il sistema è, altresì, destinato ad essere utilizzato anche dai privati. Infatti, il comma 4-quinquies dell’art. 62 del CAD propone l’utilizzo di tale sistema di riconoscimento alle società che gestiscono sistemi di accesso on line e quindi l’identità digitale dei propri clienti/utenti, ribadendo che l’adesione al sistema SPID per l’accesso ai propri servizi esonera l’impresa da un obbligo generale di sorveglianza delle attività sui propri siti, ai sensi dell’articolo 17 del decreto legislativo 9 aprile 2003, n. 70.
Il DPCM appena analizzato pertanto potrebbe portare ad un cambiamento senza precedenti, soprattutto nel rapporto con la PA e nella semplificazione degli oneri burocratici.
Tuttavia, occorre tener d’occhio alcune criticità soprattutto in ambito privacy di seguito brevemente indicate. La prima è inevitabilmente riferita alla sicurezza dei sistemi e delle infrastrutture utilizzate in relazione alla loro capacità di resistere agli eventuali attacchi esterni ed ai furti d’identità, in quanto tali operazioni permetterebbero a terzi di accedere a svariate informazioni riservate, comprese quelle in ambito giudiziario e sanitario. Tale eventualità deve essere tenuta in considerazione e va valutata in ordine alle misure di sicurezza da applicare.
Una ulteriore criticità deriva dall’uso da parte delle società private delle informazioni per finalità di marketing e di profilazione. Ciò va quindi regolamentato e, nel caso di attività di questo genere, andranno adeguatamente informati gli utenti sulle possibili conseguenze.
Fatto questo breve excursus sulle nuove regole in materia di identità digitale, non rimane che stabilire un loro efficace raccordo il nuovo Regolamento europeo n. 910/2014 rubricato eIDAS, sulla Identificazione elettronica e sui servizi fiduciari. Il regolamento è entrato in vigore il 17 settembre 2014 ed è direttamente applicabile in tutti gli Stati Membri UE.
Lo stesso è particolarmente importante in quanto è volto a creare un complesso normativo e regolamentare comune ed idoneo a migliorare e ad incrementare la sicurezza e l’efficienza dei differenti processi elettronici utilizzati a livello nazionale, rispondendo così alle sfide poste dalla crescente evoluzione dei mezzi tecnologici che sempre più spesso vengono utilizzati, quali l’accesso mobile online, l’utilizzo di servizi Cloud e SaaS, etc.
Tra gli altri, il Regolamento impone agli Stati membri l’obbligo di riconoscere, sotto determinate condizioni, i mezzi di identificazione elettronica delle persone fisiche e giuridiche che rientrano nell’ambito del regime di identificazione elettronica di un altro Stato membro. In altre parole, gli Stati membri dovranno garantire un legame univoco fra i dati di identificazione elettronica e la persona a cui questi si riferiscono permettendo di assicurare una corretta autenticazione sia a livello nazionale che transfrontaliero.
L’adozione di un sistema unico di identificazione digitale, nonché di ulteriori servizi fiduciari, come la firma digitale e il timbro elettronico – il quale costituisce la firma della persona giuridica (differenziandosi dalla firma elettronica della persona fisica)- favorirà non solo le transazioni cross-border, ma faciliterà la diffusione di questi strumenti anche in ambiti dove ancora non sono utilizzati.