Dal 15 marzo potremo avere le prime identità del Sistema pubblico per l'identità digitale (SPID), per accedere a 600 servizi della pubblica amministrazione.

Che cos'è quindi lo Spid? Lo Spid è un nuovo sistema di accesso ai servizi online che nasce per semplificare il rapporto tra cittadini, imprese e pubblica amministrazione permettendo di accedere con credenziali uniche ai servizi online della pubblica amministrazione e dei privati che aderiranno.

Ci sono tre tipologie di identità Spid, ciascuna delle quali corrisponde ad un crescente livello di sicurezza, come descritto dal sito spid.gov.it che mostra il funzionamento del servizio: la prima tipologia è un semplice nome utente e password, la seconda vi aggiunge un codice temporaneo noto anche come OTP (One Time Password) generato al momento dal fornitore del servizio e inviato tramite un altro canale all'utente (ad esempio via SMS). La terza richiede un dispositivo di accesso specifico (generalmente un token crittografico), oltre a nome utente e password.

L'identità SPID verrà rilasciata dai gestori denominati Identity Provider, ovvero soggetti privati accreditati da AgID che forniranno le identità digitali e gestiranno l'autenticazione degli utenti, attualmente sono Infocert con Infocert Id, Tim con TimId e Poste con PosteId.

Tra il 15 marzo e il mese di giugno 2016, saranno oltre 600 i servizi che permetteranno l'accesso tramite SPID ai propri servizi. Le prime amministrazioni che aderiranno sono: l'Agenzia delle Entrate, Inps, Inail, Comune di Firenze, Comune di Venezia, Comune di Lecce, Regione Toscana, Regione Liguria, Regione Emilia Romagna, Regione Friuli Venezia e Giulia, Regione Lazio e Regione Piemonte. Entro 24 mesi, secondo le norme, tutti i servizi della PA dovranno accettare le identità Spid.

Si aggiungeranno alcuni servizi di aziende private, su base volontaria (potremo ad esempio aderire anche noi e permettere in futuro ai condòmini di accedere a Condominio365 con il proprio SPID invece di chiedere le credenziali al proprio amministratore).

Sarà possibile usare Spid anche per accedere a servizi esteri europei, grazie all'utilizzo di standard internazionali.

Ora i primi dubbi e criticità del servizio:

• Il servizio è gratuito per due anni poi non è chiaro se sarà a pagamento o meno, la scelta è piuttosto singolare visto che l'accesso ai servizi pubblici in rete dovrebbe essere garantito come diritto e non come un servizio a pagamento. Se il servizio resterà a pagamento i costi si possono già intravedere dalle prime offerte che appaiono sui rispettivi siti: il servizio di TimId per liberi professionisti e aziende ad esempio costa 36 euro. Tanti soldi per un servizio che vorrebbe conquistare tutti gli italiani.
• Gli identity provider riconosciuti da AgID sono per ora pochi e quelli che si vorranno aggiungere dovranno avere capitali molto elevati, si rischia una oligarchia di identity provider che si spartiranno il business delle identità. Come nel caso della PEC sembra difficile mantenere gli interessi pubblici slegati dagli interessi privati delle aziende.
• I tre provider attuali che forniscono identità SPID lo fanno ognuno con procedure diverse e con percorsi non definiti centralmente. Anche i costi e le formule commerciali saranno diversi e non omogenei tra provider. Si rischia quindi una gran confusione tra servizi che dovrebbero essere strettamente controllati dalla pubblica amministrazione.

Il rischio per lo SPID se i punti sopra non verranno chiariti sarà quello di cadere nel dimenticatoio e magari fare la fine della Cec-Pac, inutilizzata ed infine dismessa (fine non troppo dissimile da quella che potrebbe fare la PEC). Oppure, peggio ancora, diventare un servizio semi vivente che si aggirerà tra gli uffici pubblici come uno zombie assieme alla PEC, alla firma digitale, alla smart card e a chissà quali nuove invenzioni italiane.

Ricordiamo infatti che la Cec-Pac e la PEC sono „invenzioni“ italiane, innovazioni tecnologiche che però non necessariamente significano efficienza nell'amministrazione pubblica, specialmente se il loro mantenimento ed infine dismissione significano costi ingiustificati (il servizio Cec-Pac è costato solo inizialmente 50 milioni di Euro per l'appalto con Poste e Telecom).

SPID tuttavia ha delle caratteristiche vincenti rispetto ai goffi tentativi in passato di digitalizzare la PA:

• Lo SPID non sarà l'ennesimo servizio tutto italiano non interoperabile con sistemi di altre nazioni come è successo con la PEC. SPID è candidato al riconoscimento a livello europeo, come previsto dal Regolamento europeo eIDAS n. 910/2014.
• lo SPID è supportato da risorse web che lo documentato e rispondo alle più comuni critiche, vedi ad esempio le FAQ sul sito AGID all'indirizzo http://www.agid.gov.it/spid-faq-carattere-generale .
• lo SPID è tecnicamente ben documentato (vedi ad esempio le caratteristiche tecniche presenti sul sito AGID: http://www.agid.gov.it/sites/default/files/regole_tecniche/spid_regole_tecniche_v0_1.pdf)
• il sistema SPID utilizza standard aperti e riconosciuti a livello mondiale come lo standard SAML v2.0 definito da OASIS invece di utilizzare protocolli ad-HOC inventati al momento.
• Lo SPID non è un obbligo ma un'opportunità, si potrà in futuro sempre usare in alternativa la CIE (carta d'identità elettronica) o la CNS (carta nazionale dei servizi), quindi chi vorrà sceglierà quanti SPID crearsi (possono essere più di uno) con quale identity provider generarli e quando farli scadere.
• Lo SPID non sono solo specifiche tecnice ma anche linee guida ad esempio per l'aspetto dei siti web della PA (quando mai si è parlato di grafica nella PA!), sono disponibili ad esempio le „Linee Guida siti web PA“ ed il codice è liberamente disponibile su GitHub: https://github.com/italia-it/designer.italia.it .

Non abbiamo nemmeno toccato l'aspetto sicurezza finora: stando alle specifiche tecniche sembrerebbe per la prima volta in Italia di trovarsi di fronte ad un sistema sviluppato da tecnici e non da burocrati e con delle caratteristiche solide di autenticazione e controllo degli accessi.

Attualmente tutto il mare di informazioni che verranno collegate con SPID non sono certo al sicuro, basta visitare il sito http://www.zone-h.org/ dove vengono segnalati tutti gli hack di siti nel mondo ed inserire come ricerca il dominio gov.it del governo: si troveranno 883 defacements di siti governativi italiani!

Come dire, speriamo che con lo SPID vengano integrati e standardizzati molti siti web governativi che attualmente sono in balia di futuri attacchi.