Piccolo vademecum sull’Identità Digitale

In questi mesi si è parlato molto di identità digitale e, in particolare, di SPID, il Sistema Pubblico per la gestione dell’Identità Digitale. Il tema è tecnicamente complesso e, per di più, si intreccia con tanti progetti e vicende di questi anni che hanno disorientato i cittadini, le imprese e le stesse amministrazioni pubbliche, e al tempo stesso hanno portato ad una proliferazione di sistemi e servizi, senza che si sia risolto alla radice il problema. Sintomi di questa situazione sono il proliferare di carte “digitali” (come la Carta Regionale dei Servizi) e la mancata diffusione delle Carte di Identità Elettroniche di cui si parla da oltre 10 anni.

Peraltro, esiste anche un problema di comprensione di quelli che sono i diversi ambiti di utilizzo di un sistema di identità e quindi può essere utile cercare di spiegare, in modo semplificato e sintetico, tutti i termini della questione.

Disclaimer

Sarò volutamente informale e impreciso. Lo scopo è quello di provare a spiegare tutti i diversi problemi e concetti ai non addetti ai lavori. Prego questi ultimi di perdonare le mie imprecisioni e aiutarmi, laddove fossero eccessive, a correggere errori gravi e a chiarire i termini del problema, senza peraltro entrare in tecnicismi che sarebbero poco comprensibili ai più. Sarà mia cura integrare in questo testo i commenti che dovessi ricevere e per i quali ringrazio in anticipo.

1. I documenti di identità

In Italia ogni cittadino deve poter essere identificato attraverso un documento di identità. In particolare, noi tutti abbiamo la Carta di Identità che viene rilasciata dal Comune e che permette di riconoscere una persona attraverso una serie di dati e la sua fotografia.

Oltre alla Carta di Identità, esistono altri documenti che possiamo usare “per farci riconoscere”. In particolare, spesso usiamo la patente di guida e il passaporto. Essi nascono per specifici scopi: riconoscere la possibilità di guidare un’auto e autorizzare i viaggi verso l’estero (laddove è richiesto per l’appunto un documento come il passaporto). Questi documenti sono utilizzati per il riconoscimento della persona “a vista” in quanto:

  • Hanno una foto e possono essere esibiti al momento su richiesta.
  • Contengono le informazioni anagrafiche essenziali.
  • Sono rilasciati da enti pubblici che hanno a loro volta provveduto all’atto del rilascio del documento al riconoscimento fisico della persona.

Ovviamente, non è detto che una persona debba per forza guidare un’auto, né che abbia bisogno di recarsi all’estero. Per questo esiste la Carta di Identità che è lo strumento di riconoscimento a vista della persona in ogni circostanza in cui ciò si renda necessario: da un controllo della Polizia, alla verifica dell’identità al momento dell’imbarco in aeroporto.

Non tutti i paesi hanno la Carta di identità. Per esempio, in USA e in UK non esiste. L’identità viene verificata usando patenti, passaporti o altri documenti (per esempio, tesserini di riconoscimento per lavoratori di uffici pubblici).

2. I livelli di identità digitale

Nel mondo digitale esiste il bisogno di riconoscere le persone quando queste “si presentano” per utilizzare un servizio – tipicamente – su Internet. Per esempio, tutti noi quando vogliamo usare posta elettronica forniamo delle credenziali digitali, username e password, che permettono al gestore del servizio di riconoscerci e abilitarci all’uso del servizio stesso.

Ci sono diverse tipologie di identità e credenziali digitali. Esse differiscono in base al livello di sicurezza che sono in grado di garantire.

Facciamo qualche semplice esempio:

  1. Ciascuno di noi può registrarsi presso un social network fornendo informazioni anche false o fantasiose. Possiamo creare per esempio un account Twitter o Facebook “fake”, impersonando un politico o un personaggio famoso. Una “identità” di quel tipo è ovviamente molto debole. È usata dal gestore del servizio per riconoscere quell’utente e gestirlo in modo coerente e continuativo (per esempio ricordandone preferenze e settings), ma senza essere in alcun modo certo della sua vera “identità”.
  2. Esistono invece credenziali digitali che garantiscono l’identità di una persona. Esse sono rilasciate controllando “fisicamente” l’identità del singolo al momento del rilascio della credenziale stessa. Per esempio, per ottenere una Carta Regionale dei Servizi abilitata ad accedere via Internet a dati sensibili (come il fascicolo sanitario elettronico) è necessario recarsi presso un pubblico ufficio e presentare un documento di identità. Solo così è possibile abilitare la carta all’uso di servizi che richiedono una identificazione certa dell’utente.

Osservazione a margine. Spesso quando si parla dei problemi delle carte date dalle Regioni si usa dire “ti mandano la carta a casa ma poi devi andare per forza agli uffici: che nonsenso”. Non è un nonsenso. Per abilitare l’utilizzo pieno della carta è necessario che ci sia un riconoscimento esplicito e “de visu” della persona che detiene la carta stessa. Ciò è a tutela in primo luogo dell’utente e poi dell’amministrazione che emette la credenziale.

3. CIE, CNS e CRS

La CIE (Carta di Identità Elettronica) è uno strumento di riconoscimento che innanzi tutto sostituisce la carta di identità classica. Quindi deve permettere il riconoscimento a vista della persona tramite fotografia. Deve quindi essere un “oggetto fisico” vero e proprio.

In secondo luogo, la CIE contiene anche un chip (e altri elementi ottici) che permettono di memorizzare informazioni digitali (incluse le “chiavi digitali”).

In questo senso, la CIE ha due funzioni:

  1. Strumento di identità “classico”.
  2. Contenitore delle credenziali digitali per l’acceso ai servizi su Internet e di altre informazioni digitali (per esempio, le impronte digitali).

La CNS (Carta Nazionale dei Servizi) è un tesserino che copre solo le funzioni digitali della CIE. Essa quindi non costituisce uno strumento equivalente alla carta di identità che tutti abbiamo, ma consente solo l’accesso ai servizi digitali. Non posso, per esempio, usare la CNS per salire a bordo di un aereo o per farmi riconoscere ad un posto di blocco della Polizia.

Perché quindi è stata introdotta e che relazione ha con la CIE?

È stata introdotta perché il processo di emissione delle CIE è sempre stato molto lento. Tecnicamente, è compatibile con le specifiche “digitali” della CIE. Quindi, a regime le CNS dovrebbero sparire visto che tutto si potrà fare solo con la CIE.

La CNS in realtà non è una carta in sé, ma un insieme di requisiti tecnici che possono essere poi utilizzati da diversi enti per creare proprie carte tutte compatibili tra loro. Per esempio, le CRS (Carte Regionali dei Servizi) emesse dalla Regione Lombardia sono coerenti con la standard CNS e quindi anche coerenti con la parte digitale della CIE.

4. I problemi della CIE

Perché la CIE dopo oltre dieci anni ancora non è diffusa presso tutti i cittadini?

Il processo di emissione è molto complesso e articolato. Ma credo che il principale problema tecnico sia sempre stata la mancanza di una anagrafe unica della popolazione. I dati della CIE, infatti, devono essere coerenti con quelli registrati nei sistemi anagrafici dei comuni. Ad oggi, ogni comune ha le sue anagrafi. Negli anni 2000 fu avviato il progetto per creare l’Indice Nazionale delle Anagrafi. Questo sistema non ha mai risolto completamente il problema, per motivi sia tecnici che procedurali. Il progetto ANPR (Anagrafe Nazionale della Popolazione Residente) ha proprio lo scopo di andare alla radice del problema. In questo nuovo scenario, esiste un’unica anagrafe presso il Ministero degli Interni alla quale fanno riferimento tutti i comuni.

Ma la CIE è stata anche condizionata da una serie di altri problemi: alti costi, architettura tecnica del sistema di gestione farraginosa, utilizzo di una banda ottica utilizzata in pochissimi altri progetti di questo tipo. Per di più, il tema “tessere” e “carte” è sempre stato un terreno di confronto tra diverse amministrazioni. Molte di esse hanno visto nel processo di emissione e gestione delle carte un elemento distintivo e irrinunciabile. Nel corso del tempo è accaduto che di questo tema se ne siano occupati i comuni, le regioni, il Ministero degli Interni, il Ministero della Salute (per il tesserino sanitario), il Ministero dell’Economia e SOGEI (tesserino sanitario e codice fiscale), il Poligrafico dello Stato (che produce le CIE). È indubbio quindi che un’altra grossa complessità deriva da una caotica molteplicità di strumenti e di soggetti che sono coinvolti a vario titolo sul tema “strumenti di identificazione del cittadino”.

Quindi, ci troviamo di fronte a problemi tecnologici ed ad un sovrapporsi di ruoli e compiti amministrativi che complicano a dismisura la risoluzione del problema.

5. SPID

In questo quadro entra in gioco SPID. A che serve? Va innanzi tutto detto che SPID non è una credenziale per il riconoscimento di una persona. SPID consente di ottenere quella si chiama circolarità nella gestione dei processi di riconoscimento di un soggetto. Che significa?

Come si diceva in precedenza, per accedere ai servizi digitali è necessario disporre di credenziali digitali. Esse sono informazioni codificate in modo da consentire al gestore di un sito o di una app di verificare l’identità dell’utente che ne fa uso.

Le credenziali digitali possono essere memorizzate su una carta dotata di microprocessore, come lo sono la CIE e le CNS/CRS. È però anche possibile richiedere ad altri soggetti (autorizzati) credenziali digitali equivalenti (per i servizi di home banking, le banche già offrono servizi di questo tipo). Perché questa scelta? Per una serie di motivi come spiega bene il sito dell’Agenzia per l’Italia Digitale. (Nota: con “IdP” si intende Identity provider, cioè il soggetto autorizzato a generare una identità digitale.)

  1. Principio della libertà di scelta dell’utente. Ogni cittadino potrà scegliere l’IdP che vorrà e smettere di usare un provider se lo desidera.
  2. Nessuna banca dati centralizzata delle identità. Per proteggere la privacy degli utenti, ogni IdP sarà responsabile dello svolgimento in modo sicuro delle attività connesse, mentre ogni service provider – pubblico o privato – avrà accesso solo ai dati di cui ha bisogno per erogare il servizio.
  3. Sicurezza. Utilizzando diversi IdP il sistema è più sicuro e meno vulnerabile; non esiste un singolo elemento che possa interrompere il servizio e nessun servizio unico che disponga di tutti i dati in un unico luogo.
  4. Sviluppo di un mercato. Gli IdP hanno la libertà di progettare servizi per soddisfare le norme dettate dal governo. Ciò consentirà loro di sviluppare servizi che possono essere utilizzati sia dal settore pubblico che privato, con conseguente riduzione dei costi.
  5. Sfruttare al massimo la tecnologia disponibile. La tecnologia e i metodi per la verifica delle identità sono in continua evoluzione. Le organizzazioni del settore privato, operando già in questo ambito, sono in una posizione migliore rispetto a qualunque pubblica amministrazione per tenere il passo con gli sviluppi di mercato.

Nel mondo digitale, quindi, ci saranno una molteplicità di soggetti abilitati a generare identità digitali per un cittadino. Queste identità, come si diceva in precedenza, sono una versione più potente delle identità già oggi generate da aziende come Facebook, Google o Twitter in quanto si basano su un processo di emissione che verifica la vera identità dell’utente e quindi, di conseguenza, abilitano all’accesso di servizi sensibili.

Allo stesso tempo, uno dei problemi che tutti noi sperimentiamo è la moltiplicazioni dei sistemi di riconoscimento usati per accedere a siti e servizi telematici. Spesso, uno dei principali problemi che abbiamo è ottenere e ricordare tutte gli username, password, PIN, codici vari necessari per accedere a questo o quel servizio. Sarebbe comodo avere una unica identità digitale, prodotta da uno qualunque dei soggetti abilitati, che mi permetta di accedere a tutti i servizi che richiedono una qualche forma di riconoscimento dell’utente.

Perché ciò possa accadere, in un mondo dove più soggetti possono generare e offrire “identità digitali”, è necessario che ci sia un modo per far si che chi offre un servizio possa riconoscere una persona indipendentemente da chi sia l’Identity Provider che ha generato e gestisce la credenziale digitale.

SPID serve a questo: gestire la circolarità delle credenziali digitali. Non è SPID a fornire una identità digitale e SPID non è in alcun modo equivalente ad un documento di identificazione a vista come la carta di identità.

L’amico e collega Massimiliano Pianciamore (che ha fatto parte della Unità di Missione di Francesco Caio e ha lavorato su SPID) mi ha suggerito la seguente metafora del lasciapassare per spiegare il ruolo giocato da SPID:

Quando mi presento ad un servizio che non mi conosce, il servizio chiede di farmi identificare da qualcuno che  “mi conosce” (ovvero un Identity Provider sa verificare le mie credenziali). Deve essere un IdP di cui il servizio stesso si fida e che deve essere in grado di produrre un “lasciapassare”. Il servizio guarda il lasciapassare emesso da “chi mi conosce”, controlla che sia firmato da un soggetto di cui si fida e consente l’accesso all’utente. SPID rende possibile questa interazione con tutti gli Identity Provider riconosciuti.

Per spiegare ulteriormente il ruolo di SPID, possiamo descriverlo per analogia con il sistema GSM (è solo una analogia che non deve essere interprata in modo puntuale!). Grazie a GSM, quando un utente con il suo cellulare e la sua SIM (che lo identifica in modo univoco) si presenta in un territorio non coperto dal proprio operatore mobile, scatta il meccanismo del roaming. Esso è un sistema che permette a un operatore A di riconoscere la SIM di un altro operatore B anche se quell’utente non ha mai sottoscritto i servizi dell’operatore A: esiste un processo automatico di riconoscimento mutuo. SPID farà la stessa cosa nel caso di amministrazioni e soggetti diversi: una volta ottenuta una identità digitale valida, essa potrà essere spesa presso tutti i servizi che aderiscono a SPID, anche se tale identità non è stata da essi creata e gestita.

6. Quindi, cosa serve e cosa manca

Ma alla fin fine, a me cittadino che cosa serve?

  1. Serve un documento di identità “fisico” che possa usare nelle tante situazioni dove questo è richiesto come, per esempio, in un aeroporto. Potrebbero bastare patenti e passaporti, ma non è detto che un cittadino debba per forza dotarsi di uno di essi.
  2. Serve una identità digitale per accedere a servizi su Internet.

La CIE (o il nuovo Documento Digitale Unificato) potrebbe offrire tutto ciò in un unico “tesserino”. Peraltro, secondo alcuni ormai la CIE (o in generale una carta) non serve più. In effetti potrebbe bastare una identità digitale conservata sul cellulare o su altro device fisico in possesso del cittadino. Per i controlli a vista e ogni altro servizio si potrebbe ricorrere a dispositivi di lettura che, quando il cittadino si presenta per l’identificazione con il suo device, rilevano la sua identità digitale che viene trasmessa al server dell’identity provider; tramite Internet si potrebbero così recuperare foto e ogni altro dato della persona da controllare (o servire). In questo modo si potrebbe sostituire il riconoscimento a vista tramite foto sul “tesserino fisico”, con la richiesta in tempo reale dei dati da un server centrale. Non credo siamo ancora pronti per questo scenario e quindi credo che un qualche dispositivo “tessera con foto” sia ancora necessario.

Di certo, non serve continuare a creare tanti “tesserini” e carte diverse, spesso voluti da questa o quella amministrazione per motivi francamente incomprensibili (so to speak …).

In generale, tengo a sottolineare che la disponibilità di un sistema di gestione delle identità digitali efficiente (come quello previsto da SPID) non risolve di per se stesso il problema dell’offerta di servizi utili al cittadino. I servizi utili devono essere sviluppati dalle amministrazioni (e dai privati) e, semmai, potranno beneficiare della presenza di SPID per semplificare la fase di riconoscimento del cittadino. Quindi è anche sbagliato (e controproducente) attribuire a SPID proprietà salvifiche. Da solo serve a poco. È un tassello utile in un puzzle fatto da molti pezzi. Per cui la sfida è costruire attorno a SPID un quadro complessivo che abbia senso e che risponda realmente alle esigenze e attese dei cittadini.

9 Comments

  1. Completa la descrizione del problema e delle sue dimensioni.
    Mi permetto di non credere che soluzione SPID sia la migliore da perseguire perchè prevedendo una molteplicità di identificatori rende molto complesso il sistema e ne aumenta la fragilità.
    Intuitivamente concordo con la necessità di un “cartoncino identificativo” che però è sempre un punto di fragilità perchè falsificabile con una certa facilità.
    Noi tutti abbiamo un password univoca costituita dalle nostre impronte digitali. Potrebbe essere sufficiente costruire una app che legge le impronte, accede all’Anagrafe nazionale e restituisce foto e fati anagrafici.
    Come al solito il punto critico è una vera Anagrafe nazionale alimentata “praticamente on line” dai sistemi di rilevazione locali.

    16/08/2014
    Reply
  2. Ottima analisi.
    SPID è importante e necessario. Importante è anche evidenziare che:
    A. Fare l’Identity Provider (IdP) è un business.
    B. i più grandi IdP italiani sono oggi:
    1. Poste Italiane (guidate proprio da Francesco Caio che da Commissario per l’Agenda Digitale spinse molto questo progetto)
    2. le Banche
    3. Le Telco
    4. INPS.

    16/08/2014
    Reply
  3. L’identità digitale ed il sistema pubblico per la gestione dell’Identità Digitale sono uno dei punti centrali della digitalizzazione del rapporto tra cittadino e Stato. In un “Piccolo vademecum sull’Identità Digitale” Alfonso Fugetta ha provato a stendere i termini della questione che riguarda, per essere più chiari, il fallimento della cosidetta carta d’identità elettronica (Cie). Non è che la carta d’identità elettronica di per sé sia un fallimento, o che lo siano le tecnologie in essa utilizzabili (chip, banda magnetica, chip, elementi ottici). E’ fallito però il tentativo di costruire un sistema funzionante generalizzato su base nazionale. Solo tra le righe Fugetta evoca gli ostacoli che hanno impedito a sistemi e tecnologie pronte da metà anni ’90 di entrare nella vita reale, come avvenuto alle carte bancomat. Per amore di chiarezza, si può indicare come primo problema la proprietà delle relative anagrafi da parte dei Comuni che emettono le carte d’identità. L’anagrafe nazionale potrebbe essere contenuta agevolmente presso un unico ente centrale al cui database puntare per gestire i dati identificativi dei cittadini. Fugetta cita il progetto (ANPR Anagrafe Nazionale della Popolazione Residente) che si basa su un’unica anagrafe presso il MinInterni. La scelta di un unico database implica un’unica proprietà di quelli che sono ottomila enti che senza l’anagrafe risulterebbero in gran parte enti ridotti a uffici perifici ministeriali. Ne seguirebbe il problema del rapporto prefetture- comuni denudati e della rappresentanza democratica territoriale. Come si vede, si è ben lungi dall’affrontare un mero problema amministrativo o tecnologico. Si è invece nel delicato territorio dei poteri della macchina pubblica. La trasformazione digitale pone il problema politico della frammentazione del potere comunale di anagrafica e degli altri poteri conseguenti, tanto più che nessuno dei soggetti economici che trattano milioni di anagrafiche, sono ricorsi ai Comuni, preferendo costruirsele per conto proprio. I progetti che hanno dato vita all’INA, Indice Nazionale delle Anagrafi nel 2001 (l’INTE.G.R.A del 1993 ed il Sistema di Accesso ed Interscambio Anagrafico SAIA del 1998), messi in campo da ANCI, Ancitel, AIPA(poi DigitPA, poi Agid) e Mininterni, si sono sempre preoccupati di non cambiare nulla dei poteri vigenti delle singole amministrazioni. Per loro ammissione, non sono esaustivi, poiché una parte dei Comuni non partecipa all’Ina. I sistemi che permettono ai singoli database di interscambiarsi dati badano a rispettare le singole autonmomie gestionali. La logica della tecnologia informatica, che accorcia spazi e tempi, spingerebbe nel senso contrario, ad unificare tutto il patrimonio anagrafico. La stessa logica, però si chiede a quali funzionalità si presti questa massa di indirizzi, cap, nomi e cognomi. Tutte quelle più importanti per la macchina pubblica, quelle fiscali, hanno repliche delle anagrafiche oltre a possederne uno vitale, quello economico del codice fiscale. Si finisce per chiedersi se abbiano senso le anagrafiche comunali, fondamentali alla fin fine solo per l’ufficializzazione dello stato in vita o dell’avvenuta morte. Fugetta in effetti ricorda che per esempio, in USA e in UK non esiste la carta di identità. E ad al suo posto si usano patenti, passaporti financo tesserini di riconoscimento di lavoro. L’eliminazione della carta d’identità sembra avere oggi avere senso compiuto. Può però spaventare per l’enorme buco di attività che verrebbe a creare nell’amministrazione pubblica. I municipi e i Comuni ne risulterebbero offesi in gran modo. Anche molta parte dell’amministrazione centrale vedrebbe cancellati molti dei suoi compiti. Molti vi vedrebbero un vulnus per la sicurezza, venendo meno alle forze dell’ordnine la possibilità di chiedere il documento identificativo. L’eliminazione della carta d’identità, come risultato dello studio per la sua trasformazione in corrispettivo digitale porterebbe al vantaggio di semplificare la macchina burocratica, obbligarla alla riorganizzazione interna e rivedere il senso politico-organizzativo di ottomila comuni. Tutto ciò perché l’identità digitale, spostando il rapporto tra cittadino e Stato dal piano fisico a quello dell’interattività digitale, rende superfluo gran parte del primo e sposta il tema del rapporto dal mero ricooscimento allo scambio dei servizi (dove deve essere chiaro che anche l’obbligo fiscale è un servizio). In questo rapporto digitale, nel caso e fino a quando non siano previsti servizi attivi e passivi in campo, né il cittadino, né lo Stato hanno motivo di rapportarsi l’un l’altro. In questo senso prima di lasciare il ruolo di Mister Digitale, Caio parlava di necessità di una revisione costituzionale digitale.

    16/08/2014
    Reply
  4. ezio viola said:

    Grazie Alfonso del contributo e come sempre la tua analisi e descrizione delle problematiche sono chiare e lucide. Rimane un dubbio di fondo se l’architettura di SPID sia quella più semplice nella prospettiva della realizzazione concreta e in tempi “ragionevoli” ( visto i problemi organizzativi del passato e rimaniamo un Paese complicato ) prima che la tecnologia e le “abitudini” di utilizzo dei servizi digitali la rendano magari obsoleta. Inoltre sarebbe utile capire come altri Paesi hanno affrontato o stanno affrontando queste tematiche e se sono riutilizzabili nella nostra realtà.

    16/08/2014
    Reply
  5. Roberto Resoli said:

    Un piccolo commento ulteriore riguardo la CIE: i certificati dell’intestatario rilasciati dal Ministero dell’Interno riportano riferimenti ad un servizio di controllo revoca che non è mai entrato in funzione. In assenza di un servizio di revoca, è impossibile per un Service Provider gestire l’identificazione in maniera affidabile, dato che che in caso di compromissione (perdita/furto di token e/o PIN) non c’è modo di disabilitare l’accesso. La CIE (e di conseguenza la CNS) risentono poi di una lacuna nelle specifiche tecniche riguardo alla funzione di firma digitale, lasciata all’arbitrio dei vari certificatori. Questo ha fatto sì che si creasse una situazione di lock in, in cui ogni dispositivo necessita di una specifica libreria sw (che per ironia della sorte implementa lo standard PKCS11, perfettamente aperto), contenente una chiave crittografica simmetrica presente anche sulla carta. Quindi in maniera assai bizzarra, è possibile utilizzare sw libero per la funzioni di identificazione, ma non per quella di firma, nonostante vengano usati esattamente gli stessi algoritmi. La CIE è tra l’altro, per quanto ne so, l’unico eID nazionale a non prevedere una funzionalità di firma nel profilo standard.

    18/08/2014
    Reply
  6. Sandro Osnaghi said:

    Caro Alfonso,
    sebbene dopo essermene occupato per 13 anni trovi ormai stucchevole ritornare su questi temi e dopo la conclusione del lavoro della unità di missione Caio, che ormai un anno fa produsse una bozza di DPCM per SPID che non ha mai visto la luce, abbia personalmente deciso di lasciar perdere, ho apprezzato il tuo tentativo di ricostruire la vicenda dell’identità con il lodevole scopo di evitare che i “giovani” che se ne dovranno occupare ripetano gli errori del passato.
    Tutta la vicenda CIE che ho vissuto in prima persona dall’inizio era chiaramente destinata al fallimento, come ricordo di aver profetizzato (essendo una ben nota Cassandra) direttamente ai ministri allora coinvolti nel dicembre 2000 e purtroppo ci sono voluti 14 anni in cui si sono comunque spesi un mucchio di soldi per rendersene conto. Ma, come sai i politici, anche amici, non ascoltano mai i tecnici.
    Tuttavia nelle tue conclusioni “Quindi cosa serve e cosa manca” ritrovo i pericoli di ripercorrere una strada sbagliata e te lo voglio segnalare.
    Ai fini dell’accesso ai servizi erogati in internet serve solo una identità digitale. non servono documenti di riconoscimento personale a vista. A partire dalla identità digitale, qualunque operatore autorizzato potrà accedere agli attributi anche visivi della identità personale.
    Gli scopi sono quindi diversi e perseverare nell’errore di unificare le due tipologie di documenti che non potrebbe che realizzarsi con una smart card riprodurrebbe la situazione di CIE e CNS che nessuno, pur avendone la disponibilità, ha mai potuto usare in pratica per accedere a servizi erogati in internet, nonostante le errate prescrizioni di legge tuttora vigenti lo impongano. A cosa serve oggi, ad esempio, un documento patente, quando qualsiasi agente può accedere agli attributi personali di un conducente (la foto, la scadenza, ecc.)?
    La caratteristica fondamentale della identità digitale (o meglio delle credenziali) è la sua portabilità da un computer all’altro senza richiedere installazioni particolari di hardware o software. Senza entrare in complesse tematiche tecniche questo non può avvenire utilizzando la tecnologia delle smart card (che peraltro funziona benissimo qualora si acceda ai servizi da stazioni di lavoro attrezzate e gestite) e da questo punto di vista le soluzioni ormai adottate da tutte le banche dovrebbero insegnare. Quello che va perseguito è piuttosto un obiettivo di unificazione delle credenziali per service provider diversi (SPID).
    Non ritorniamo quindi su proposte sbagliate di integrazione e unificazione di strumenti che hanno scopi diversi solo per compiacere una vacua idea di semplicità.
    Un abbraccio
    Sandro

    23/08/2014
    Reply
    • Alfonso Fuggetta said:

      Caro Sandro,

      grazie del tuo commento.

      A tendere sono convinto anche io, e infatti l’ho scritto, che basti l’identità digitale. Non sono certo siamo pronti, in ogni ambito in cui serva riconoscere una persona, ad usare solo l’identità digitale per recuperare gli attributi visivi e di qualunque altro tipo necessari.

      Ripeto, sono convinto anche io che sarebbe la soluzione ottima. Mi chiedo solo se l’intero sistema paese sia pronto a fare a meno di un sistema di riconoscimento a vista. Pensando anche che deve poter essere usato, tra le altre cose, all’estero.

      A meno che non si decida di avere due documenti separati: una “carta di identità” classica (non digitale) e una identità digitale separata. Può essere una idea da perseguire. Forse alla fine è quella che costa meno e ci porta più velocemente al traguardo. Certo, è un cambio di strategia netto.

      Quando passi dal CEFRIEL ne parliamo!

      Un caro saluto e un abbraccio a te,

      Alfonso

      23/08/2014
      Reply
  7. Mi compiaccio per lo sforzo didascalico e di ricostruzione storica (che ha elegantemente sfiorato i protagonismi delle diverse amministrazioni tra le cause del vergognoso sperpero di tempo e denaro in questi anni).
    Ritengo vada dato atto a Francesco Caio ed al gruppo di lavoro SPID di aver riportato il focus sulle poco avvenenti fondamenta (anagrafe, identità digitale) su cui non può che basarsi qualsiasi progetto di digitalizzazione di servizi ai cittadini.
    Nel sottolineare come è importante non confondere (cosa che certamente è chiara a Fuggetta che lo ricorda nell’articolo) e disgiungere le credenziali digitali da un eventuale supporto fisico tipo smart card, che a mio avviso -se non resusciterà rinnovata la cie – tenderanno ad essere (le credenziali) sempre più immateriali lasciando ancora per anni al cartaceo il compito di risolvere le prassi aereoportuali et similia, concordo pienamente con la conclusione dell’articolo che inquadra correttamente spid come un tassello di un puzzle complesso. Basti pensare che moltissime amministrazioni pubbliche non sarebbero oggi in grado di “agganciare” attorno alla identità certa di un “loro” cittadino il grande patrimonio di informazioni che di questi detengono, in quanto i diversi silos applicativi in cui le Amministrazioni sono organizzate non sono in grado di riconciliare i dati attorno al soggetto e quindi la sfida della interoperabilità tra banche dati (anche all’interno del medesimo Ente) sarà senz’altro una delle prossime poco avvenenti priorità che il Paese dovrà darsi.

    23/08/2014
    Reply

Rispondi