Con buona pace dei 1.030.294 concittadini che l’Agenzia per l’Italia digitale accredita come fruitori di questo servizio pubblico (vedi) dubitiamo che i restanti 59 milioni conoscano i contenuti e le funzioni del “sistema SPID”, cui possono potenzialmente usufruire tutti i maggiorenni. Eppure esso é stato lanciato a più riprese da vari siti specializzati – come in anni passati la Carta nazionale dei servizi (vedi) o più anticamente la Carta d’identità elettronica (vedi) – come strumento “che cambierà la vita dei cittadini e delle imprese” (vedi qui) e che rivoluzionerà le pubbliche amministrazioni “Basta file e faldoni!” (vedi qui).
Di seguito alle precedenti esperienze similari (Carta nazionale dei servizi e Carta d’identità elettronica) che hanno messo in circolazione – con risultati sconosciuti – corpose quote di danaro pubblico, lo SPID é un acronimo che sta per Sistema pubblico per la gestione dell’identità digitale regolato e attivato col Decreto del Presidente del Consiglio dei Ministri del 24 ottobre 2014 – vedi qui. Al di là delle roboanti raffigurazioni, lo SPID consiste in una chiave d’accesso unica (userid e password) alle banche dati delle Amministrazioni pubbliche per ciascun cittadino o impresa, a sostituzione delle molteplici userid e password che oggi si usano per dialogare con Agenzia delle Entrate, INPS, Amministrazioni comunali etc. L’idea portante é quella di semplificare la vita del cittadino e dell’impresa (vedi qui più articolatamente).
Tuttavia le accattivanti presentazioni del sistema omettono di segnalare i punti di caduta dello SPID, che possiamo sommariamente indicare nel modo seguente:
a) lo SPID opera a valle dei sistemi organizzativi e informatici delle Amministrazioni pubbliche, per cui tutte le lentezze, le contraddizioni e le ridondanze eventualmente presenti nelle varie realtà amministrative non vengono certo sanate da un codice unico d’accesso; la riforma delle pubbliche amministrazioni non si fa né si provoca con lo SPID;
b) lo SPID é un servizio pubblico esternalizzato a qualunque soggetto privato abbia i requisiti richiesti dal DPCM sopra citato. I primi a entrare in campo sono stati Poste Italiane (vedi), TIM (vedi) e Infocert (vedi), seguiti poi da altri soggetti privati anche di piccolissime dimensioni (vedi in tal senso Sentenza del Consiglio di Stato – vedi qui-Giustizia- amministrativa – che ha annullato l’articolo 10 comma 3 del DPCM che prevedeva un capitale sociale non inferiore ai 5 milioni di euro per ottenere l’accreditamento). Tali soggetti privati non sono opere di beneficenza, per cui hanno libertà di fissare tariffe d’uso ai cittadini o imprese che intendano utilizzare lo Spid: quanto a dire che un servizio che attualmente le varie amministrazioni pubbliche forniscono gratuitamente diventa a pagamento! Si può parlare di questo? E’ una scelta tecnica obbligata? Probabilmente no, perché sarebbe stato sufficiente individuare un soggetto pubblico cui affidare per tutti il servizio di provider del codice SPID (si fece così quando fu istituito il codice fiscale). Di sicuro c’è che, ove tale modalità prenda piede e sostituisca i sistemi attuali, il cittadino si troverà a pagare un’altra “tassa” per accedere ai servizi pubblici;
c) l’esternalizzazione selvaggia della funzione di rilascio dello SPID pone, infine, il problema più delicato: quali margini di sicurezza offrono operatori privati – a volte poco più che una sigla – affinché sia preservata l’identità digitale dei cittadini? Quale meccanismo impedisce che siano create identità digitali corrispondenti a cittadini o soggetti inesistenti? Fino ad oggi la corrispondenza fra un’identità digitale e una persona fisica o giuridica é stata in qualche modo tutelata dai vari Enti pubblici detentori di dati sensibili attraverso l’attribuzione di password trasmesse per metà a un indirizzo mail e per l’altra metà direttamente all’indirizzo fisico di domicilio di tali soggetti! Il sistema SPID non sembra avere tali margini di sicurezza, ma al contrario una miriade di soggetti privati, interessati maggiormente ai margini di profitto piuttosto che alla tutela della sicurezza, offre spazi clamorosi di permeabilità dell’intero sistema informativo degli Enti pubblici. E’ aperta con ciò una falla grave alla tutela delle identità digitali dei cittadini e delle imprese e, perché no, anche all’eventualità di operazioni di hackeraggio nei confronti di Enti pubblici. Che questa sia una questione apertissima, ancorché sconosciuta ai più, ci viene articolatamente spiegato da Paolino Madotto, esperto di questioni digitali e informatiche, con gli articoli che qui sotto evidenziamo. Esiste “lo Stato” in questo Paese?
P. Madotto – Ma se rubano l’identità digitale a Totti?
P. Madotto – SPID: se il documento é falso: problemi di sicurezza
P. Madotto – Identità digitale a rischio truffa: come risolvere?