Nuova legge sulla Cyber Security approvata in Cina: la mossa di un governo paternalistico che guarda minaccioso alle potenze estere
19 dicembre 2016
Cyber Security e Internet of Things
10 gennaio 2017

La crisi di identità dell’identità digitale

PREMESSA

L’identità digitale ha raggiunto i vent’anni di significativa esistenza. I PIN fiscali e previdenziali hanno segnato l’epoca dei grandi servizi in linea, temporalmente successivi di poco allo sviluppo dei servizi della pubblica amministrazioni su Internet.

Oggi siamo ad un presunto punto di svolta, il PIN ancora pienamente in vita ha ceduto un po’ di spazio alla Carta Nazionale dei Servizi (CNS), la Carta d’Identità Elettronica (CIE) inizia una nuova vita che si spera migliore rispetto alle due precedenti. E poi c’è il Sistema Pubblico di Identità Digitale per cittadini e imprese (SPID) che nel marzo 2016 dovrebbe vedere online (finalmente) l’elenco pubblico dei soggetti autorizzati al rilascio delle identità digitali. Questo progetto viene annunciato come il momento cruciale per l’accesso ai servizi in rete di PA e imprese tramite il cosiddetto PIN unico (che non è un PIN e non è unico, ma la comunicazione politica ha le sue regole, che rispettiamo).

Un extraterrestre che leggesse questa premessa sarebbe certamente incuriosito dalla storia, sin qui appena accennata, dell’identità digitale e potrebbe essere tentato di cercare le informazioni del passato. Per aiutarlo, di seguito si sintetizza la storia, certamente in modo parziale, dell’identità digitale nei servizi pubblici. Un altro articolo tra vent’anni ci descriverà come è andata a finire.

CENNI STORICI

Il tema dell’identità digitale si manifesta per la prima volta in modo significativo nell’articolo 10 della Legge 127/1997 dove si parla di carta d’identità su supporto magnetico. La spinta garantita dalla diffusione di Internet e dalla conseguente messa in opera dei portali fiscali e previdenziali porta ad una diffusione del PIN. Il codice è dedicato al servizio e consente l’accesso solo al portale dell’amministrazione emettitrice.

La disponibilità dei fondi UMTS e i conseguenti finanziamenti per il cosiddetto e-government fanno scaturire la Carta Nazionale dei Servizi (CNS). Il messaggio politico dell’allora Ministro dell’innovazione Lucio Stanca era che non aveva senso disporre di servizi online senza uno strumento unificato d’accesso e la diffusione della CIE nel 2002 risultava ancora molto bassa. In particolare l’emissione era attiva in circa 130 comuni.

La CNS si diffonde in modo rapido in Lombardia associata ai servizi socio-sanitari ma il suo utilizzo è estremante basso a causa dell’indisponibilità presso i cittadini degli indispensabili lettori di smart card.

Qualche anno dopo per omogeneità di scopo, alla CNS si associa la Tessera Sanitaria (TS) nata per sostituire il tesserino del Codice Fiscale (CF) e gestire il monitoraggio della spesa sanitaria.

Nasce la TSCNS e i progetti da esclusivamente regionali diventano progetti cofinanziati dal MEF per la parte TS e quindi legati a specifiche convenzioni tra lo stesso e le Regioni. Alla data odierna la TS-CNS è diffusa per circa 40 milioni di unità. L’utilizzo reale è a macchia di leopardo con aree geografiche dove addirittura il microchip è inutilizzabile per la mancanza della procedura di rilascio del PIN o per l’assenza di significativi servizi online.

Nel frattempo la seconda fase della sperimentazione della Carta d’Identità Elettronica (CIE) ha raggiunto ad oggi 13 anni di vita, il progetto 17 anni con una diffusione del documento pari a circa un cittadino su venti. Alla data è anche necessario sottolineare che la CIE è inutilizzabile per l’accesso ai servizi in rete per assenza di adeguate infrastrutture di supporto al ciclo di vita del documento elettronico. La TS-CNS sta completando un ulteriore ciclo di vita di sei anni e la CONSIP ha aggiudicato un gara per ulteriori 57 milioni di CNS da distribuire in sostituzione di quelle che scadono nel tempo.

STATO DELL’ARTE

Il Governo ha, come è noto, tra i sui principali obiettivi di digitalizzazione lo SPID. Questo sistema genera il meccanismo virtuoso di una credenziale di accesso – un livello di accesso (i livelli sono tre) – tutti i servizi accessibili con tali credenziali.

Lo SPID si affianca alla TS-CNS ed alla CIE (facciamo riferimento alla nuova CIE) e l’ulteriore diffusione numerica della TS-CNS crea una duplicazione di credenziali che è opportuno gestire.

Nel corso del 2016 inizierà ad essere distribuita la nuova CIE, conforme alle specifiche tecniche del Passaporto Elettronico ma in grado di gestire l’identità mediante meccanismi a radiofrequenza (contact less chip). Come mostrato pubblicamente da un esponente governativo la nuova CIE è in grado di interagire con i servizi in rete tramite uno smart phone dotato di interfaccia NFC (sempre più diffusa). Questo consente di disporre di un lettore per la CIE senza che sia necessario comprarne uno ad hoc.

Ma nel frattempo si è incrementato il numero dei PIN rilasciati in sede fiscale e previdenziale fino a superare i 25 milioni di credenziali in possesso di cittadini e professionisti. Se si considerano anche le credenziali rilasciate in modo settoriale per scopi specifici possiamo ipotizzare oltre 40 milioni di codici distribuiti. Tutti specifici per l’organizzazione che li ha rilasciati e i servizi che ad essa fanno riferimento.

CONSIDERAZIONI FINALI

L’extraterrestre potrebbe avere le idee confuse con tutte queste identità conseguenza di questa diffusione di identità disomogenee e parallele. E si potrebbe chiedere se sono in cantiere proposte di razionalizzazione e ottimizzazione.

La spinta verso SPID è forte e inevitabile. Il fatto che le PPAA siano obbligate ad adeguare i loro servizi alle identità SPID in 24 mesi non è un aiuto alla diffusione del progetto. Il decreto ministeriale 23 dicembre 2015 stabilisce le nuove modalità di emissione della CIE. Il testo dello schema del nuovo Codice dell’amministrazione digitale (CAD) in evoluzione alla data della scrittura del presente articolo stabilisce la coesistenza tra SPID, CIE e CNS. Viene abrogato il comma 8- bis dell’art. 66. Quindi viene risolto il dilemma della coesistenza tra CIE e CNS presso lo stesso titolare.

La CNS continuerà ad essere emessa (da contratto pubblico) per altri 5 anni e varrà per 6 anni dalla data di emissione. Quindi le ultime CNS dovrebbero scadere nel 2027.

Nel frattempo SPID avrà compiuto ampiamente i dieci anni di vita. Peraltro già da adesso SPID deve trovare un modello di business che gli consenta di sopravvivere economicamente. Questo modello non può prescindere dal pagamento delle credenziali da parte degli utenti. Questo dovrebbe avvenire dopo due anni dalla prima emissione delle credenziali.

Al momento non si hanno notizie certe sul tema per le quali servirà la lettura degli schemi di convezione SPID tra AgID e il gestore dell’identità digitale. Qualora le identità dovessero essere a pagamento, esse dovranno essere appetibili tramite i servizi disponibili o saranno inevitabilmente percepite come un’altra tassa (situazione equivalente è stata l’obbligo delle caselle di PEC per professionisti e imprese), il che non ne favorisce lo sviluppo.

Nello schema del nuovo CAD troviamo un possibile nuovo impulso nel nuovo articolo 64-bis, comma 1 che stabilisce: 1. I soggetti di cui all’articolo 2, comma 2, rendono fruibili i propri servizi in rete, in conformità alle regole tecniche di cui all’articolo 71, tramite il Punto unico di accesso telematico attivato presso la Presidenza del Consiglio dei ministri senza nuovi o maggiori oneri per la finanza pubblica. Si tratta del più volte annunciato Italia Login.

Concludiamo con la considerazione che le buone intenzioni ci sono. Ma quando ci si volta indietro e si ricorda “Dalle code al click” (per maggiori informazioni basta un buon motore di ricerca) viene la speranza che la frase “ciò che è passato è prologo – William Shakespeare, La tempesta” debba essere letta in modo ottimistico, perché la speranza che stavolta funzioni non deve abbandonarci.

A cura di: Giovanni Manca

Giovanni Manca

Esperto di dematerializzazione e sicurezza ICT e Presidente di ANORC

Giovanni Manca: laureato in Ingegneria Elettronica, svolge attività di consulenza sulle tematiche di dematerializzazione e sicurezza ICT. Da circa 25 anni si occupa di attività tecnologiche nel settore dell’ICT avendo spaziato nel corso degli anni dal network and system management alle infrastrutture a chiave pubblica (PKI).
Ha partecipato alla creazione della prima firma elettronica nella pubblica amministrazione, alla messa in linea
del primo sito internet della fiscalità, al primo progetto pubblico di disaster recovery di dati fiscali, alla progettazione della Carta Nazionale dei Servizi e della Carta d’Identità Elettronica. Ha partecipato alla stesura delle più importanti normative tecniche sui temi dell’e-government. Attualmente è senior advisor sulle tematiche di dematerializzazione e sicurezza ICT per alcune primarie società di settore e Presidente di ANORC.

AIFAG: Associazione Italiana Firma elettronica Avanzata Biometrica e Grafometrica, promuove e sostiene nel mercato delle firme – caratterizzato ancora da disomogeneità - l'adozione di standard sicuri e interoperabili, inoltre stila e fornisce linee guida e best practice sull'utilizzo corretto della firma elettronica avanzata, biometrica
e grafometrica (www.aifag.it).

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy