SPID usato per anni con un documento annullato. Ecco perché serve il passaggio a CieID

39 milioni di account SPID attivi in Italia sono davvero tanti, il numero equivale al 78% della popolazione maggiorenne. Possiamo quindi affermare che praticamente TUTTI, in Italia, hanno un account SPID attivo e i motivi per averlo sono ben chiari. Per i siti della Pubblica Amministrazione è praticamente obbligatorio utilizzare un sistema di identità digitale per accedere ai servizi. Non è solo una questione di necessità, ma anche di praticità, perché accedere a un servizio, pubblico o privato che sia, tramite SPID è molto più comodo rispetto a doversi ricordare username e password. Abbiamo poi parlato spesso su Edge9 del valore che ha un servizio come lo SPID nel più ampio processo di digitalizzazione del Paese e, più nello specifico, nel percorso di trasformazione digitale delle aziende. 

Quando si parla di identità digitale, l’obbligo o la praticità sono solo due elementi da prendere in considerazione. Ne manca uno, decisamente il più importante: la sicurezza. Dobbiamo essere certi che tutto il sistema garantisca un elevato livello di sicurezza e, cosa direi fondamentale per questo tipo di servizi, che ci sia una garanzia assoluta che venga riconosciuta l’identità corretta di chi sta accedendo al servizio. Guardando il tema da una prospettiva diversa, dobbiamo anche essere certi che solo il titolare di un una determinata identità “reale” possa presentarsi con la sua identità digitale quando accede a un determinato servizio.

SPID, CieID e il futuro dell’identità digitale in Italia

Lo SPID è il servizio di identità digitale più diffuso non solo in Italia, ma anche in Europa, sia in termini assoluti, solo la Francia ha un sistema simile altrettanto diffuso, sia in termini relativi, escludendo un paio di Paesi Scandinavi dove la penetrazione è maggiore, ma la popolazione è decisamente inferiore. In un Paese come la Germania, in generale i servizi di identità digitale sono praticamente inesistenti con una penetrazione inferiore al 10%.

Esiste già in Italia un servizio alternativo allo SPID, legato alla carta di identità elettronica, che nei prossimi anni sostituirà lo SPID, anche per uniformarsi alle normative europee. È quindi già deciso che lo SPID morirà e CieID, che oggi conta circa 6 milioni di utenti attivi, diventerà l’unico servizio utilizzabile. Negli ultimi mesi abbiamo riportato su Edge9 come a più riprese sia stato comunicato dagli enti preposti alla regolamentazione e la gestione dei servizi di identità digitale che, oltre agli obblighi normativi, passare da SPID a CieID avrebbe anche aumentato il livello di sicurezza nell’utilizzo del servizio. 

Una vicenda che ho vissuto in questi giorni mi ha testimoniato che ci sono degli elementi strutturali che confermano delle criticità del sistema SPID. Quello che mi è successo è da considerarsi quasi banale, ma è sufficiente per capire come alcune di queste criticità non siano sanabili nel breve periodo e quindi è auspicabile che il passaggio a CieID avvenga nel più breve tempo possibile.

Un caso concreto che svela i limiti strutturali dello SPID

Questi i fatti. Per accedere alla mia tessera sanitaria in formato digitale, ho aperto l’app IO e mi ha richiesto di reinserire le credenziali SPID, all’apparenza sembrava che fosse terminata la sessione, perché fino al giorno prima accedevo senza problemi. Quando ho provato a effettuare nuovamente l’accesso, senza inserire le credenziali, ma utilizzando l’app del provider del servizio di identità digitale, anch’essa installata sullo stesso smartphone, la procedura non è andata a buon fine. Il motivo era legato al fatto che risultava scaduto il documento di identità che avevo associato al mio account. Solo a quel punto mi sono reso conto che avevo aperto l’account SPID utilizzando una carta di identità che nel frattempo avevo annullato per problemi legati alla tessera fisica.

Quando ho ricevuto la nuova carta di identità elettronica ho commesso un errore, o forse una leggerezza, perché non ho aggiornato i dati della carta nel mio profilo associato allo SPID. Questa nuova carta è stata emessa nel 2020, quindi per quasi 5 anni il mio account SPID ha continuato a essere attivo, essendo associato a un documento non più valido e solo alla scadenza naturale della vecchia carta di identità ha smesso di funzionare.

Non esiste, e non può esistere per motivi che vedremo in seguito, un sistema che tenga aggiornati i provider di identità digitale che gestiscono lo SPID sulla validità dei documenti di identità che sono un requisito essenziale per identificare i soggetti che utilizzano il servizio. Il fatto che avere associato all’account SPID un documento valido sia fondamentale per l’erogazione del servizio è testimoniato dal fatto che, alla naturale scadenza del documento inizialmente caricato nel mio profilo, il mio account SPID ha smesso di funzionare.

Tralasciamo il fatto che il provider che mi offre il servizio SPID non mi abbia mandato una notifica per aggiornare il documento, il vero tema è che per quasi 5 anni il mio account SPID ha continuato a essere valido anche se il documento che comprovava la mia identità, nel frattempo, era stato annullato.

CieID come evoluzione necessaria: più sicurezza e controllo sull’identità digitale

Esistono due motivazioni per cui oggi non è possibile creare un sistema che tenga aggiornati i provider di identità digitale sulla validità dei documenti. Il primo è di carattere tecnico/burocratico: i documenti di identità sono gestiti da diversi enti pubblici, come i comuni per le carte di identità, i cui sistemi non sono integrati e, per quanto si parli da tempo di superare questa situazione, oggi non esistono soluzioni percorribili. Quindi non ci sono le condizioni tecniche per comunicare le informazioni sulla validità dei documenti ai provider di identità digitale. La seconda motivazione è legata alla privacy ed è altrettanto complessa, ma essenzialmente si può riassumere nel fatto che determinate informazioni legate a una persona non possono essere trasferite da un ente all’altro, pubblico o privato che sia.

La differenza fra SPID e CieID, da questo punto di vista, è sostanziale, perché è il Ministero dell’Interno a gestire, nel suo complesso, la carta di identità elettronica e il servizio CieID. Non ci sono quindi ostacoli tecnici, in teoria, o legati alla privacy che impediscano di legare il servizio CieID all’effettiva validità della carta di identità elettronica sottostante.

Possiamo quindi affermare che oggi è responsabilità di ogni individuo sincerarsi che il documento associato al proprio account SPID sia valido, dopo il check iniziale, quando confido che ci siano in piedi dei meccanismi in mano al provider di identità digitale per sincerarsi che il documento utilizzato sia valido nel momento in cui viene sottoscritto il servizio. Questa situazione apre degli scenari inquietanti, ad esempio, nel caso in cui un documento venga rubato, su cosa può effettivamente fare un malintenzionato con quel documento in mano.

Il fatto che le cronache non siano piene di incidenti legati all’utilizzo dello SPID può sicuramente rassicurare sul fatto che il mio sia un caso decisamente marginale, ma il problema esiste e non è l’unico, come quando avevamo parlato della possibilità per una singola persona di avere più account SPID attivi. Il passaggio a CieID, quindi, non va visto come un male necessario ma come uno step evolutivo che permetterà di rendere più sicuro un servizio che ormai siamo tutti abituati a usare.