Rispondiamo alla lettera di Alessandro Butti, sottosegretario alla Presidenza del Consiglio con delega all’Innovazione tecnologica, pubblicata sul Corriere della Sera in merito all’intenzione del governo di spegnere gradualmente il servizio SPID a favore della carta d’identità elettronica, CIE, come unica forma di autenticazione per cittadini e imprese per accedere ai servizi della Pubblica amministrazione.
Le affermazioni del sottosegretario non risultano né convincenti nella promessa di semplificare la vita digitale dei cittadini, né rassicuranti dal punto di vista della sicurezza e della tutela dei diritti individuali.
Butti afferma che (per fortuna) l’intenzione non è eliminare l’identità digitale, ma “averne solamente una, nazionale e gestita dallo Stato”.
Riteniamo che avere un unico provider di identità digitale sia più pericoloso del sistema federato di SPID, che conta oggi 11 società fornitrici del servizio ai cittadini, di cui 9 private e 2 pubbliche. Presenterebbe più rischi non solo per quanto riguarda la privacy, ma anche per le possibili minacce di cyber security alla democrazia liberale: ci sarebbe infatti un unico punto di attacco per manipolare l’identità digitale di un cittadino.
Questo non è uno scrupolo teorico: in Estonia, paese UE con livello particolarmente elevato di digitalizzazione dei servizi per i cittadini, nel 2017 sono state sospese le carte d’identità elettroniche rilasciate nei tre anni precedenti. Nelle parole di un responsabile governativo, il motivo è stato la scoperta di un “difetto di sicurezza che aveva risvegliato l’attenzione delle reti cybercriminali internazionali”. Raffronto: l’Estonia ha 1.325.000 abitanti, circa quanto l’Abruzzo, l’Italia ha un circolante di oltre 30 milioni di CIE.
Nel caso di un problema a un provider SPID, gli altri continuerebbero a funzionare. Senza contare che l’indipendenza di SPID da un supporto fisico lo rende meno vulnerabile.
Rispetto all’attuale sistema federato di identità composto da fornitori di servizi di autenticazione pubblici e privati, la tenuta del sistema centralizzato è quindi inferiore. La resilienza del modello attuale, in virtù dell’assenza di un punto unico di governo della rete di autenticazione, consente al sistema nel suo complesso di continuare a funzionare anche quando uno o più dei suoi elementi è vittima di un attacco.
Sempre in tema di sicurezza e tutela del cittadino, il sistema governativo di autenticazione tramite CIE ha oggi il medesimo livello di garanzie di sorveglianza di SPID? Che ne sarebbe del ruolo di AgiD?
“La CIE è un’identità digitale equivalente e sotto diversi profili migliore rispetto allo SPID”, prosegue la lettera.
Se è vero che il numero di detentori di SPID e della CIE si equivalgono all’incirca, sull’usabilità di quest’ultima parlano chiaro i dati di accesso. A novembre 2022 sono stati registrati 950 milioni di accessi con SPID, 19 milioni con CIE.
Le cause sono diverse. Resta il dato di fatto che dei trentatré milioni di italiani in possesso di una carta d’identità elettronica, la maggioranza usa comunque SPID. È facile ritenere che il motivo principale sia la facilità d’uso: SPID è meno macchinoso dell’autenticazione tramite CIE, che richiede un lettore di smartcard collegato al pc oppure uno smartphone con lettore NFC.
Quindi dopo l’infelice battuta strumentale sugli anziani tagliati fuori da SPID, dobbiamo supporre che lo Stato offra a tutti un bonus per l’acquisto di uno smartphone recente dotato di NFC? E la formazione necessaria per utilizzarlo?
Scendendo a questioni concrete, oggi molti possessori di CIE neppure ricordano il PIN (e il PUK) loro assegnato quando il documento d’identità viene rilasciato, senza il quale la CIE non funziona come sistema di autenticazione. Perché la CIE viene percepita dai cittadini come una Carta d’Identità di carta di credito anziché cartacea, non come un sistema di autenticazione.
Anche la Carta nazionale dei servizi è un sistema di autenticazione, ma viene considerata la tessera sanitaria per il medico e la farmacia, oppure il sostituto del vecchio tesserino del codice fiscale.
Reindirizzare questa percezione su milioni di cittadini è compito tutt’altro che facile.
La questione economica per Spid e Cie: costo per lo Stato
Altra argomentazione avanzata riguarda la questione economica: “lo SPID ha un costo per lo Stato”. Affermazione smentita dalla stessa legge che ha introdotto l’identità digitale seguendo un modello freemium in base al quale a pagare sono le aziende con l’estensione dell’obbligo di adozione dell’autenticazione mediante SPID da parte dei gestori privati di servizi pubblici, quali cliniche e ospedali privati. A loro carico è previsto un costo di gestione di circa 40centesimi/anno per utente.
Infine, il sottosegretario, riconoscendo i limiti amministrativi e tecnici alla diffusione della CIE, promette “di lavorare per assicurare il suo rilascio da remoto, a costo zero e in 24 ore”. Ci permettiamo di dubitarne fortemente. Se sui tempi di rilascio che variano da Comune a Comune si può sperare in misure di accelerazione, per ottenere una CIE i cittadini devono pagare 16,79 euro e recarsi fisicamente presso un ufficio comunale perché la CIE richiede una firma autografa e, in base agli accordi con l’Unione Europea, la rilevazione delle impronte digitali. Come si pensa di farlo, per posta?
Come Copernicani, riteniamo che CIE sia sicuramente un valido strumento di autenticazione digitale, ma da utilizzare in parallelo con SPID, che va mantenuto e non sostituito. Riteniamo che l’annuncio del sottosegretario non tenga conto di fattori rilevanti che oggi sono a favore di SPID. Ribadiamo infine l’importanza di un modello federato dei servizi digitali, per definizione più resiliente e rispondente alle prerogative di uno Stato di diritto.
Patrizia Feletig
Presidente dell’Associazione Copernicani
Articolo pubblicato su agendadigitale.eu
Articoli recenti
Martedì 8 ottobre ore 21:00 – Startup in Italia – Difficoltà, Opportunità e Nuove Riforme
Appuntamento della serie #DialoghiCopernicani, ciclo di incontri aperti a tutti dove esploriamo temi attuali e rilevanti [...]
Set
Martedì 17 settembre ore 21:00 – Creatività artificiale, AI generativa e diritti d’autore.
Nuovo appuntamento online della serie #DialoghiCopernicani, con Carlo Piana, rinomato avvocato ed esperto nel campo [...]
Set
Martedì 16 luglio ore 21:00 – Telecomunicazioni Italiane ed europee: nuovi scenari
Dal 1 luglio TIM ha cessato di essere un operatore verticalmente integrato. Quali le ripercussioni [...]
Lug
Martedì 25 giugno ore 21:00 – Quando a votare sono le Intelligenze Artificiali.
Riflessioni sui sistemi di votazione a distanza nell’era dell’Intelligenza Artificiale. Incontro online via Zoom. Durante [...]
Giu
Quando una A.I. partecipa ad un sondaggio gestito da una A.I. – PolisOrbis
Durante l’ultima assemblea della Associazione Copernicani abbiamo presentato le nostre attività nel progetto Europeo Orbis. [...]
Giu
Lunedì 15 aprile alle 21:00 – “The Forbidden Fruit. DMA la nuova arma dell’antitrust EU?” con Lazar Radic
A pochi giorni dall’entrata in vigore del Digital Markets Act che mira a regolamentare il mercato digitale [...]
Apr
Martedì 7 novembre ore 21:00 – The Internet Con: How to Seize the Means of Computation – Cory Doctorow
L’incontro sulla “truffa di Internet”, in lingua inglese, previsto per lo scorso 11 ottobre, non [...]
Ott
ChatControl: la pedopornografia non si batte con la sorveglianza di massa
Articolo apparso su Agenda Digitale il 25 ottobre 2023 La proposta di legge Ue Child [...]
Ott
depreDATI a Milano Digital Week 2023
In occasione di Milano Digital Week, l’associazione Copernicani organizza depreDATI© il laboratorio di autodifesa dalla [...]
Set