Rispondiamo alla lettera di Alessandro Butti, sottosegretario alla Presidenza del Consiglio con delega all’Innovazione tecnologica, pubblicata sul Corriere della Sera in merito all’intenzione del governo di spegnere gradualmente il servizio SPID a favore della carta d’identità elettronica, CIE, come unica forma di autenticazione per cittadini e imprese per accedere ai servizi della Pubblica amministrazione.
Le affermazioni del sottosegretario non risultano né convincenti nella promessa di semplificare la vita digitale dei cittadini, né rassicuranti dal punto di vista della sicurezza e della tutela dei diritti individuali.
Butti afferma che (per fortuna) l’intenzione non è eliminare l’identità digitale, ma “averne solamente una, nazionale e gestita dallo Stato”.
Riteniamo che avere un unico provider di identità digitale sia più pericoloso del sistema federato di SPID, che conta oggi 11 società fornitrici del servizio ai cittadini, di cui 9 private e 2 pubbliche. Presenterebbe più rischi non solo per quanto riguarda la privacy, ma anche per le possibili minacce di cyber security alla democrazia liberale: ci sarebbe infatti un unico punto di attacco per manipolare l’identità digitale di un cittadino.
Questo non è uno scrupolo teorico: in Estonia, paese UE con livello particolarmente elevato di digitalizzazione dei servizi per i cittadini, nel 2017 sono state sospese le carte d’identità elettroniche rilasciate nei tre anni precedenti. Nelle parole di un responsabile governativo, il motivo è stato la scoperta di un “difetto di sicurezza che aveva risvegliato l’attenzione delle reti cybercriminali internazionali”. Raffronto: l’Estonia ha 1.325.000 abitanti, circa quanto l’Abruzzo, l’Italia ha un circolante di oltre 30 milioni di CIE.
Nel caso di un problema a un provider SPID, gli altri continuerebbero a funzionare. Senza contare che l’indipendenza di SPID da un supporto fisico lo rende meno vulnerabile.
Rispetto all’attuale sistema federato di identità composto da fornitori di servizi di autenticazione pubblici e privati, la tenuta del sistema centralizzato è quindi inferiore. La resilienza del modello attuale, in virtù dell’assenza di un punto unico di governo della rete di autenticazione, consente al sistema nel suo complesso di continuare a funzionare anche quando uno o più dei suoi elementi è vittima di un attacco.
Sempre in tema di sicurezza e tutela del cittadino, il sistema governativo di autenticazione tramite CIE ha oggi il medesimo livello di garanzie di sorveglianza di SPID? Che ne sarebbe del ruolo di AgiD?
“La CIE è un’identità digitale equivalente e sotto diversi profili migliore rispetto allo SPID”, prosegue la lettera.
Se è vero che il numero di detentori di SPID e della CIE si equivalgono all’incirca, sull’usabilità di quest’ultima parlano chiaro i dati di accesso. A novembre 2022 sono stati registrati 950 milioni di accessi con SPID, 19 milioni con CIE.
Le cause sono diverse. Resta il dato di fatto che dei trentatré milioni di italiani in possesso di una carta d’identità elettronica, la maggioranza usa comunque SPID. È facile ritenere che il motivo principale sia la facilità d’uso: SPID è meno macchinoso dell’autenticazione tramite CIE, che richiede un lettore di smartcard collegato al pc oppure uno smartphone con lettore NFC.
Quindi dopo l’infelice battuta strumentale sugli anziani tagliati fuori da SPID, dobbiamo supporre che lo Stato offra a tutti un bonus per l’acquisto di uno smartphone recente dotato di NFC? E la formazione necessaria per utilizzarlo?
Scendendo a questioni concrete, oggi molti possessori di CIE neppure ricordano il PIN (e il PUK) loro assegnato quando il documento d’identità viene rilasciato, senza il quale la CIE non funziona come sistema di autenticazione. Perché la CIE viene percepita dai cittadini come una Carta d’Identità di carta di credito anziché cartacea, non come un sistema di autenticazione.
Anche la Carta nazionale dei servizi è un sistema di autenticazione, ma viene considerata la tessera sanitaria per il medico e la farmacia, oppure il sostituto del vecchio tesserino del codice fiscale.
Reindirizzare questa percezione su milioni di cittadini è compito tutt’altro che facile.
La questione economica per Spid e Cie: costo per lo Stato
Altra argomentazione avanzata riguarda la questione economica: “lo SPID ha un costo per lo Stato”. Affermazione smentita dalla stessa legge che ha introdotto l’identità digitale seguendo un modello freemium in base al quale a pagare sono le aziende con l’estensione dell’obbligo di adozione dell’autenticazione mediante SPID da parte dei gestori privati di servizi pubblici, quali cliniche e ospedali privati. A loro carico è previsto un costo di gestione di circa 40centesimi/anno per utente.
Infine, il sottosegretario, riconoscendo i limiti amministrativi e tecnici alla diffusione della CIE, promette “di lavorare per assicurare il suo rilascio da remoto, a costo zero e in 24 ore”. Ci permettiamo di dubitarne fortemente. Se sui tempi di rilascio che variano da Comune a Comune si può sperare in misure di accelerazione, per ottenere una CIE i cittadini devono pagare 16,79 euro e recarsi fisicamente presso un ufficio comunale perché la CIE richiede una firma autografa e, in base agli accordi con l’Unione Europea, la rilevazione delle impronte digitali. Come si pensa di farlo, per posta?
Come Copernicani, riteniamo che CIE sia sicuramente un valido strumento di autenticazione digitale, ma da utilizzare in parallelo con SPID, che va mantenuto e non sostituito. Riteniamo che l’annuncio del sottosegretario non tenga conto di fattori rilevanti che oggi sono a favore di SPID. Ribadiamo infine l’importanza di un modello federato dei servizi digitali, per definizione più resiliente e rispondente alle prerogative di uno Stato di diritto.
Patrizia Feletig
Presidente dell’Associazione Copernicani
Articolo pubblicato su agendadigitale.eu
Latest
Mercoledì 31 maggio alle 18:00 – Vi farò pescatori di prompt – Paolo Benanti
L’etica prima della tecnica. L’intelligenza umana guarda, giudica e si interroga a proposito di quelle [...]
May
DepreDATI – Laboratorio di autodifesa dalla sorveglianza digitale – Martedì 6 e 13 giugno ore 17:30
I Copernicani lanciano DepreDATI – Laboratorio di autodifesa dalla sorveglianza digitale DepreDATI è un laboratorio [...]
May
Anche i Copernicani a Civil Week sul tema dell’inclusione e delle barriere digitali.
La Civil Week è un’iniziativa che si svolge a Milano e provincia dedicata allo sviluppo [...]
May
Mercoledì 17 maggio ore 18:30 – Privacy by design e Privacy-coins
I protocolli standard dei cryptoasset non permettono l’esecuzione di transazioni anonime. Nonostante l’anonimato venga spesso associato ai cryptoasset, [...]
May
Privacy e Intelligenza Artificiale, Quintarelli intervistato da Radio3 Scienza
La trasmissione radiofonica “Radio3 Scienza” ha ospitato il nostro socio Stefano Quintarelli lunedì 3 aprile [...]
Apr
Venerdì 17 marzo alle ore 17:00. Euro digitale, le implicazioni della futura moneta sovrana emessa dalla BCE (Incontro riservato)
Si apre un nuovo capitolo della storia della moneta, ha dichiarato Kristalina Georgieva, direttrice del [...]
Mar
Proposte per un piano di governo paneuropeo
Riceviamo un messaggio da Marco Cappato che volentieri pubblichiamo. Buongiorno, con Eumans e European Alternatives stiamo raccogliendo proposte per [...]
Feb
I Copernicani sono partner dell’Association Civic Tech Europe
I Copernicani sono diventati i partner italiani dell’Association Civic Tech Europe (ACTE), un’associazione dedita allo [...]
Jan
Giovedì 19 gennaio ore 18:30 – Il metaverso non è un fake. Come la realtà immersiva ribalta le banche
Mentre si afferma il modello di vita del mondo online descritto da Flamigni per un [...]
Jan