Il Decreto Milleproroghe 2020, approvato dal Presidente Mattarella il 30 dicembre 2019, contiene una serie di misure in materia di innovazione tecnologica. Tra queste c’è una proposta di riforma del Sistema Pubblico di Identità Digitale (SPID), che permette ai cittadini di creare un’unica Identità Digitale per accedere a tutti i servizi della Pubblica Amministrazione e di soggetti aderenti.

Operativo dal 2014, il sistema SPID è gestito attraverso una rete di “identity provider” accreditati ai quali i cittadini possono rivolgersi per ottenere l’identità SPID. Secondo le novità introdotte con il Milleproroghe 2020, la gestione delle identità digitali potrebbe venire centralizzata. Un’ipotesi non apprezzata da alcune associazioni.

Il testo del Decreto Milleproroghe 2020 è disponibile sulla Gazzetta Ufficiale.

A rischio sicurezza e resilienza del sistema SPID

In una nota congiunta Clusit, Associazione Italiana per la Sicurezza Informatica, e Associazione Copernicani hanno lanciato l’allerta su “l’incompatibilità di qualsiasi ipotesi di centralizzazione di SPID con i requisiti di sicurezza e resilienza fondamentali per assicurare il buon funzionamento del sistema stesso”.

Secondo le due associazioni, l’attuale modello di SPID, che prevede una gestione distribuita tra soggetti pubblici e privati, presenta un grado di affidabilità che una gestione centralizzata non potrebbe garantire.

Clusit e Copernicani ritengono che l’attenzione principale di chi è chiamato al voto sul decreto legge Milleproroghe in questo momento debba essere rivolta alla capacità di assicurare resilienza ad un sistema critico per la protezione dei servizi offerti dalla Pubblica Amministrazione, quale è SPID”, ha dichiarato Claudio Telmon, membro del Comitato Direttivo Clusit.

Supportare e sollecitare l’adozione dell’identità digitale SPIDè il presupposto per una crescente capacità delle organizzazioni pubbliche e private nel proteggere la sicurezza in rete dei cittadini e per contribuire alla definizione e alla difesa del perimetro digitale della Nazione”, aggiunge Davide Formica, segretario di Associazione Copernicani. L’Associazione riunisce studenti, lavoratori, imprenditori, ricercatori e politici con l’obiettivo di stimolare una cultura dell’innovazione in modo trasversale ai partiti politici.

Entrambe le associazioni riconoscono un ruolo centrale dell’Agenzia per l’Italia Digitale, che dovrebbe potenziare le proprio capacità di controllo, per garantire una reale capacità di applicazione della legge.

Favorire la diffusione del modello SPID

Per spingere sull’adozione del sistema SPID e garantire la sua sostenibilità, Clusit e Copernicani auspicano il coinvolgimento di attori qualificati, quali le banche, in qualità di Identity Provider SPID. “Il livello di sicurezza dell’autenticazione ai servizi di home banking è infatti oggi decisamente più alto di quanto offerto dalle Pubbliche Amministrazioni”, affermano le due associazioni.

Le banche, infatti, sono già soggette a controlli molto stringenti e a regolamenti specifici emanati a livello europeo, quale quello sull’autenticazione forte nell’ambito della Direttiva PSD/2. La proposta di Clusit e Copernicani è quindi che le banche offrano le proprie credenziali di accesso come credenziali SPID.

Ritenere adeguato il livello di sicurezza richiesto dalle normative di settore, e richiedere soltanto un eventuale adeguamento al Regolamento EIDAS, consentirebbe a milioni di italiani di disporre di credenziali SPID per l’accesso ai servizi della PA senza necessità di azioni aggiuntive, se non accettare una variazione contrattuale con la propria banca”, ha spiegato Telmon.

Un altro punto su cui ragionare è il ruolo del Domicilio Digitale per la prevenzione del furto di identità. Le due associazioni sottolineano che “l’invio obbligatorio di una notifica presso il domicilio digitale” di qualsiasi creazione di credenziale o di autenticazione SPID (o di altre attività come l’apertura di conti correnti, finanziamenti o altro) “potrebbe avere un impatto pari a quello dell’introduzione della notifica via SMS per l’utilizzo della carta di credito”.