Lo SPID: il nuovo sistema di identità digitale
SPID, Sistema Pubblico di Identità Digitale, è un acronimo con cui tutti noi abbiamo ormai imparato a familiarizzare. Si tratta, appunto, di un sistema che garantisce a tutti i cittadini e a tutte le imprese un accesso funzionale e sicuro ai servizi digitali della Pubblica Amministrazione, ma anche dei soggetti privati aderenti. Tutto ciò da qualsiasi tipo di dispositivo, con delle credenziali uniche (evitando, dunque, il proliferare di diverse username, password, sistemi di riconoscimento, ecc. con tutti le inefficienze e i rischi correlati).
Questo vale in Italia e, sempre più, anche in tutta l’Unione europea. Ed è proprio sul tema dello SPID in Europa che ci concentreremo lungo il proseguo di questo articolo. Prima, però, è necessario fissare in maniera netta alcuni punti preliminari fondamentali.
I diversi livelli di sicurezza dello SPID
Innanzitutto: chi rilascia l’identità SPID?
I cosiddetti Gestori di Identità Digitale (Identity Provider – IdP), che sono soggetti privati accreditati da AgID (Agenzia per l’Italia Digitale). Sono sempre questi stessi soggetti che gestiscono l’autenticazione degli utenti; naturalmente, seguendo una regolamentazione molto stringente e continuamente aggiornata. Un punto va fatto emergere subito con grande chiarezza. Esistono 3 diversi livelli di sicurezza relativi all’identità SPID:
- Livello 1, definito “basso”: che permette l’autenticazione tramite un ID e una password stabilita dall’utente.
- Livello 2, definito “significativo”: è quello più diffuso e che in molti ci siamo già ritrovati ad utilizzare. Permette un’identificazione a doppio fattore, con una password “usa e getta” (One Time Password – OTP), generalmente distribuita tramite sms o tramite le app dedicate dei diversi provider.
- Livello 3, definito “elevato”: è quello che garantisce il massimo livello di affidabilità. Oltre al nome utente e la password richiede un supporto fisico per la gestione delle chiavi crittografiche. Tale supporto può essere una smart card o un dispositivo per la firma digitale remota (HSM).
Dopo questa importante specificazione (che, come vedremo, avrà delle ricadute anche per l’identità SPID in Europa), proseguiamo oltre nel solco del nostro tema. E, prima di spostarci verso l’UE, passiamo ad analizzare alcuni numeri – molto significativi – sulla diffusione dello SPID in Italia.
La diffusione dello SPID in Italia – alcuni dati significativi
Il sistema SPID non è niente di troppo recente. Il primo provvedimento che ne ha visto l’attuazione, infatti, è stato il decreto del Presidente del Consiglio dei Ministri del 24 ottobre 2014, pubblicato sulla Gazzetta Ufficiale n. 285 del 9 dicembre 2014. Per i tempi a cui ci ha abituato la trasformazione digitale, insomma, non stiamo parlando di una tecnologia ai suoi primi passi…anzi.
Quel che è certo, però, è che il difficile periodo pandemico che abbiamo alle spalle ha impresso un’accelerazione portentosa alla diffusione dell’identità SPID presso tutti i segmenti della popolazione. Per farsi un’idea molto concreta, a riguardo, basta prendere in analisi questi dati forniti dalla stessa AgID (fonte agid.gov.it):
- A maggio 2022, il numero totale delle identità digitali SPID in Italia ha superato i 30 milioni.
- Di questi 30 milioni, ben 10 milioni (dunque, un terzo) sono state attivate nei 12 mesi precedenti.
- Gli accessi tramite SPID per usufruire dei servizi della Pubblica Amministrazione hanno superato il mezzo miliardo nel 2021. Nel primo quadrimestre del 2022 sono stati circa 330 milioni.
Ancor più nel dettaglio, si veda la progressione evidente della media settimanale delle identità digitali rilasciate:
- Nei primi 5 mesi 2020 circa 76 mila identità;
- Nei successivi 7 mesi 2020 circa 262 mila identità;
- Nel 12 mesi 2021 circa 198 mila identità;
- Nel solo mese di gennaio 2022 circa 196 mila identità.
O, ancora, lo SPID è stato utilizzato per effettuare accessi a servizi in rete:
- Nel 2019: oltre 55 milioni di volte;
- Nel 2020: oltre 143 milioni volte;
- Nel 2021: oltre 571 milioni di volte;
Potremmo andare avanti a lungo a sciorinare questi dati, ma il trend – ci pare – è già chiarissimo così. E ora, dunque, siamo pronti a spostarci sul piano dell’identità SPID in Europa. Chiedendoci: quali sono le regolamentazioni, gli utilizzi e le opportunità.
Spid in Europa – la regolamentazione, gli utilizzi, le opportunità
Per inquadrare il tema dello SPID in Europa è fondamentale, innanzitutto, fare cenno all’eIDAS.
L’eIDAS (electronic IDentification, Authentication and trust Services) è il regolamento europeo per l’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno. Dunque, l’eIDAS fornisce una base normativa comune per interazioni elettroniche sicure fra cittadini, imprese e pubbliche amministrazioni e incrementa la sicurezza e l’efficacia dei servizi elettronici e delle transazioni di e-business e commercio elettronico. È a partire da questo regolamento che si sono creati degli standard unici per tutto ciò che riguarda le varie forme di autenticazione elettronica in tutti i paesi dell’Unione Europea.
In particolare, per quel che riguarda lo SPID, il riferimento da tenere presente è la pubblicazione nella Gazzetta Ufficiale dell’Unione Europea (GUUE C318 e GUUE C344 del 2018): infatti, con la notificazione di SPID da parte dell’Italia e la relativa pubblicazione nella Gazzetta Ufficiale Europea, diventa possibile utilizzare SPID per l’accesso ai servizi in rete di tutte le pubbliche amministrazioni dell’Unione.
In base a quanto stabilito dal Regolamento eIDAS, l’utilizzo del servizio di identificazione digitale notificato da uno Stato europeo negli altri paesi dell’Unione deve essere riconosciuto entro i 12 mesi dalla sua notificazione e pubblicazione in Gazzetta; pertanto, a partire dal 10 settembre 2019 i cittadini italiani possono usare l’identità digitale SPID per accedere ai servizi resi disponibili dalle altre amministrazioni europee.
Ancor più nello specifico: per l’accesso ai servizi che prevedono l’uso di credenziali di livello 2 e 3 è prevista l’obbligatorietà di accettazione da parte di tutti gli Stati membri. Per le credenziali di livello 1, invece, non c’è obbligo: il consenso all’accesso ai servizi di questo tipo resta a discrezione di ogni singolo Stato.
Al di là delle regolamentazioni, però, chiediamoci: a che cosa serve l’identità SPID in Europa? E come può essere utilizzata? Le casistiche sono moltissime; qui di seguito richiamiamo solo quelle più importanti e diffuse:
- Richiesta di certificati di nascita.
- Apertura di un conto bancario; ma anche richiesta di un prestito.
- Presentazione della dichiarazione dei redditi.
- Fare domanda d’iscrizione per l’università, nel proprio paese o in un altro Stato membro.
- Richiesta di certificati medici di qualsiasi tipo e conservazione di prescrizioni mediche che possono essere utilizzate in qualsiasi stato membro.
- Segnalazione di un cambio di domicilio o residenza.
- Noleggio di un’automobile utilizzando una patente di guida digitale.
- Un normalissimo check-in online in un hotel.
Chiudiamo questo paragrafo con le parole di Margrethe Vestager, vicepresidente della Commissione europea con delega al digitale e con quelle del commissario per il Mercato interno Thierry Breton. Così Vestager:
“Con l’identità digitale europea potremo fare in qualsiasi stato membro quello che facciamo nel nostro paese senza costi aggiuntivi e con minori ostacoli, ad esempio affittare un appartamento o aprire un conto bancario all’estero, e tutto questo in modo sicuro e trasparente. Così saremo noi a decidere quante informazioni desideriamo condividere su noi stessi, con chi e per quale finalità. Si tratta di un’opportunità unica che ci permetterà di sperimentare ancora di più che cosa significhi vivere in Europa ed essere europei”.
Così Breton:
“I cittadini dell’UE si aspettano non solo un elevato livello di sicurezza, ma anche comodità; sia che abbiano a che fare con amministrazioni nazionali, ad esempio per presentare una dichiarazione dei redditi, sia che si iscrivano a un’università europea dove necessitano di un’identificazione ufficiale. I wallet di identità digitale europea offrono loro una nuova possibilità di archiviare e utilizzare i dati per tutti i tipi di servizi, dal check-in in aeroporto al noleggio di un’automobile. Si tratta di dare una scelta ai consumatori, una scelta europea. Anche le nostre aziende europee, grandi e piccole, trarranno vantaggio da questa identità digitale, saranno in grado di offrire un’ampia gamma di nuovi servizi poiché la proposta offre una soluzione per servizi di identificazione sicuri e affidabili”.
Sono dichiarazioni che riassumono molto bene l’ampiezza dei vantaggi e delle opportunità che derivano dall’adozione – sempre più ampia – dell’identità SPID in Europa. In particolare, nel successivo e ultimo paragrafo, vogliamo ripartire dal riferimento che il commissario Thierry Breton fa alle aziende grandi o piccole.
Un versante fondamentale. Un versante in cui è bene non limitarsi ai puri adempimenti legislativi.
Non solo adempimenti – le opportunità dello SPID in Europa per le aziende
Quando si parla di digitalizzazione e di identità SPID in Europa non bisogna commettere un errore ancora molto diffuso: quello di limitarsi agli adempimenti. Abbiamo, infatti, già sottolineato i grandi vantaggi che si annidano nel passaggio all’identità digitale, in termini di sicurezza, trasparenza, comodità, incremento dell’efficienza.
Ma c’è una parola chiave ulteriore da tenere sempre ben presente: integrazione. Una parola chiave che è assolutamente decisiva quando dall’ambito dei privati ci si sposta in quello delle aziende. Ad esempio, diventa possibile integrare le soluzioni di firma elettronica con l’identificazione tramite identità SPID. Si tratta di un’evoluzione naturale e innovativa dei processi di sottoscrizione, dunque utilissimi su più fronti.
Una rivoluzione digitale matura e a 360 gradi!