skip to Main Content

ID InfoCamere

Spid: i numeri e le questioni (ancora) da risolvere

Intervista a Sarah Ungaro, Vice Presidente ANORC Professioni, sul tema SPID, a quattro mesi dalla conferenza stampa che ha dato il via libera ufficiale al Sistema Pubblico di Identità Digitale Tre provider accreditati, 183 amministrazioni attive, più di 7.700 le identità erogate e più di 550 i servizi disponibili: sono questi i numeri del Sistema Pubblico…

Intervista a Sarah Ungaro, Vice Presidente ANORC Professioni, sul tema SPID, a quattro mesi dalla conferenza stampa che ha dato il via libera ufficiale al Sistema Pubblico di Identità Digitale

Tre provider accreditati, 183 amministrazioni attive, più di 7.700 le identità erogate e più di 550 i servizi disponibili: sono questi i numeri del Sistema Pubblico di Identità Digitale, Spid, secondo l’Agenzia per l’Italia digitale. A quattro mesi dalla conferenza stampa che ha dato il via libera ufficiale alla trasformazione digitale dell’Italia e dei suoi cittadini, i numeri sembrano testimoniare solo la fase di avvio del progetto. Ma tante sono ancora le questioni da risolvere.

Abbiamo approfondito l’argomento con un’intervista a Sarah Ungaro, Vice Presidente ANORC Professioni.

anorc_logo_09A quattro mesi dal lancio, SPID conta 183 amministrazioni attive, 7.700 identità erogate e circa 550 servizi disponibili: è un bilancio positivo o negativo?

Sicuramente i numeri possono testimoniare, quanto meno, un riscontro alla fase di avvio del progetto, ma chiaramente il bilancio è tutt’altro che positivo. Solo 7.700 identità erogate sono, a nostro avviso, veramente poche; come risultano essere pochissime anche 183 amministrazioni attive, soprattutto se si pensa che in Italia, ad esempio, solo i comuni sono più di 8.000 e che ormai, insieme a CIE e CNS, solo lo SPID permette di accedere ai servizi online offerti dalle pubbliche amministrazioni.

Quali sono, secondo Anorc, le questioni ancora da risolvere, o che non sono state affrontate correttamente?

Sono molte, e di non scarso rilievo, le questioni ancora irrisolte in tema di Sistema Pubblico di Identità Digitale. Innanzitutto, ci sembra che non siano stati tenuti in considerazione i rilievi critici formulati in tema di SPID dalla Commissione speciale del Consiglio di Stato nel suo secondo parere (dopo quello interlocutorio del 17 marzo 2016), reso l’11 maggio 2016, sullo Schema di decreto legislativo di riforma del CAD. In particolare, lo schema di decreto modificherebbe l’art. 64 del CAD, introducendo un’organica disciplina per lo SPID, definito come un “insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell’AgID, secondo modalità definite con il decreto di cui al comma 2-sexies, identificano cittadini, imprese e pubbliche amministrazioni per consentire loro l’accesso ai servizi in rete”, attraverso l’utilizzo di un solo nome utente e una sola password. Secondo il Consiglio di Stato, le disposizioni riguardanti lo SPID non si coordinano sufficientemente con la disciplina relativa all’utilizzo degli altri strumenti previsti dal Codice dell’Amministrazione Digitale (ad esempio PEC, CIE e CNS), attraverso i quali i soggetti privati possono interloquire con la pubblica amministrazione, ma, anzi, in alcuni passaggi arrivano a sovrapporvisi. In merito, poi, alla CIE e alla CNS, le modifiche previste dallo schema di decreto intendono introdurre all’art. 64 del CAD due nuovi commi, in base ai quali “le pubbliche amministrazioni consentono mediante SPID l’accesso ai servizi in rete da esse erogati che richiedono identificazione informatica” e tale accesso “può avvenire anche con la carta di identità elettronica e la carta nazionale dei servizi”. Ciò che desta particolare preoccupazione – e che fa sorgere più di un dubbio – è il fatto che, in realtà, risulta essere prevista l’abrogazione del comma 2 dell’art. 64, anche nella parte in cui si specifica che “l’accesso con carta d’identità elettronica e carta nazionale dei servizi è comunque consentito indipendentemente dalle modalità di accesso predisposte dalle singole amministrazioni”. Dunque, la nuova formulazione sembrerebbe rendere per la PA l’accesso con CIE e CNS solo una possibilità e non più un obbligo, quasi cercando di eliminare questi due strumenti ai fini dell’identificazione informatica per l’avvio di istanze e dichiarazioni dei cittadini.

Spid

Anorc ha già in passato posto l’attenzione sulla questione sicurezza per il sistema SPID, in questo campo a che punto siamo? Spid è sicuro?

È chiaramente fondamentale che non vengano trascurate le misure di sicurezza predisposte per il sistema SPID. È importante che ci sia anche un forte impegno di tutte le amministrazioni pubbliche per organizzare e rendere disponibili servizi e procedimenti amministrativi, al fine dell’avvio concreto dei lavori dell’Agenda digitale. Inoltre, appare sconcertante l’intenzione del legislatore di abrogare interamente l’art. 50bis del CAD dedicato ai piani di business continuity e disaster recovery per le pubbliche amministrazione italiane, considerando anche il fatto che in Italia versiamo in una situazione di perdurante assenza delle regole tecniche in materia di sicurezza informatica previste dall’art. 51 dello stesso CAD. Non solo, il “nuovo CAD” sembra non piacere nemmeno all’Autorità garante per la protezione dei dati personali.

Infatti, secondo il Garante, l’abrogazione dell’art. 50 bis del CAD potrebbe costituire un grave pericolo per la protezione dei dati personali trattati dai soggetti pubblici, precedentemente tenuti all’adozione di procedure di disaster recovery e di continuità operativa, in quanto il disaster recovery  costituisce una misura minima di sicurezza (art. 34 del D.Lgs. 196/2003 e Allegato B) applicabile a tutte le banche dati, mentre la continuità operativa è obbligatoria nel momento in cui vengono trattati dati sensibili e/o giudiziari. Si tratta, pertanto, di una proposta di abrogazione non proprio felice, anche alla luce delle nuove misure di sicurezza introdotte dall’art. 32 del Regolamento (UE) 2016/679. Secondo l’Authority, pertanto, non sarebbe opportuno abrogare l’art. 50 bis: tutt’al più, si potrebbe semplificarne la formulazione, mantenendo, però, in capo ai soggetti pubblici “l’obbligo di provvedere alla conservazione sicura dei dati come specifico adempimento nel contesto più ampio delle misure di sicurezza”.

 

Back To Top