Innovazione

Spid: è un sistema tecnicamente sicuro? Intervista ad Andrea Lisi

di

Spid

Lo Spid tra dubbi, perplessità e punti di forza. Intervista all’avvocato Andrea Lisi

L’Italia ha compiuto un piccolo passo verso la digitalizzazione del Paese. Il Ministro per la Semplificazione e la Pubblica amministrazione, Marianna Madia, e il direttore generale dell’Agenzia per l’Italia Digitale (AgID), Antonio Samaritani, hanno presentato lo Spid, il nuovo sistema pubblico per l’identità digitaleOgni cittadino avrà un PIN unico per accedere ai servizi online della Pubblica Amministrazione, basterà richiedere le proprie credenziali ai tre gestori accreditati per rilasciare le password (Poste Italiane, Infocert e TIM Trust Technologies).

Ma non è tutto oro quel che è digitale. E qualche dubbio su Spid c’è. Uno su tutti: SPID può essere considerato un sistema tecnicamente sicuro? A risponderci e a chiarire il suo pensiero sul nuovo sistema pubblico per l’identità digitale è l’avv. Andrea Lisi, Titolare del Digital&Law Department Studio Legale Lisi e presidente Associazione Nazionale Operatori e Responsabili della Conservazione digitale dei documenti.

CAD - Andrea Lisi

Quali sono i suoi dubbi su SPID (e, in generale, sull’Agenda Digitale Italiana)?

Proprio oggi, durante una conferenza stampa al Dipartimento della Funzione Pubblica, SPID è stato presentato per l’ennesima volta, con molto clamore. Ha senso questo brulicare di convegni per addetti ai lavori se poi si vogliono offrire servizi universali?
La prima considerazione che mi viene da fare non riguarda la bontà del progetto, che presenta indubbiamente degli aspetti positivi, già abbondantemente evidenziati in questi ultimi mesi da commentatori – a volte forse un po’ scodinzolanti e deferenti nei confronti del Governo -, ma l’incredibile modus operandi governativo in materia di Agenda Digitale, in base al quale si tende ad annunciare i progetti come già disponibili prima che vengano realmente attuati, e poi si continua a parlarne in itinere, senza avere già in tasca le idee strategiche e progettuali per trasformarli in fatti concreti. Finalmente, dopo averne pomposamente sentito parlare per più di un anno, sappiamo che a partire dal 15 marzo lo SPID muoverà i primi, veri passi. Sappiamo però anche che sono tre (solo?) i provider accreditati. Sappiamo che i primi due livelli di SPID saranno gratis per due anni (dopo non si sa). Sappiamo che il sistema di terzo livello (quello che garantisce il livello massimo di sicurezza e prevede l’uso di smart card) è ancora in attesa di certificazione e quindi sarà distribuito più avanti, ma a pagamento! Quindi forse non è proprio tutto pronto come si vorrebbe far credere… Sappiamo, inoltre, che per adesso sono attivi (solo?) 300 servizi per alcune amministrazioni.
L’obiettivo fissato dall’AgID è quello di distribuire 6 milioni di identità digitali entro fine anno. Non so se c’è una ragione specifica, ma ricorre ancora questo numero che era anche l’obiettivo fissato dall’allora Ministro Brunetta per la CEC PAC (la Pec gratuita per i cittadini che sappiamo, poi, che fine ha fatto…). Per scaramanzia avrei evitato di utilizzare proprio il medesimo numero: magari potevano andare bene 5,5 milioni o anche 7 milioni, ma 6 milioni proprio no!

Il progetto SPID si interseca con il nuovo design dei siti web delle PA: c’è una priorità tra queste due macro-aree di intervento?

Va benissimo interessarsi di entrambi questi aspetti, identificazione di accesso e design, ma a mio parere sarebbe più corretto sviluppare prima a fondo i servizi e i processi di digitalizzazione delle PA italiane. Continua a sembrarmi più logico, infatti, partire dall’organizzare e rendere disponibili servizi e procedimenti amministrativi nelle PA al fine dell’avvio concreto dei lavori dell’Agenda digitale. Disegnare, invece, una splendida cornice (sito web e identità) se non c’è il quadro da inserire dentro (i servizi attivabili attraverso i siti web istituzionali, previa identificazione) significa procedere obiettivamente a passo di gambero. E considerando che siamo il Paese dei progetti costosissimi ma incompiuti (come, ad esempio, la Carta nazionale dei servizi e la Carta di identità elettronica che non sono state eliminate dallo SPID, ma anzi dovrebbero coordinarsi con lo stesso), qualche dubbio permane su questi ambiziosi obiettivi e sulla stessa presentazione odierna dello SPID come un servizio praticamente già attivo e di successo.
Lo sforzo indubbiamente c’è stato, anche in termini di comunicazione, ma le difficoltà arrivano tutte adesso. Siamo davvero attrezzati per affrontarle? O come al solito siamo partiti all’arrembaggio e ora navighiamo a vista?

Ad aderire a SPID sarà inizialmente solo un gruppo ristretto di amministrazioni, ma lo SPID è stato pensato anche per la partecipazione delle aziende…

A mio parere non ha molto senso (anche dal punto di vista giuridico) partire proprio dalle PA nel mettere in atto un progetto di identificazione informatica nazionale. Si rischia lo stesso fallimento della citata CEC PAC (e, in parte, della stessa PEC) nel momento in cui si vuole imporre al cittadino ex lege l’utilizzo di strumenti che invece andrebbero lasciati sbocciare nel mercato digitale privato, quindi regolamentati nel dettaglio e poi adattati alla PA. Invece si continua a procedere al contrario, pretendendo di imporre in un mercato in continua evoluzione, come quello digitale, strumenti studiati a tavolino. Il rischio di fallimento, così, è costantemente alle porte. Perché invece non partire con progetti pilota, magari sviluppati in partnership con provider di e-commerce (come Yoox, ad esempio, che è un caso di eccellenza nazionale), verificando il tasso di gradimento degli utenti? In questo modo si potrebbe studiare realmente l’operabilità e l’usabilità dello strumento e poi, con basi solide e a ragion veduta, regolamentarlo per l’utilizzo nelle PA.
Inoltre, l’operatività effettiva di questi servizi attivabili – prima o poi – via SPID è affidata al buon cuore delle pubbliche amministrazioni. Continuiamo a imporre da un lato termini più o meno perentori per l’adeguamento a tali novità, senza stabilire precise sanzioni per la loro violazione. L’applicazione è demandata a una nuova forma (un po’più) digitale di difensore civico oppure ai TAR. E considerato lo stato in cui versa la nostra giustizia mi sembra che non ci sia da stare allegri.

Anche alla luce delle ultime novità normative, come si sta strutturando il mercato digitale nel nostro Paese?

I piccoli e medi provider oggi denunciano che il mercato digitale, anche sulla base delle ultime modifiche proposte per il Codice dell’amministrazione digitale, sembra essere sempre più configurato per una supremazia dei grandi fornitori. È davvero questo quello che vogliamo per il nostro Paese? Far fuori i piccoli e favorire i grandi?

Ultima domanda: SPID può essere considerato un sistema tecnicamente sicuro?

Qualcuno ha semplicisticamente affermato che, essendo il sistema affidato al controllo vigile del Garante privacy e di AgID, dovremmo stare tranquilli. In realtà bisognerebbe fare una riflessione più ampia, perché è tutto il nostro sistema paese a risultare piuttosto debole dal punto di vista della sicurezza informatica. Mancano del tutto le regole tecniche previste dall’art. 51 del Codice dell’amministrazione digitale sulle modalità che garantiscano l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati, dei sistemi e delle infrastrutture, e intanto si propone, candidamente, di eliminare anche l’art. 50bis dello stesso Codice, in cui si esige dalla PA che predisponga piani di disaster recovery e business continuity! E questo mentre nel nuovo “Regolamento generale sulla protezione dei dati” di matrice europea (di ormai prossima emanazione) questo tema è molto sentito, tanto che rientra in due della quattro specifiche misure di sicurezza che tutti gli enti devono adottare, ovvero la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali e quella di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico.
Va da sé che non basti nominare qualche super esperto o emanare comunicati stampa festosi per risolvere problemi di questo calibro.
Rimangono, inoltre, ancora senza precisa risposta le pesanti critiche mosse dal Garante con il proprio provvedimento del 23 aprile 2015. Possiamo ritenere che, in previsione dell’imminente partenza di SPID, l’intera infrastruttura e i livelli di accountability predisposti siano sicuri e attrezzati per superare il rischio di furti di identità digitali? I provider accreditati sono stati responsabilizzati adeguatamente per prevenire questa eventualità? Speriamo che tali domande trovino risposte rassicuranti, perché in caso contrario ad andarci di mezzo è l’intero sistema paese. Ricordiamocelo.

ISCRIVITI ALLA NOSTRA NEWSLETTER

Iscriviti alla nostra mailing list per ricevere la nostra newsletter

Iscrizione avvenuta con successo, ti dovrebbe arrivare una email con la quale devi confermare la tua iscrizione. Grazie, il tuo Team Start Magazine

Errore

Articoli correlati