Di SPID avevo già parlato ad agosto dell’anno scorso. È l’acronimo di “Sistema Pubblico per la gestione dell’Identità Digitale”. È sostanzialmente una creatura immaginata dall’AGID – l’agenzia per l’Italia digitale, delle cui vicende abbiamo abbondantemente parlato – che lo inserisce sul suo sito tra le “architetture e infrastrutture” digitali del paese
Si tratta di una “password personale unica” che da accesso ai servizi online della P.A, dal fisco alla sanità alla previdenza.
L’Agid aveva fissato i criteri per cui un provider poteva richiedere di diventare “gestore” di Spid.
E a meno di dieci giorni dal lancio ufficiale effettuato il 15 marzo scorso dal Ministro per la semplificazione Marianna Madia la quarta sezione del Consiglio di Stato presieduta da Sergio Santoro, pronunciando definitivamente il 24 Marzo sullo SPID, ha confermato la sentenza del Tar Lazio del luglio 2015, mettendo una pietra tombale sul modello privato prefigurato dalla Presidenza del Consiglio ed incentrato sulla presenza di pochissimi fornitori di grandi proporzioni economiche.
Il Consiglio di Stato chiarisce che SPID è un sistema essenzialmente basato su password e non può dunque essere equiparato alle modalità di identificazione forte quali la carta nazionale dei servizi e la firma digitale , conseguentemente non può richiedersi per la prestazione dei servizi di identificazione, criteri economici sproporzionati.
In sintesi per il Consiglio di Stato lo SPID è una password, e non si possono richiedere 5 milioni di capitale sociale.
Il Consiglio di Stato chiarisce che Spid è un sistema essenzialmente basato su password e non può dunque essere equiparato alle modalità di identificazione forte quali la carta nazionale dei servizi e la firma digitale: di conseguenza non possono richiedersi, per la prestazione dei servizi di identificazione, criteri economici sproporzionati.
“La Sezione, nel condividere gli argomenti della sentenza impugnata, ritiene che l’appello debba essere rigettato si legge nella sentenza – Non può condividersi infatti l’argomento invocato dall’appellante Presidenza del Consiglio dei Ministri, secondo cui l’elevato capitale sociale minimo di 5 mln di euro della società di capitali, alla cui costituzione debbono procedere i gestori dell’identità digitale nel sistema SPID, sarebbe indispensabile per dimostrare la loro affidabilità organizzativa, tecnica e finanziaria, e ciò solo perché l’attività di cui trattasi richiede un rilevante apporto di elevata tecnologia, la cui validità non può ritenersi direttamente proporzionale al capitale sociale versato. In questi termini, si evidenzia altresì l’illegittimità per irragionevolezza dell’impedimento all’accesso al mercato di riferimento, dovuto all’elevato importo del capitale sociale minimo richiesto con l’atto impugnato, trattandosi di scelta rivolta a privilegiare una finalità di incerta efficacia, a fronte della sicura conseguenza negativa di vedere escluse dal mercato stesso tutte le imprese del settore di piccole e medie dimensioni, quali appunto quelle rappresentate dalle associazioni ricorrenti”.
Restano sul tavolo tutte le solite questioni.
I servizi di PA digitale devono aumentare? assolutamente si.
Devono essere accessibili (economicamente e strutturalmente e infrastrutturalmente e “sintatticamente” – percorso e linguaggio)? assolutamente si.
La PA si deve semplificare e avvicinare al cittadino? Ovviamente si.
Nessuno, sano di mente, sosterrebbe il contrario.
Ora, si può discutere il come? perché non è sicuro e quando parli di dati sensibili “non sicuro” significa “pericoloso”.
E o hanno dimostrato molti casi simili e precedenti in altri Paesi.
Da noi il rischio è anche duplice, perché oltre a restare sul tavolo la questione della tutela della riservatezza di dati utili ad accedere ad atti ed informazioni personali, c’è anche il tema della concentrazione “in mano a pochi soggetti privati” di tutte le password di accesso di tutti i cittadini.
Ed a parte il criterio patrimoniale (che il Consiglio di Stato ha rilevato non utile e insufficiente ed ha cassato) non esiste alcun criterio tecnico, parafrasando la sentenza “per dimostrare la loro affidabilità organizzativa, tecnica e finanziaria, e ciò solo perché l’attività di cui trattasi richiede un rilevante apporto di elevata tecnologia, la cui validità non può ritenersi direttamente proporzionale al capitale sociale versato.”
Alcune note da non trascurare:
1) il provider deve soddisfare caratteristiche di sicurezza non banali, per le fasi di identificazione, per il suo processo interno di gestione e per la consegna delle credenziali
2) la parte puramente tecnologica di affidabilità e sicurezza nella identificazione informatica
3) deve essere ed apparire “credibile” ovvero non deve accadere che si possa neanche pensare che qualcuno conceda l’accesso a terzi
. L’unico provider di identità di qualsiasi tipo per definizione non può che essere lo Stato.
Pensiamoci. È tecnicamente come delegare a società private la redazione e consegna delle carte di identità o di passaporti… che lo Stato non delega nemmeno per la parte tecnica di stampa (che non a caso sono realizzati su carte e con inchiostri speciali dalla Zecca).
E allora dato che per simmetria parliamo della stessa cosa, e anzi proprio l’immaterialità dello strumento digitale rende anche più delicata la verifica, perché non applichiamo lo stesso principio?
Consideriamo poi il dettaglio che non esiste un modello di business per coprire investimenti e costi di questa azione da parte dei provider privati. Quindi: chi pagherà per tutto questo? Alla fine essendo un “servizio pubblico” avrà o un costo di gestione in termini di contratto di servizio (e nessuno ci ha detto a quanto e con quale gara) o avrà un costo per il cittadino richiedente, e non è chiaro chi stabilisca e secondo quali criteri e principi questo importo, e non è chiaro perché – se così fosse – non se ne parli prima dei decreti e degli affidamenti.
C’è poi un tema delicatissimo, che riguarda il riconoscimento della persona.
E su questo rinvio integralmente a quanto ha scritto su Linkiesta Paolino Madotto.
Tag: SPID
Dallo SPID alla Carta dei Diritti alla Riforma della PA – la web dummies revolution
Si chiama SPID ed è l’acronimo di “Sistema Pubblico per la gestione dell’Identità Digitale”.
È sostanzialmente una creatura immaginata dall’AGID – l’agenzia per l’Italia digitale, delle cui vicende abbiamo abbondantemente parlato – che lo inserisce sul suo sito tra le “architetture e infrastrutture” digitali del paese.
Attraverso questa che sostanzialmente è e resta una “password personale unica” si avrà accesso ai servizi online della P.A, dal fisco alla sanità alla previdenza… lo spiega in una sintesi chiara un’articolo de La Stampa.
I servizi a cui si può accedere sono quelli pubblici: dal pagamento della tasi al bollo auto, passando per la mensa della scuola. Anche le prestazioni sanitarie o il fascicolo dell’Inps sono gestibili via web, tramite pc, tablet o smartphone.
La Pubblica Amministrazione ha “un obbligo” a fornire servizi online, il che significa che farà anche economicamente da apripista, mentre i privati (per i quali la scelta resta facoltativa) si apre una fase di attesa e valutazione, anche delle implicazioni giuridiche reali, e non solo quelle teoriche.
Il Garante Privacy come sempre ci ha regalato preziose perle di “inquadramento giuridico” tipico italiano: l’ottocento applicato al web. Qualcosa che trovate liberamente consultabile qui.
In Brasile ci provò Lula a fare una cosa simile, e pur con mille cautele in più il progetto si scontrò con le oltre 100mila identità digitali “sottratte” o compromesse… Da noi la cultura digitale è decisamente meno diffusa e in più c’è una straordinaria tendenza alla creazione di veri e propri digital guru che solitamente appartengono a due categorie: divulgatori puri o (generalmente ex) imprenditori del settore tlc.
Entrambi sostanzialmente cyber-utopisti per i quali il web ci salverà e rivoluzionerà la vita.
Un pensiero che non è del tutto sbagliato, ma che va preso con le molle, delicatezza, molta cura, e attenzione ad ogni rischio connesso: una soglia di prudenza che dovrebbe alzarsi quanto più il dato del cittadino diventa sensibile, delicato, “privato” e manipolabile.
Ma nella retorica del nostro tempo, se parli di questi rischi sei un retrogrado, remi contro il futuro, ti opponi al cambiamento.
Io pongo solo alcune domande: cambia davvero molto per il cittadino se ha id e password differenti per l’accesso a banche dati differenti? Cosa cambia se i dati delle sue dichiarazioni dei redditi non “stanno nello stesso luogo” ed hanno le stesse credenziali di accesso delle sue analisi cliniche o delle tasse da pagare?
Eppure i rischi sono ben maggiori di questi presunti e non meglio identificati vantaggi. Se mi frodano una password al massimo hanno accesso a quei dati specifici: in questo modo invece hanno accesso “a tutto”.
Più banche dati separate sono più difficili da violare, mentre una sola “è più appetibile”. È la vecchia regola della “cassaforte con mille lire dentro”, regola aurea che spesso scordiamo: se ti costa più di mille lire violare la cassaforte non la violerai, mettere in una stessa cassaforte tutto la rende un obiettivo più interessante.
Non è chiaro, e francamente non è nemmeno definibile a priori, quanto costerà “rendere omogenee” le piattaforme, i dati, le funzioni di accesso, tra banche dati assolutamente eterogenee tra loro, ed unificarne le security. E questo sempre a fronte di un non meglio chiarito beneficio.
Infine ci sarebbe la questione della “sicurezza del gestore”. Da domani basterà un tecnico “infedele” per entrare in un’unica banca dati e avere accesso a qualsiasi informazione di un cittadino. Il che, indipendentemente dalla questione concreta, è in sé un rischio che nessuno dovrebbe anche solo voler correre.
Questa, tra le varie “rivoluzioni digitali” del nostro paese, è forse la meno incisiva ma certamente la più delicata e tendenzialmente pericolosa per i cittadini. Ma passa nella mancanza di attenzione generale, colpevolmente anche di molti tecnici del settore: una mancanza di attenzione coerente con il livello di cultura digitale del paese.
Ricordiamo tutti il processo telematico. Il 24 luglio il Corriere delle Comunicazioni torna sul tema, nella sua “realizzazione concreta” e sui molti problemi Enrico Consolandi, magistrato responsabile informatico del Tribunale di Milano, afferma “Il problema è a monte. Si spinge verso il processo civile telematico e al contempo non si dotano i tribunale delle infrastrutture e del personale necessario per una buona organizzazione”. “Adesso i magistrati hanno problemi a leggere su schermo tutto il procedimento; anche perché i software al momento sono limitati: per esempio non sono aggiornati per consentire la condivisione degli atti di un processo fallimentare. Ed è un problema quando il giudizio è collegiale”, Per di più “non sempre riusciamo ad accedere agli atti perché la firma digitale è scaduta e per aggiornarla la burocrazia richiede settimane”. “Servirebbero più fondi da investire nei software, ma dal 2011 al 2014 ce li hanno tagliati da 110 milioni a 75. E urgono le assunzioni di informatici”.
È il paese delle dichiarazioni di principio altisonanti, che si scontrano con la dura ignoranza di cosa sia la rete che spesso viene “normata”.
Ultima in ordine cronologico è la cd. “Dichiarazione dei diritti in Internet“.
Per una disamina articolo per articolo vi suggerisco il post di Francesco Lanza, come sempre puntuale nell’evidenziare “la concretezza” del web .
Partiamo da alcune considerazioni. Internet è globale, che senso ha una dichiarazione di diritti nazionale?
L’80% dei servizi internet cui accediamo mediamente non solo sono extra-nazionali, ma finanche extraeuropei: in caso un operatore “violasse” uno di questi diritti (mettendoci in condizione ad esempio di non poter accedere a funzioni e informazioni nei modi idilliaci indicati) a chi dovremmo rivolgerci? Con quale giurisdizione e potere sanzionatorio/coercitivo?
Perché qualcuno – che l’ha paragonata alla Carta dei Diritti dell’Uomo – dimentica con straordinaria facilità che quella carta è 1. riconosciuta dai paesi dell’Onu, 2. è sovranazionale 3. è recepita dagli ordinamenti nazionali che se ne fanno carico attuativo, giudiziario, coercitivo, sanzionatorio, 4. ha una sua corte superiore che ha facoltà di condanna in caso di violazione…
Stefano Rodotà, la mente scientifica di questa iniziativa, ha sottolineato in conferenza stampa come questa Dichiarazione sia una Carta dal valore politico e non giuridico. Quindi? Di che parliamo? Non possiamo farla valere nemmeno nei confronti del nostro stesso Stato in caso lui per primo fosse inadempiente!
C’è poi un articolo che davvero merita attenzione, l’articolo 3, che afferma il principio della neutralità della rete – specificando sia fissa che mobile. E allora il legislatore se ne faccia carico e nazionalizzi l’infrastruttura TLC. Perché, se a qualcuno non è chiaro, l’unico modo per rendere la rete “neutrale” è la sua gestione e proprietà “pubblica”. Il resto, sono tecnicismi atti solo a ratificare lo status quo, e peggio a creare scappatoie per gli operatori “più potenti”.
Io non vorrei apparire né gufo, né uno che rema contro, men che meno uno che “non vuol bene all’Italia”.
Semmai chiedere “un’idea chiara e complessiva” prima di fare iniziative spaiate e sguaiate.
Porsi il problema di quali siano i rischi ogni qual volta “mettiamo insieme” i dati dei cittadini. Porsi il problema “del senso” oltre che della “direzione” della digitalizzazione del Paese… forse, tutto questo, sarebbe meno da guru-appeal e più da strategia di governo. E forse, dico forse, ci costerebbe anche molto ma molto meno.
P.s.
Il 30 luglio un’Unità decisamente succube del cyber-utopismo titolava in prima pagina “Arriva la banda! Ed è larga” sostenendo che nel 2020 saremo il paese più digitalizzato al mondo [non tanto per intervento pubblico diretto e strategico ma grazie al fatto che Enel ha finalmente deciso di mettere a reddito la nostra rete elettrica]. Il che comprensibilmente non vuol dire nulla. Il web è un’infrastruttura se non ci si mettono dentro i servizi e i contenuti, appunto fatti bene, può addirittura essere pericolosa. Nel frattempo però secondo una fonte che non può certo essere tacciata di essere vicina alla “minoranza PD” – ovvero il World Economic Forum – siamo al 58 posto, in una classifica di 148 paesi.
Per essere chiari, dopo di noi Slovacchia, Georgia, Mongolia, Colombia, Indonesia, Armenia, Seychelles, Thailandia, Bosnia Herzegovina, ma ci battono spesso a mani basse Slovenia, Cypro, Kazakhstan, Oman, Puerto Rico, Panama, Giordania, Mauritius, Azerbaijan, Turchia, Montenegro, Costa Rica, Polonia, Barbados, Uruguay e Macedonia.