Giusto riconoscere a livello europeo lo SPID?

Posted onAuthorNicola Nappi

Tempo di lettura stimato:4 Minuti, 31 Secondi

Sia messo subito in chiaro, lo scopo di questo contributo non è certo quello di scoraggiare la digitalizzazione, bensì quello di tentare di fornire degli spunti affinché essa possa avvenire in modo da limitare (o cercare di) il presentarsi di problemi che se sottovalutati oggi, diventeranno insormontabili domani.

E in chi scrive è forte la convinzione che, almeno fino ad oggi, non si stia andando nella direzione giusta, e che anzi la strada tracciata potrebbe portare a gravi conseguenze.

Andiamo con ordine. Con il Regolamento europeo eIDAS n. 910/2014, è stato espressamente previsto che i cittadini che saranno dotati di identità digitale la potranno utilizzare anche per l’accesso ai servizi resi disponibili in Rete dalle pubbliche amministrazioni di tutta l’Unione europea e, facoltativamente, dai soggetti privati.

Ora, in Italia è stato creato lo SPID (acronimo di Sistema Pubblico di Identità Digitale), e tale sistema, nonostante evidenti lacune (almeno a parere di chi scrive), è stato oggi addirittura pubblicato nella Gazzetta Ufficiale dell’Unione Europea C318 del 10 settembre 2018, venendo così quindi riconosciuto a livello europeo.

Questo sistema permette l’identificazione dei soggetti per mezzo di un insieme di attributi identificativi e un codice identificativo e si distinguono tre livelli di SPID a seconda delle garanzie di sicurezza di cui sono dotati.

Certo, poter disporre di un unico set di credenziali in grado di garantire l’accesso a qualsiasi servizio web, è indubbiamente un volano per la digitalizzazione. Infatti esso rappresenta un sistema obiettivamente semplice per l’utente finale. I dubbi e le perplessità, però, nascono in relazione alle modalità di ottenimento di questa identità digitale.

L’identità SPID, infatti, si ottiene facendone richiesta a uno degli identity provider (gestori di identità digitale), che è possibile scegliere liberamente fra quelli autorizzati dall’Agenzia per l’Italia Digitale (AgID). Soggetti privati, dunque, nelle mani dei quali vanno a finire i dati personali dei cittadini italiani.

Certo, si tratta di soggetti autorizzati dall’AgID, che rispondono dunque a tutta una serie di requisiti di sicurezza imposti dalla stessa Agenzia, ma pur sempre di privati si tratta.

Portandola nel mondo analogico, è come se gli uffici anagrafe dello Stato italiano venissero privatizzati: lo Stato sceglie una serie di privati, come ad esempio tabaccai o uffici postali, e i cittadini si recano presso quegli esercizi per ottenere i servizi che normalmente ottenevano recandosi presso i Municipi. La carta di identità, ad esempio, viene rilasciata dal tabaccaio. Ma il tabaccaio non trasmette i dati allo Stato. Semplicemente li trattiene e gestisce in virtù delle direttive impartite dallo Stato.

Ma i privati, si sa, passano, mentre invece lo Stato resta. E cosa succederà quando qualcuno di questi soggetti privati deciderà di cedere o di cessare la propria attività? O, ancora, cosa succederà se qualcuno di questi soggetti non rispetterà gli standard tecnici e/o di sicurezza?

Il problema è poi in effetti il medesimo che si potrebbe verificare (e che si verificherà) con gli enti certificatori delle firme digitali.

Al riguardo, in realtà, si potrebbe pensare che il problema dei certificati di firme digitali sia circoscritto all’ambito giudiziario ove, a seguito dell’avvento del Processo Civile Telematico, la firma digitale è diffusamente utilizzata (mentre in altri settori non lo è proprio). Ma in realtà, le ripercussioni possono essere ben più ampie. Si pensi ad esempio al caso in cui un cliente conferisca all’avvocato la procura alle liti e questi ne attesti l’autenticità mediante apposizione di firma digitale. Ora, se l’avvocato per un motivo o per un altro, non avesse un certificato di firma valido in quel preciso momento (non solo perché scaduto, ma anche perché ad esempio al momento dell’apposizione della firma il server del certificatore non fosse per qualche motivo disponibile) la firma non avrebbe valore alcuno. E dunque la procura non sarebbe valida, con conseguente ricaduta sul cliente, che non potrebbe quindi esercitare il proprio diritto in giudizio!

Dallo scenario appena delineato è ben facile giungere alla conclusione che una tale impostazione, porterebbe (e porterà inevitabilmente) all’assurdo che lo strumento va a condizionare l’esercizio dei diritti, passando così da una sistema basato sulla centralità della volontà dell’individuo, ad un sistema nel quale invece tale volontà è sottoposta alle decisioni dei gestori (privati) che gestiscono quegli strumenti senza i quali diverrebbe pressoché impossibile manifestare questa volontà!

E questo, come per le firme digitali, avverrà anche per lo SPID, che così come strutturato darà agli identity provider  il potere di identificare gli individui con effetti giuridici pressoché identici a quelli che si ottengono mediante l’esibizione di un documento di identità rilasciato dallo Stato!

Questa, a parere di chi scrive, non sembra la strada verso la digitalizzazione, ma piuttosto verso la creazione di un mercato pericoloso e (quasi) incontrollato.

Sembrerebbe maggiormente opportuno, allora, volgere lo sguardo verso l’est dell’Europa, ed in particolare all’Estonia ove ai cittadini (e dalla fine del mese di gennaio 2014, anche ai non residenti, come il sottoscritto) viene rilasciata una identità digitale, attraverso la quale è possibile utilizzare la firma digitale, criptare documenti, utilizzare il portale governativo Eesti.ee, trovare ditte in Estonia, fornire documentazione all’ufficio delle tasse, all’ufficio di frontiera e all’ufficio di registro delle imprese digitali, oltre che partecipare alle elezioni.

E a voler essere precisi, gli strumenti in effetti già ci sarebbero in Italia: c’è la Carta Nazionale dei Servizi (CNS), attivabile, ad esempio, sul chip della tessera sanitaria, e c’è la Carta d’Identità Elettronica (CIE). Perché lo SPID?

Ai posteri l’ardua sentenza.

The following two tabs change content below.
Il mio profilo FacebookIl mio profilo LinkedIn

Nicola Nappi

⚖️ Diritto commerciale, assicurativo, bancario, delle esecuzioni, di famiglia. Diritti reali, di proprietà, delle locazioni e del condominio. IT Law. a Studio Legale Nappi
*Giurista, Master Universitario di II° livello in Informatica Giuridica, nuove tecnologie e diritto dell'informatica, Master Universitario di I° livello in Diritto delle Nuove Tecnologie ed Informatica Giuridica, Corso di Specializzazione Universitario in Regulatory Compliance, Corso di Specializzazione Universitario in European Business Law, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Le procedure di investigazione e di rimozione dei contenuti digitali, Corso di Perfezionamento Universitario in Criminalità Informatica e Investigazioni digitali - Intelligenza Artificiale, attacchi, crimini informatici, investigazioni e aspetti etico-sociali, Master Data Protection Officer, Consulente esperto qualificato nell’ambito del trattamento dei dati.