Home page Inchieste

'Spid', l'identità digitale per tutti entro il 2015: ma quali rischi per la privacy?

Di Stefania Maurizi

Pubblicato su espressonline, 23 settembre 2014

(http://espresso.repubblica.it/inchieste/2014/09/23/news/spid-l-identita-digitale-per-tutti-entro-il-2015-ma-quali-rischi-per-la-privacy-1.181420)

Un codice che permetta agli italiani di identificarsi e di accedere in sicurezza a tutti i servizi della Pubblica amministrazione, anche quelli che richiedono dati estremamente personali, come quelli sanitari. Un unico sistema che funzioni per tutta la PA, permettendo di prenotare le analisi presso la Asl e scaricare i risultati sul computer di casa o sul telefonino, pagare le tasse o ricevere i rimborsi dell'agenzia delle entrate, iscriversi a un concorso pubblico, ottenere un certificato.

Non solo: uno stesso sistema che consenta di accedere anche ai servizi di aziende private e banche che adotteranno questo passpartout digitale, permettendo così al cittadino di comprare libri da Amazon, oggetti da Ebay e di fare comodamente le operazioni di home banking.

Tecnicamente si chiama “sistema pubblico per la gestione dell'identità digitale di cittadini e imprese” o “Spid”, ma semplificando viene chiamato “pin unico”, e il premier Matteo Renzi se ne è dichiarato entusiasta, perché «la pubblica amministrazione parla tredici linguaggi diversi e il cittadino deve comprarsi il traduttore. Noi vogliamo che la pubblica amministrazione parli lo stesso linguaggio, al cittadino basta sapere una lingua: il suo pin».

Ma a che punto è “Spid”? E poi funzionerà davvero o sarà l'ennesimo flop nella travagliata saga dell'Agenda Digitale? Per chi si aspetta una tesserina plastificata, stile codice fiscale e tessera sanitaria, Spid sarà una sorpresa. Non ci sarà nessuna tessera, quindi non ci saranno rischi di perdere o dimenticare Spid da qualche parte. E' un sistema completamente smaterializzato. E decentralizzato: non sarà lo Stato a rilasciare l'identità digitale ai suoi cittadini, come avviene oggi con passaporto e carta d'identità. Né il cittadino avrà un obbligo di legge di dotarsi di Spid: lo farà se vorrà accedere ai servizi digitali della PA.

Spid nasce con il Decreto del Fare del governo di Enrico Letta, a lavorarci è l' “Unità di missione per l'attuazione dell'Agenda Digitale” di Francesco Caio, e poi, caduto Letta e decaduta la task force di Caio, l'Agenzia per l'Italia Digitale (Agid). Andrea Rigoni, esperto di consulenza strategica e cybersicurezza, è uno dei tecnici che ha lavorato a Spid per Caio. «Il fatto importante è che l'identità digitale io non la ottengo online», spiega Rigoni a l'Espresso, precisando che per ottenerla è necessario presentarsi fisicamente presso uno di quelli che saranno i gestori d'identità, gli “identity provider”, che dovranno fare un riconoscimento fisico della persona che richiede Spid, «un'associazione tra la mia identità reale [verificata con i tradizionali documenti di riconoscimento, ndr] e la mia identità digitale, e mi deve essere consegnata in modo sicuro la prima serie di credenziali, poi da quel momento in poi, tutto è digitalizzato».

Le credenziali sono un codice: il “pin unico”, ma attenzione a pensarlo come un banale pin, perché “dentro” quella sorta di contenitore virtuale che è Spid potranno esserci molte informazioni di noi. Il decreto del presidente del Consiglio dei ministri che ha creato il sistema è già stato notificato a Bruxelles, se entro il 24 settembre la Commissione Europea non avrà obiezioni, si passerà alla fase attuativa. L'obiettivo è arrivare all'attuazione di Spid entro la primavera del 2015. Stefano Arbia di Agid conferma a l'Espresso che «il termine sarà rispettato».

Dunque pare fatta, ma è così? Alfonso Fuggetta, professore al Politecnico di Milano che ha lavorato con la task force di Caio ci spiega che «Spid è importante, ma non è che fatto Spid, abbiamo risolto tutti i problemi. E' una cosa utile, perché sicuramente favorisce lo sviluppo di servizi più semplici da usare, però i servizi vanno fatti». Come esempio Fuggetta porta una situazione comune: quando nasce un bambino, va registrato presso l'anagrafe, presso pediatra di turno e Asl per i servizi sanitari e presso l'agenzia delle entrate per il codice fiscale.

Oggi questa trafila viene fatta dal genitore o dal funzionario della pubblica amministrazione, se invece ci fosse un servizio digitale “è nato un bambino” potrebbe automaticamente interagire con tutti i vari sportelli della PA necessari per la completa registrazione. «Se lo vogliamo, però, va costruito», ci dice Fuggetta, spiegando che Spid sarebbe semplicemente il sistema di identificazione che lo renderebbe possibile.

Ma quanti sono i servizi già disponibili in versione digitale? Il deputato del Pd, Paolo Coppola, che con il deputato Stefano Quintarelli di Scelta Civica è uno degli ispiratori di Spid, racconta a l'Espresso che, stando alle valutazioni dell'Unione Europea, l'Italia ha una percentuale di servizi di e-government del 100 percento, ovvero tutto quello che il Paese avrebbe dovuto fare in termini di servizi digitali della PA è stato fatto. «Mi sembra difficile», commenta Coppola, «ma loro dicono così». Il problema è che, secondo le stesse statistiche dell'Agenda Digitale Europea, nel 2013 solo il 21 percento degli italiani ha fatto uso di questi servizi di e-government. «E questo denuncia il fatto che questi servizi saranno anche online», conclude Coppola, «ma evidentemente c'è qualcosa che non va se le persone non li utilizzano». Per il deputato Pd la sfida è progettarli bene e invece «purtroppo, molti servizi sono semplici informatizzazioni della burocrazia cartacea che c'era prima e questo fa sì che l'amministrazione digitale non parta».

I costi di Spid, secondo Agid, non saranno un ostacolo. «Per lo Stato», ci spiega Stefano Arbia di Agid, «è un'operazione a costo zero e anzi l'amministrazione pubblica ci guadagnerà nel senso che già oggi la PA offre servizi digitali per cui fornisce al cittadino le credenziali di accesso, che hanno un costo, attualmente a carico dell'amministrazione. Una volta che Spid sarà operativo, saranno i gestori d'identità che si faranno carico di questi costi, liberando così la pubblica amministrazione».

Ma chi saranno gli identity provider? Soggetti pubblici e privati abilitati a vendere Spid a cittadini e aziende e a fornirla gratuitamente alla PA. La fila dei candidati è lunga, ma in pole position ci sono Poste Italiane, Telecom e le altre aziende di telefonia, e poi banche. Il Movimento 5 Stelle non nasconde le sue riserve, non perché contrario alla digitalizzazione della PA, anzi «l'aspettiamo da anni», spiega la deputata M5S, Mirella Liuzzi, a l'Espresso, ma «la possibilità di avere identity provider privati come banche e compagnie telefoniche è qualcosa che ci preoccupa. Bisognerà vigilare su questo aspetto e sul rischio di commercializzazione dei dati e sulle minacce per la privacy».

Paranoie? No. Guido Scorza, avvocato e docente, esperto di informatica giuridica, non nasconde alcune perplessità: «Si è scelto di fare dell'identità digitale un oggetto di mercato, un po' come per la posta certificata e le firme digitali», spiega Scorza a L'Espresso, raccontando che l'alternativa poteva essere considerare l'identità digitale come una trasposizione uno-a-uno del documento d'identità, quindi «uno strumento pubblico, non di mercato: non puoi andarti a comprare una carta d'identità».

Allo stesso tempo Scorza spiega che la scelta commerciale è stata fatta essenzialmente per due motivi. Uno, perché si è pensato che il mercato fosse capace di distribuire Spid più del pubblico: «si è guardato indietro, al famoso caso della posta certificata, addirittura regalata a un certo punto da Renato Brunetta e dallo Stato, in realtà non ha avuto nessun appeal per il cittadino: pochissimi l'hanno richiesta». E due perché il contesto in cui l'identità digitale verrà spesa è globale e oggi la tendenza in Europa è quella di andare verso un'identità rilasciata non solo da un'autorità pubblica ma anche da soggetti diversi.

Dunque ci saranno grande prospettive di business per gli identity provider? Non esattamente. Per Guido Scorza rimane tutto da vedere. Una cosa, però, è certa: «se davvero avremo trenta-quaranta milioni di italiani con identità digitale, non penso si possa dire che non esista un rischio per la privacy».

Il Garante per la protezione dei dati personali ha dato un primo parere positivo sul decreto che istituisce Spid, ma è in attesa dei regolamenti tecnici per l'attuazione. «Abbiamo chiesto che su tali atti, che di fatto dovranno dare risposta ad aspetti fondamentali per la protezione della privacy, sia previsto un nostro parere», spiega a l'Espresso il segretario generale del Garante, Giuseppe Busia. Sì, perché con Spid gli identity provider avranno miliardi di dati su di noi. E' vero che Poste, aziende di telefonia e banche li hanno già ora, ma con la digitalizzazione spinta di PA e imprese, il volume dei dati crescerà in modo esponenziale.

L'olandese Rop Gonggrijp, uno dei più grandi hacker europei, che ha scoperto gravi vulnerabilità del voto elettronico e ha lavorato anche con l'organizzazione di Julian Assange, WikiLeaks, non demonizza, però, a priori la digitalizzazione dei servizi: «che siano forniti all'utente per via digitale va bene», spiega Gonggrijp a l'Espresso, «quello che non va bene è che spesso si usa la digitalizzazione come scusa per diminuire la trasparenza o aumentare la sorveglianza».

Per Gonggijp, le soluzioni per salvaguardare la privacy esistono in molti campi, il problema è che i governi non sembrano interessati a usarle «e non lo saranno finché l'opinione pubblica non alzerà la voce». Dunque tutto il rischio privacy dipenderà da come Spid verrà concretamente implementata. Stefano Quintarelli, che guiderà il comitato di indirizzo di Agid, è fiducioso: «Un sistema come questo, che prevede di essere soggetto alle leggi italiane e che strutturalmente divida le informazioni in modo che nessuno, a parte le forze dell'ordine italiane su mandato di un giudice, abbia la possibilità di integrare queste informazioni, mi sembra un passo decisamente avanti rispetto al trend attuale. Oggi, ci sono alcuni comuni che fanno i servizi su Facebook, una cosa ridicola, dal punto di vista del trattamento dei dati degli utenti».