|
È risaputo che siamo nel pieno di una rivoluzione, quella digitale, visibile sotto i nostri occhi e costantemente in evoluzione.
Siamo alla fine di un'epoca e all'inizio di un'altra.
Un segnale importante dell'inizio del nuovo potrebbe essere dato dal sistema SPID, acronimo di Sistema Pubblico di Identità Digitale.
Il sistema dovrebbe risolvere problemi come le molteplici credenziali di cui ognuno di noi deve dotarsi per accedere ai servizi online della pubblica amministrazione, così come ridurre le file e le attese agli sportelli spostando l'utenza online.
Si tratta di qualcosa dai risvolti potenzialmente molto concreti: pensiamo ad es. al calcolo di contributi, all'effettuazione di pratiche d'impresa, etc.
Ma gli effetti potrebbero estendersi ai rapporti tra privati per quanto riguarda i servizi online delle imprese che aderiranno al sistema.
Il sistema SPID è previsto dall'art. 64 del Codice dell'Amministrazione digitale (D.Lgs. n. 82/2005, d'ora in poi Codice) in seguito alle modifiche apportate dal Decreto del Fare (D.L. n. 69/2013, poi convertito nella L. n. 98/2013); modifiche ulteriormente modificate dal D.Lgs. n. 179/2916.
Il Decreto della Presidenza del Consiglio dei Ministri del 24 ottobre 2014 (d'ora in poi D.P.C.M.) ha poi stabilito la «Definizione delle caratteristiche del sistema pubblico per la gestione dell'identità digitale di cittadini e imprese (SPID), nonché dei tempi e delle modalità di adozione del sistema SPID da parte delle pubbliche amministrazioni e delle imprese».
Il detto decreto (all'art. 4) affida all'Agenzia per l'Itaia Digitale alcune attività, tra cui, (per quanto qui interessa), sentita l'Autorità Garante per la protezione dei dati personali, l'emanazione di alcuni regolamenti, che sono stati emanati con la Determinazionen. 44 del 2015 e che riguardano: «regole tecniche; - modalità attuative per la realizzazione dello SPID; - modalità di accreditamento dei soggetti SPID; - procedure necessarie a consentire ai gestori dell'identità digitale, tramite l'utilizzo di altri sistemi di identificazione informatica conformi ai requisiti dello SPID, il rilascio dell'identità digitale».
Successivamente l'Agenzia ha emanato la Determinazione n. 189/2016, contenente gli modifiche a due dei predetti regolamenti e cioè il «Regolamento recante le modalità attuative per la realizzazione dello SPID (articolo 4, comma 2 DPCM 24 ottobre 2014)» e «Regolamento recante le modalità per l'accreditamento e la vigilanza dei gestori dell'identità digitale (articolo 1, comma 1, lettera l), DPCM 24 ottobre 2014)».
Inoltre, è stata emanata la Determinazione 239/2016 relativa allo «Schema di convenzione per l'adesione al Sistema Pubblico per la gestione dell'Identità digitale (SPID) tra l'Agenzia per l'Italia digitale e i privati in qualità di fornitori di servizi accessibili nell'ambito SPID».
L'art. 64 del Codice è oggi intitolato «Sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni».
Il sistema è istituito al fine esplicito di «favorire la diffusione di servizi in rete e agevolare l'accesso agli stessi da parte di cittadini e imprese, anche in mobilità» (v. art. 64); l'istituzione del sistema é a cura dell'Agenzia per l'Italia digitale (acronimo AgID), l'Agenzia istituita dal D.L. n. 83 del 2012, che ha il compito (tra gli altri) di attuare gli obiettivi dell'Agenda digitale italiana.
L'articolo prevede che, oltre che tramite SPID, l'accesso ai servizi della P.A., che richiedono l'identificazione informatica è possibile anche tramite la carta d'identità elettronica e la carta nazionale dei servizi.
Il co. 2-ter dell'art. 64 oggi definisce SPID «insieme aperto di soggetti pubblici e privati che, previo accreditamento da parte dell'AgID, ..., identificano gli utenti per consentire loro l'accesso ai servizi in rete».
Le pubbliche amministrazioni che erogano in rete servizi qualificati devono passare al sistema SPID entro 24 mesi dall'accreditamento del primo gestore di identità digitale (v. art.14, D.P.C.M.).
Il «servizio qualificato» è quello «per la cui erogazione é necessaria l'identificazione informatica dell'utente» (v. art.1, lett.t, D.P.C.M.).
Per la pubblica amministrazione, dunque, il passaggio al sistema è obbligatorio.
Ma il sistema non è pensato solo per i servizi della pubblica amministrazione.
Infatti, quanto alle imprese, il co.2-quinquies dell'art. 64 del Codice riconosce loro «la facoltà» di usufruire del sistema «per la gestione dell'identità digitale» degli utenti.
L'adesione al sistema SPID «per la verifica dell'accesso ai propri servizi erogati in rete per i quali e' richiesto il riconoscimento dell'utente» comporta l'esonero per l'impresa dagli obblighi di informazione di quanto accade sui propri siti, prescritti dall'articolo 17 co. 2, D.Lgs. n. 70/2003.
Chiarisce, infatti, il D.P.C.M. che le imprese adempiono ai detti obblighi comunicando «il codice identificativo dell'identità digitale» che l'utente utilizza (v. artt. 64, Codice e 15, D.P.C.M.).
Tale decreto indica, quali soggetti del sistema:
«a) i gestori dell'identità digitale; b) i gestori degli attributi qualificati; c) i fornitori di servizi; d) l'Agenzia; e) gli utenti» (v. art. 3, co.2, D.P.C.M.).
Tali soggetti, esclusi gli utenti «costituiscono un sistema aperto e cooperante che consente loro di comunicare utilizzando meccanismi di interazione, standard tecnologici e protocolli indicati nel presente decreto e precisati nelle regole tecniche definite dall'Agenzia nell'ambito dei regolamenti ...» (art. 3, co.2, D.P.C.M.).
I «gestori dell'identità digitale» sono «le persone giuridiche accreditate» al sistema SPID «che in qualità di gestori di servizio pubblico, previa identificazione certa dell'utente, assegnano, rendono disponibili e gestiscono gli attributi utilizzati dal medesimo utente al fine della sua identificazione informatica.
Essi, inoltre, forniscono i servizi necessari a gestire l'attribuzione dell'identità digitale degli utenti, la distribuzione e l'interoperabilità delle credenziali di accesso, la riservatezza delle informazioni gestite e l'autenticazione informatica degli utenti» (v. art.1, lett.l, D.P.C.M.).
Mentre i «gestori di attributi qualificati» sono «i soggetti accreditati...che hanno il potere di attestare il possesso e la validità di attributi qualificati, su richiesta dei fornitori di servizi» (v. art. 1, lett. m, D.P.C.M.).
Gli «attributi qualificati» sono: «le qualifiche, le abilitazioni professionali e i poteri di rappresentanza e qualsiasi altro tipo di attributo attestato da un gestore di attributi qualificati» (v. art.1, lett. e, D.P.C.M.).
I «fornitori dei servizi» sono i fornitori dei servizi della societa' dell'informazione (cioè, di attività economiche svolte on line, nonché di «qualsiasi servizio della società dell'informazione, vale a dire qualsiasi servizio prestato normalmente dietro retribuzione, a distanza, per via elettronica e a richiesta individuale di un destinatario di servizi», ex art. 1, co.2, lett. a, D.Lgs. n.70/2003).
Può trattarsi anche di «servizi di un'amministrazione o di un ente pubblico erogati agli utenti attraverso sistemi informativi accessibili in rete» (v. art.1, lett. i, D.P.C.M.).
Il fornitore di servizi, una volta ricevuta la richiesta di identificazione informatica dell'utente, la inoltra al gestore dell'identità digitale e ne riceve l'esito.
L'Agenzia, naturalmente, è l'Agenzia per l'Italia digitale.
Mentre, infine, l'utente è ognuno di noi nel momento in cui si avvale di quello specifico servizio.
Fulcro del nuovo sistema è la creazione di un'unica identità digitale, cioè la creazione di credenziali uniche per ogni soggetto e da questi utilizzabili per la fruizione di ogni servizio on line della p.a. per il quale è previsto l'accertamento dell'identità.
Questa, è definita come: «la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale secondo le modalità di cui al presente decreto e dei suoi regolamenti attuativi» (art. 1, lett.o, D.P.C.M.).
Le identità digitali vengono rilasciate, su domanda del soggetto interessato, dal gestore dell'identità digitale, che dopo avere verificato l'identità del soggetto, gli consegna «in modalità sicura» le credenziali per l'accesso. I gestori delle identità digitali devono individuare nell'ambito della propria struttura, il soggetto «responsabile delle attività di verifica dell'identità del soggetto richiedente» (art. 7, co.1, D.P.C.M.).
Gli «attributi» sono le «informazioni o qualità di un utente utilizzate per rappresentare la sua identità, il suo stato, la sua forma giuridica o altre caratteristiche peculiari» (v. art.1, lett. b, D.P.C.M.).
Gli «attributi identiticativi» sono invece: «nome, cognome, luogo e data di nascita, sesso, ovvero ragione o denominazione sociale, sede legale, nonché il codice fiscale o la partita IVA e gli estremi del documento d'identità utilizzato ai fini dell'identificazione» (v. art.1, lett. c, D.P.C.M.).
Nell'ambito del sistema SPID sono previsti «tre livelli di sicurezza di autenticazione informatica», cui corrispondono tre diversi livelli di identità digitale: per il primo livello è necessaria la password, per il secondo, oltre alla password, è necessario un codice temporaneo; mentre, per il terzo, oltre alla password, è necessario un dispositivo di accesso (v. art.6, D.P.C.M.).
In sostanza quindi, a seconda dei servizi cambia il livello di sicurezza e di conseguenza il livello di autenticazione.
Come prescritto dalle stesse norme, all'elaborazione delle norme ha preso parte il Garante della Privacy naturalmente al fine di garantire la tutela della privacy degli utenti.
In sostanza, il sistema realizza l'accesso con uniche credenziali per ogni utente a tutti i servizi delle varie pubbliche amministrazioni, per i quali è necessaria un'identificazione digitale.
Il sistema è obbligatorio per le pubbliche amministrazioni.
Quanto ai privati che svolgono servizi on line, per loro il sistema è facoltativo: se vogliono, possono partecipare; certamente dipenderà anche dalla loro adesione spontanea la riuscita del progetto.
L'identità digitale è fornita dai gestori accreditati, i «gestori dell'identità digitale» su richiesta dell'interessato e previa verifica della sua identità.
Per maggiori informazioni, comprese quelle relative alle amministrazioni per cui il sistema è partito o i nomi dei gestori delle identità, nonché per la lettura integrale dei testi normativi (necessaria, data la complessità della materia) si possono utilizzare il sito dell'Agenzia per l'Italia digitale, www.agid.gov.it, e il sito dedicato al nuovo sistema www.spid.gov.it.
|
||