Ormai ci siamo: entro questo mese partirà la sperimentazione del Pin unico per accedere ai servizi digitali della Pubblica amministrazione. La misura è compresa nel pacchetto di decreti attuativi della riforma della Pa che il Consiglio dei ministri approverà il prossimo 15 gennaio e il suo avvio è stato annunciato poco prima di Natale da Marianna Madia. “Da gennaio 2016 i cittadini potranno avere il Pin unico”, ha detto lo scorso 17 dicembre il ministro della Funzione pubblica in un’intervista a Repubblica Tv, precisando che saranno coinvolti inizialmente “300 servizi digitali di Inps, Agenzia delle Entrate e Inail”, oltre a quelli delle amministrazioni locali che hanno aderito all’iniziativa.
In particolare, hanno predisposto il necessario per partire subito con la sperimentazione il Comune di Firenze e le Regioni Piemonte, Emilia Romagna, Toscana, Liguria, Friuli Venezia Giulia e Marche. Ma l’obiettivo del Governo, ha sottolineato Madia, è fare in modo che entro i prossimi due anni “tutte le amministrazioni aderiscano al piano Spid”. L’acronimo sta per “Sistema Pubblico per la gestione dell’Identità Digitale”, ovvero il nuovo sistema di login che permetterà a cittadini e imprese di accedere con un’unica identità digitale ai servizi online della Pa e dei privati che vi aderiranno.
Lo scorso 19 dicembre l’Agenzia per l’Italia Digitale ha comunicato che InfoCert (collegata alle Camere di Commercio), Poste Italiane e Telecom Italia (con la controllata Trust Technologies) sono le prime tre aziende accreditate come gestori di identità digitali Spid (i cosiddetti “identity provider”). Da questo mese, di conseguenza, possono erogare le credenziali ai cittadini e alle imprese che le richiedono. L’AgID e il Garante per la Privacy svolgeranno le attività di vigilanza sull’operato di queste società.
Chi intende sfruttare il nuovo sistema deve tenere presente che l’identità Spid è costituita da credenziali con caratteristiche differenti in base al livello di sicurezza richiesto per l’accesso. Esistono tre livelli di sicurezza, ognuno dei quali corrisponde a tre diversi livelli di identità Spid. Cittadini e imprese possono decidere autonomamente oppure chiedere a qualsiasi gestore di identità digitale il livello di credenziali Spid che meglio si adatta alle proprie esigenze.
Il primo livello permette l’autenticazione tramite ID e password stabilita dall’utente, mentre il secondo consente di accedere utilizzando una password tradizionale più una “one time password” generata sul momento e inviata all’utente (come si usa in molti online banking). Il terzo livello, infine, prevede l’utilizzo di una password e di una smart card. A ben vedere, quindi, l’espressione “Pin unico” è comoda ma impropria: le credenziali da fornire per autenticarsi sono più di una, ma insieme costituiscono una sola identità digitale che consente di accedere a molti servizi.
Ciò non toglie che il cittadino possa dotarsi di diverse identità Spid, eventualmente con livelli diversi di sicurezza o fornite da gestori differenti, utilizzando di volta in volta quella più comoda nella singola occasione. D’altra parte, in qualunque momento l’utente potrà anche cancellare l’identità ottenuta senza fornire alcuna spiegazione. Le credenziali non utilizzare per 24 mesi consecutivi, invece, vengono revocate automaticamente dal gestore.
Per quanto riguarda la sicurezza, l’AgID sottolinea che “Spid protegge i dati personali più di una smart-card”, perché “con le carte elettroniche i dati personali utili a verificare l’identità in rete sono tutti disponibili al service provider”, mentre “con Spid, anche se l’utente sarà sempre autenticato con assoluta certezza, saranno forniti al service provider, previa autorizzazione dell’utente, solo i dati strettamente necessari per la specifica transazione. Ad esempio, per i servizi che necessitano solo di verificare la maggiore età del soggetto o di conoscere un indirizzo email, l’identity provider fornirà al service provider solo le informazioni strettamente necessarie”.