Il nuovo regolamento eIDAS mette a rischio il futuro di Spid. A lanciare l’allarme AssoCertificatori, l’associazione che riunisce i principali prestatori di servizi fiduciari italiani, all’indomani dell’adozione da parte del Consiglio Ue di un approccio comune sulla proposta di legge relativa all’eID, il sistema di identità digitale dei Paesi Ue che mira a rendere interoperabili le identità digitali sviluppate dagli Stati membri.
A preoccupare i provider, l’articolo 24 del regolamento che prevede, fra l’altro, l’uso di sistemi di identità digitale – anche per le firme digitali – basati su “Level of Assurance (LoA)” di tipo “high” e non più di tipo “substantial”.
“Lo Spid italiano- spiega Carmine Auletta, presidente di AssoCertificatori – rientra nelle identità digitali di livello “substantial” ovvero non prevede la presenza fisica dell’utente al momento della richiesta, ma comunque richiede misure di riconoscimento e identificazione rigorose, normate e già soggette a controllo e vigilanza. Al contrario il livello “high” stabilisce l’obbligo della presenza fisica nonché la persistenza del dato su un chip. In sostanza una identità digitale collegata a una carta di identità elettronica, come avviene per l’identità digitale adottata dalla Germania”.
E proprio questa caratteristica mancante a Spid rischia di metterlo all’angolo. Il perché è presto detto: il regolamento eIDAS ha normato la creazione di un digital wallet dove verranno inserite tutte le credenziali dei cittadini europei che potranno essere utilizzate in modalità transfrontaliera ovvero per accedere a servizi anche di altri Stati membri. Ma si è scelto, appunto, di inserire solo i servizi di livello alto e di escludere gli altri.
“Al di là dei tecnicismi – puntualizza AssoCertificatori – questo vorrebbe dire escludere Spid da un utilizzo massivo come strumento di identificazione per il rilascio di certificati di firma digitale o per il futuro digital wallet a vantaggio di altri sistemi quali la Carta Identità Elettronica, la cui user experience è ad oggi percepita dagli utilizzatori in modo del tutto differente. Sono pochissimi, infatti, i cittadini che sanno che una carta di identità può essere usata per il riconoscimento da remoto solo se si è in possesso del relativo pin di sblocco”.
L’Europa sembra dunque aver abbracciato il modello “basato su carta/chip” secondo cui sono più sicure le identità digitali di livello high, dimenticando però due elementi importanti relativi a servizi come Spid.
“Il primo – sottolinea Auletta – è che Spid è stato sviluppato nel pieno rispetto delle linee guida europee sull’identità digitale, il che garantisce un livello di protezione e sicurezza elevatissimo; il secondo che il ‘collegamento’ di Spid con una card dotata di chip rischia di rendere meno fruibili i servizi elettronici quando l’Italia ha dimostrato che, invece, la user experience è uno dei fattori chiave per il successo di qualunque identità digitale”.
Come dimostrano i dati. In Italia 33 milioni di cittadini hanno Spid, secondo l’Osservatorio Digital Identity del Polimi, mentre in Germania tutti hanno un’identità digitale collegata alla carta di identità elettronica, ma nella pratica viene utilizzata pochissimo.
Tanto per fare un esempio: nella settimana tra il 21 e 27 novembre 2022 sono state 23.6 milioni le transazioni effettuate con Spid a fronte di 500mila effettuate con la carta di identità tedesca in nove mesi ovvero tra gennaio e settembre 2022.
“La questione è rilevante per l’Italia, paese in cui sia Spid che i Sistemi di Firma Digitale hanno raggiunto una elevata diffusione, in quanto l’adozione di modelli differenti forse favorirebbe le nazioni che sono molto più indietro in termini di adozione mentre sarebbe certo penalizzante per l’Italia – puntualizza Auletta – Assocertificatori al riguardo sta avviando delle azioni di sensibilizzazione di concerto con altre associazioni a livello europeo, ma è necessario, anche in questo caso, il presidio anche delle istituzioni, pur in periodi politicamente complessi come quello attuale”.
Per accendere i riflettori sulla questione AssoCertificatori intende promuovere una open call aperta a tutti gli esperti, cittadini, aziende, associazioni di categoria.
“La nostra speranza è riuscire a ribaltare la decisione a livello di Parlamento europeo”, conclude Auletta.
