Che cos’è il Sistema pubblico per la gestione dell’identità digitale

Di SPID avevo già parlato ad agosto dell’anno scorso. È l’acronimo di “Sistema Pubblico per la gestione dell’Identità Digitale”. È sostanzialmente una creatura immaginata dall’AGID – l’agenzia per l’Italia digitale, delle cui vicende abbiamo abbondantemente parlato – che lo inserisce sul suo sito tra le “architetture e infrastrutture” digitali del paese
Si tratta di una “password personale unica” che da accesso ai servizi online della P.A, dal fisco alla sanità alla previdenza.


L’Agid aveva fissato i criteri per cui un provider poteva richiedere di diventare “gestore” di Spid.
E a meno di dieci giorni dal lancio ufficiale effettuato il 15 marzo scorso dal Ministro per la semplificazione Marianna Madia la quarta sezione del Consiglio di Stato presieduta da Sergio Santoro, pronunciando definitivamente il 24 Marzo sullo SPID, ha confermato la sentenza del Tar Lazio del luglio 2015, mettendo una pietra tombale sul modello privato prefigurato dalla Presidenza del Consiglio ed incentrato sulla presenza di pochissimi fornitori di grandi proporzioni economiche.
Il Consiglio di Stato chiarisce che SPID è un sistema essenzialmente basato su password e non può dunque essere equiparato alle modalità di identificazione forte quali la carta nazionale dei servizi e la firma digitale , conseguentemente non può richiedersi per la prestazione dei servizi di identificazione, criteri economici sproporzionati.


In sintesi per il Consiglio di Stato lo SPID è una password, e non si possono richiedere 5 milioni di capitale sociale.
Il Consiglio di Stato chiarisce che Spid è un sistema essenzialmente basato su password e non può dunque essere equiparato alle modalità di identificazione forte quali la carta nazionale dei servizi e la firma digitale: di conseguenza non possono richiedersi, per la prestazione dei servizi di identificazione, criteri economici sproporzionati.


“La Sezione, nel condividere gli argomenti della sentenza impugnata, ritiene che l’appello debba essere rigettato si legge nella sentenza – Non può condividersi infatti l’argomento invocato dall’appellante Presidenza del Consiglio dei Ministri, secondo cui l’elevato capitale sociale minimo di 5 mln di euro della società di capitali, alla cui costituzione debbono procedere i gestori dell’identità digitale nel sistema SPID, sarebbe indispensabile per dimostrare la loro affidabilità organizzativa, tecnica e finanziaria, e ciò solo perché l’attività di cui trattasi richiede un rilevante apporto di elevata tecnologia, la cui validità non può ritenersi direttamente proporzionale al capitale sociale versato. In questi termini, si evidenzia altresì l’illegittimità per irragionevolezza dell’impedimento all’accesso al mercato di riferimento, dovuto all’elevato importo del capitale sociale minimo richiesto con l’atto impugnato, trattandosi di scelta rivolta a privilegiare una finalità di incerta efficacia, a fronte della sicura conseguenza negativa di vedere escluse dal mercato stesso tutte le imprese del settore di piccole e medie dimensioni, quali appunto quelle rappresentate dalle associazioni ricorrenti”.
Restano sul tavolo tutte le solite questioni.


I servizi di PA digitale devono aumentare? assolutamente si.
Devono essere accessibili (economicamente e strutturalmente e infrastrutturalmente e “sintatticamente” – percorso e linguaggio)? assolutamente si.
La PA si deve semplificare e avvicinare al cittadino? Ovviamente si.
Nessuno, sano di mente, sosterrebbe il contrario.
Ora, si può discutere il come? perché non è sicuro e quando parli di dati sensibili “non sicuro” significa “pericoloso”.
E o hanno dimostrato molti casi simili e precedenti in altri Paesi.
Da noi il rischio è anche duplice, perché oltre a restare sul tavolo la questione della tutela della riservatezza di dati utili ad accedere ad atti ed informazioni personali, c’è anche il tema della concentrazione “in mano a pochi soggetti privati” di tutte le password di accesso di tutti i cittadini. 
Ed a parte il criterio patrimoniale (che il Consiglio di Stato ha rilevato non utile e insufficiente ed ha cassato) non esiste alcun criterio tecnico, parafrasando la sentenza “per dimostrare la loro affidabilità organizzativa, tecnica e finanziaria, e ciò solo perché l’attività di cui trattasi richiede un rilevante apporto di elevata tecnologia, la cui validità non può ritenersi direttamente proporzionale al capitale sociale versato.”

Alcune note da non trascurare:


1) il provider deve soddisfare caratteristiche di sicurezza non banali, per le fasi di identificazione, per il suo processo interno di gestione e per la consegna delle credenziali

2) la parte puramente tecnologica di affidabilità e sicurezza nella identificazione informatica

3) deve essere ed apparire “credibile” ovvero non deve accadere che si possa neanche pensare che qualcuno conceda l’accesso a terzi

. L’unico provider di identità di qualsiasi tipo per definizione non può che essere lo Stato.
 Pensiamoci. È tecnicamente come delegare a società private la redazione e consegna delle carte di identità o di passaporti… che lo Stato non delega nemmeno per la parte tecnica di stampa (che non a caso sono realizzati su carte e con inchiostri speciali dalla Zecca).


E allora dato che per simmetria parliamo della stessa cosa, e anzi proprio l’immaterialità dello strumento digitale rende anche più delicata la verifica, perché non applichiamo lo stesso principio?
Consideriamo poi il dettaglio che non esiste un modello di business per coprire investimenti e costi di questa azione da parte dei provider privati. Quindi: chi pagherà per tutto questo? Alla fine essendo un “servizio pubblico” avrà o un costo di gestione in termini di contratto di servizio (e nessuno ci ha detto a quanto e con quale gara) o avrà un costo per il cittadino richiedente, e non è chiaro chi stabilisca e secondo quali criteri e principi questo importo, e non è chiaro perché – se così fosse – non se ne parli prima dei decreti e degli affidamenti.
C’è poi un tema delicatissimo, che riguarda il riconoscimento della persona.
E su questo rinvio integralmente a quanto ha scritto su Linkiesta Paolino Madotto.