In occasione della Festa per il decennale di Fratelli d’Italia, il 17 dicembre 2022, il Sottosegretario alla Presidenza del Consiglio, con delega all’innovazione tecnologica e transizione digitale, Alessio Butti, ha espresso alcune considerazioni relative al futuro dell’identità digitale in Italia in cui sosteneva di voler superare l’attuale utilizzo del Sistema pubblico di identità digitale (SPID). «Dobbiamo cominciare a spegnere lo SPID e a promuovere la carta d’identità elettronica come unica identità digitale, nazionale e gestita dallo Stato».
Già nel febbraio 2020, del resto, da deputato, Butti era stato il firmatario di un ordine del giorno al decreto Milleproroghe, poi approvato dalla Camera, in cui impegnava l’esecutivo a mettere in campo le strategie adatte ad arrivare a uno SPID di Stato, con il Ministero dell’Interno quale identity provider unico «e con l’erogazione dell’identità digitale dal 2021 non più affidata ai gestori privati, ma solo ad aziende pubbliche, come Poste italiane partecipata al 64% dal MEF». L’attuale architettura generale dello SPID è basata, difatti, su dieci diversi fornitori: 1) Aruba; 2) In.Te.Sa; 3) InfoCert; 4) Lepida; 5) Namirial; 6) Poste italiane; 7) Register; 8) Sielte; 9) TeamSystem; 10) Telecom Italia Trust Technologies. La Carta d’identità elettronica (CIE) viene emessa, invece, dal Ministero dell’Interno e prodotta dall’Istituto Poligrafico e Zecca dello Stato.
Tale dichiarazione suscitava moltissime voci critiche tanto che due giorni dopo lo stesso Butti scriveva una lettera pubblica, recapitata al Corriere della Sera, in cui cercava di smorzare le polemiche fino ad allora suscitate. Con quali argomentazioni? «Per semplificare la vita in digitale dei nostri cittadini, per aumentare la sicurezza (perché più credenziali e strumenti di accesso significano più rischi), per rendere più accessibili i servizi digitali e, infine, per risparmiare (perché SPID ha un costo per lo Stato). La Carta d’Identità Elettronica è un’identità digitale equivalente e sotto diversi profili migliore rispetto allo SPID».
Nello stesso tempo, il Sottosegretario ammette i tre grossi limiti dell’attuale CIE. «Anzitutto i lunghi tempi di rilascio (diversi da Comune a Comune). Per ottenerla, inoltre, i cittadini devono pagare 16,79 euro e recarsi fisicamente presso un ufficio comunale. La CIE è ancora poco usabile da Pc e smartphone, perché richiede un lettore smartcard da collegare, o uno smartphone con lettore RFC (per intenderci, quello che possiamo usare al posto della carta di credito). Anche se alcuni telefonini di nuova generazione sono dotati di tecnologia RCF, restano ancora alcuni ostacoli. Si tratta di questioni già note e che oggi stiamo quindi affrontando».
Pur in presenza di tali limiti, il Sottosegretario si è impegna, nondimeno, a rendere l’esperienza d’uso della CIE pari a quella dello SPID, consapevole che bisogna assicurare gli stessi standard a cui si sono oramai abituati più di 33 milioni di concittadini. L’obiettivo da traguardare è, dunque quello di «assicurare il rilascio della CIE da remoto, a costo zero e in 24 ore, e per garantirne la sua usabilità, attraverso soluzioni semplici almeno quanto lo SPID». Quello che andrà fatto, nei prossimi mesi, sarà di favorire una “transizione negoziata” tra i due sistemi coinvolgendo gli attuali i fornitori di identità digitale. A questo riguardo, vale qui riportare che il numero di identità SPID erogate (numero aggregato, totale dei gestori), all’11 dicembre 2022, è di 33.324.270 mentre la CIE è altrettanto diffusa: a settembre 2022 se ne contavano circa 31,3 milioni di emissioni.
Quali considerazioni di sintesi trarre da questa vicenda? Innanzitutto, emerge una specie di sovranismo digitale che l’attuale Governo non fa mistero di voler esplicitare, fino in fondo, anche nel campo dell’annosa questione dell’identità digitale ma che è possibile rinvenire in altri aspetti dell’attuale e veloce processo di transizione digitale, ad esempio, per che riguarda il cloud nazionale, la gestione dei dati degli italiani che sono immagazzinati presso corporazioni extra-Ue, la necessità di una rete pubblica nazionale per connettere l’Italia, ecc.
La CIE contiene un chip all’interno del quale sono conservati tutti i dati personali del cittadino ed è a tutti gli effetti una carta contactless: è dotata di tecnologia near field communication (NFC), la stessa delle carte di debito e di credito di ultima generazione. Per tale ragione, è facile comprendere come vi siano aspetti connessi non solo al tema della privacy dei cittadini, ma anche a quelli connessi alla cybersecurity delle imprese commerciali interessate, paragonabili a delle infrastrutture critiche, ma anche aspetti connessi alla sicurezza nazionale, i quali non possono essere né sottaciuti e neppure sottostimati.
Sempre correlato al primo, in secondo luogo, l’identità è da sempre appannaggio dello Stato e non a caso Butti scrive che la CIE non sarebbe altro che la versione digitale di «quella che gli italiani portano nel loro portafogli dal 1931». Anche se si volesse vedere in tale datazione un sussulto nostalgico, non si può tuttavia eludere la questione, come messo in luce in un precedente articolo. Vale a dire che gli Stati sovrani, fino alla nascita delle piattaforme digitali, avevano sempre avuto il monopolio dell’identità dei propri cittadini, una tipica caratteristica apportata dalla rivoluzione industriale e dalla società di massa del ventesimo secolo.
Il terzo aspetto è strettamente collegato alla nascita e al progressivo sviluppo di un mercato delle identità digitali legali o forti, quale è la CIE. Come già messo abbondantemente in luce da Jeremy Rifkin, nel suo libro del 2000, “The Age of Access”, i cambiamenti economici degli ultimi decenni hanno dato vita a un nuovo regime dell’accesso in cui le transazioni anonime erano divenute quasi impossibili rispetto alle piattaforme commerciali (impostate quest’ultime sull’accesso mediante un’identità digitale debole e frammentata). E, oggi come oggi, tale processo si sta velocemente trasferendo anche sui social networks, anche a seguito della diffusione di fake news, software bots e trolls di vario tipo e natura.
Il quarto aspetto è quello della sicurezza informatica e, da questo punto di vista, sia CIE che SPID assicurano gli stessi livelli di protezione. In generale, l’identità digitale prevede tre livelli di autenticazione informatica: normale, significativa ed elevata, corrispondenti ai livelli 1, 2 e 3. Il primo consente di accedere ad alcuni servizi online attraverso un nome utente e una password. Il secondo permette invece di generare una one time password (OTP) mediante SMS o APP ed è necessaria su siti che richiedono un grado di sicurezza maggiore. Il terzo livello prevede anche un supporto fisico, sia esso un dispositivo per la firma digitale remota oppure una smart card.
Non si può non evidenziare, infine, un ultimo aspetto relativo alle forti interdipendenze a livello comunitario su tali questioni, ovvero di come l’Ue abbia fortemente investito su tale tematica soprattutto mediante il Regolamento eIDAS (910/2014), una delle iniziative trasversali della Strategia per la Crescita digitale 2014-2020. «Sia SPID che CIE sono “identità digitali EIDAS”, notificate a Bruxelles. La migrazione andrà pertanto gestita a livello europeo, spiegandone il senso e, soprattutto, notificando tempestivamente eventuali variazioni tecnologiche necessarie a rendere la CIE più usabile».
Ça va sans dire che per tutte queste ragioni, vale la pena riflettere sugli sviluppi attuali del processo di identità digitale e sull’incipiente mercato che si va prefigurando, a cui lo Stato non può sottrarsi, pena il lasciare il tutto nelle strategie commerciali delle corporazioni extra-Ue. Una riflessione, questa, che dovrà necessariamente essere svolta in maniera seria e puntuale senza tracimare in comportamenti astiosi e pregiudiziali, forse al solo fine della sterile e contingente polemica politica.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.