Cittadinanza Digitale

L’Italia è pronta per la “rivoluzione SPID”

Luca Bechelli, esperto di sicurezza e membro del comitato direttivo CLUSIT, spiega in dettaglio come funzionerà il Sistema Pubblico per la gestione dell’Identità Digitale e passa in rassegna vantaggi e criticità. L’obiettivo è la semplificazione della comunicazione con enti pubblici e amministrazioni, e una maggiore sicurezza di cittadini, Istituzioni e PA

Pubblicato il 16 Lug 2015

luca-bechelli-150721115044

Luca Bechelli

Una delle caratteristiche che ha sostenuto la rapida ed estesa diffusione di internet è l’assenza di barriere nazionali e vincoli spaziali, che ha come punto di forza la libera espressione di posizioni politiche, idee, religioni…

Questa visione “democratica” della rete non ha niente a che vedere con la democrazia. Risponde sì ad una serie di esigenze e principi “democratici”, prima tra tutte la libertà di parola e di espressione, ma allo stesso modo internet è uno spazio dove è complesso definire le giurisdizioni e le normative, assicurare il rispetto delle leggi, e dove è (solo) apparentemente più semplice esercitare la propria liberta ed i propri diritti, in primo luogo quello alla privacy.

Paradossalmente, ciò che forse è maggiormente assente in internet sono gli spazi dove la democrazia potrebbe essere esercitata, partecipata, tramite un sistema di diritti e di doveri, spazi e servizi alla cittadinanza. E questo è molto vero nel nostro Paese.

Non a caso, quello della Cittadinanza Digitale è divenuto uno dei temi di maggiore attualità nell’ambito delle iniziative intraprese dalle istituzioni italiane ed europee: la “Carta Internazionale dei Diritti Digitali” sancisce al primo punto, “Diritto alla Partecipazione”, il “…compito delle istituzioni democratiche [di] promuovere con ogni mezzo l’accesso e la partecipazione al foro pubblico digitale”.

Naturalmente, si può essere cittadini e partecipare alla vita sociale, civile e politica tramite la rete godendo solo di una “cittadinanza” tradizionale. In quanto cittadini italiani, ad esempio, si godono anche in rete i diritti sanciti dalle nostre leggi, come quella sulla tutela dei dati personali. Su internet, tuttavia, l’esercizio di tali diritti può essere più complesso che nella realtà: molti servizi massivamente utilizzati (come alcuni social network), sono gestiti da aziende straniere che non hanno base in Italia, i cui server sono ospitati in paesi extraeuropei che rispondono a normative molto diverse dalle nostre. Come trattano i nostri dati? Come li proteggono? Quali limiti sono previsti alla raccolta delle informazioni che ci riguardano?

Tali servizi nel tempo hanno progressivamente colmato il “vuoto di cittadinanza” e l’esigenza di avere un’identità, delle relazioni, una reputazione, anche nel mondo digitale.

Nuovi standard tecnici in materia di autenticazione permettono poi di utilizzare gli account creati presso tali servizi per accedere ad una pletora di nuovi strumenti e sistemi di comunicazione, i quali superano anche i limiti fisici del personal computer, essendo disponibili anche su telefoni cellulari, automobili, televisori…

Diritti e doveri del cittadino digitale

Abbiamo quindi la partecipazione, ma quali sono i diritti? Perché essi siano riconosciuti, è necessario che il legame tra le persone fisiche e gli account digitali sia sicuro, come avviene per la nostra identità “analogica” tramite la carta d’identità e tutti i controlli che essa consente di realizzare (rispondenza della foto alla persona, indirizzo di residenza, etc…). La complessità del problema è stata affrontata nel nostro paese negli ultimi 20 anni con iniziative diverse, tutte tese a rendere possibile l’interazione digitale e remota tra cittadino e pubblica amministrazione, tra cittadini e con le imprese, al pari delle tradizionali procedure che presuppongono un’esperienza fisica. La Firma Digitale e la PEC sono due esempi di come si è cercato, con risultati non sempre corrispondenti alle aspettative, di realizzare tale obiettivo.

Con il D.L. del 21 Giugno 2013, è stato fatto un ulteriore passo in avanti nell’ambito della partecipazione in rete, con l’introduzione del Sistema Pubblico per la gestione dell’identità digitale (SPID) nel Codice dell’Amministrazione Digitale, a cui hanno fatto seguito altri decreti e dispositivi attuativi (Decreto Del Presidente Del Consiglio Dei Ministri 24 ottobre 2014) e regole tecniche AgID.

Obiettivo principale dell’iniziativa è quello di restituire un’identità ai cittadini anche nella dimensione digitale. Non in quanto persone che possono (necessariamente) eseguire atti dispositivi (vedere la firma digitale) o destinatari di comunicazioni ufficiali (vedere la PEC), ma in quanto, si potrebbe dire “banalmente”, persone che utilizzano servizi! Un’identità la cui sicurezza sia affidata a soggetti che possano offrire le opportune tutele e garanzie, e che costituisca il documento di identità per accedere (anzi, partecipare) a servizi pubblici e privati che decidano di sottostare alle regole stabilite dal Legislatore.

In pratica, SPID permetterà ai cittadini di varcare la soglia di una porzione di internet che deve sottostare ad una serie di obblighi derivanti dalle normative italiane.

E i doveri? Naturalmente, con i diritti giungono anche i doveri. SPID rende “imputabile” l’uso dei servizi da parte dei cittadini, manlevando i relativi gestori dalla responsabilità di sorveglianza delle attività sui propri siti (articolo 17 del decreto legislativo 9 aprile 2003, n. 70).

L’identità digitale SPID: ecco come funziona

L’utente potrà ottenere un account da un “identity provider”, un soggetto accreditato presso AgID, tenuto a soddisfare una serie di requisiti, non ultimi di sicurezza e di tutela della privacy. A tale account il cittadino potrà associare una serie di attributi identificativi (es: dati anagrafici), secondari (numero di telefono, email, PEC, domicilio …) e qualificati (qualifiche, abilitazioni professionali, poteri di rappresentanza). Questi ultimi, in particolare, saranno “collegati” all’identità SPID ma gestiti da soggetti diversi dall’Identity Provider.

Tale account non darà accesso ad alcun servizio dell’Identity Provider, ma potrà essere usato per poter utilizzare i servizi dei fornitori accreditati a loro volta presso AgID. Per fare un parallelo, è come l’utilizzo di account Gmail o Facebook per l’autenticazione a servizi diversi, pratica oggi sempre più diffusa in particolare in ambito Cloud e social.

Molti vantaggi…

Innanzitutto, come già detto, si potrebbe avere una prima espressione di vera cittadinanza digitale: il cittadino può realmente esercitare dei diritti, poiché tutti i soggetti coinvolti sono accreditati presso AgID e sono tenuti al rispetto di una serie di regole. Ad esempio, i fornitori di servizi sono obbligati esplicitamente a rispettare la normativa per la tutela dei dati personali, ma soprattutto sono soggetti che, avendo superato un processo di accreditamento, hanno caratteristiche tali da non poter sfuggire a futuri adempimenti, al coinvolgimento in attività di indagine o a procedimenti legali.

Anche il cittadino digitale non è un soggetto passivo, in primo luogo in relazione ai propri doveri, dato che le sue azioni sono imputabili. Egli è, a tutti gli effetti, riconoscibile.

Un ulteriore elemento di valore consiste nel fatto che il legislatore ha correttamente distinto l’identità dalla procedura di autenticazione. I due aspetti sono naturalmente in stretta relazione, ma l’esistere e l’essere riconosciuti sono, anche nella realtà, due condizioni molto diverse! Infatti, l’identità SPID potrà essere verificata mediante diversi livelli di sicurezza. La scelta del livello di sicurezza attiene al fornitore di servizi, in funzione dei rischi connessi con l’erogazione degli stessi, mentre l’Identity Provider dovrà rendere disponibili tutti i livelli previsti. Questo aspetto non è secondario, perché influenza i costi ed i tempi di adozione del sistema SPID, la complessità di utilizzo e la versatilità nell’adattarsi alle esigenze di servizi potenzialmente molto diversi: se lo SPID fosse solo concepito come uno “strumento per l’autenticazione sicura”, rischierebbe di essere relegato all’uso di particolari servizi, mentre è obiettivo del legislatore farne uno strumento di uso comune, destinato ad esempio anche a servizi di semplice consultazione.

…e qualche difetto

E’ tutto oro quel che luccica?

Probabilmente no. SPID ha verosimilmente tutti i difetti fisiologici di una iniziativa di grande prospettiva, che nasce in uno scenario tecnologico nel quale gli utenti sono ammaliati da servizi sempre più semplici, immediati, gratuiti, adattivi e multi-piattaforma, in costante evoluzione.

In pratica, si corrono sia i rischi che SPID non riesca a offrire le necessarie garanzie di cittadinanza, sia che per farlo non abbia le opportune caratteristiche di usabilità e attrattiva verso gli utenti finali.

Viene da molti preso in considerazione il pericolo di concentrare nelle mani degli Identity Provider un patrimonio di “big data” potenzialmente pericoloso per la privacy degli utenti, tenuto conto che i soggetti che probabilmente avranno le caratteristiche per svolgere tale ruolo sono gli operatori Telco, le Banche ed altri attori che potrebbero già avere un notevole capitale di informazioni.

Per alcuni, SPID è percepito come una “targa” appesa ad ogni cittadino che viaggia sulle autostrade digitali.

Inoltre, dalla lettura dei documenti tecnici si evince, in generale, una minore considerazione delle esigenze di sicurezza del cittadino rispetto a quelle dei fornitori di servizi nella valutazione del rischi informatici e nella definizione delle misure di sicurezza da adottare. Per fare un esempio, per quanto concerne la scelta del livello di autenticazione da utilizzare per l’accesso ad un servizio, le linee guida offrono solo degli approcci esemplificativi in cui il rischio per l’utente non pare essere ritenuto centrale.

Mancano poi tutta una serie di elementi di integrazione con aspetti normativi e procedurali esistenti, che possono costituire un acceleratore per l’adozione del servizio da parte dei cittadini: a titolo esemplificativo, il numero di cellulare potrà essere uno strumento a supporto dell’autenticazione di identità SPID, e per ottenerlo ciascuno di noi ha già svolto una procedura di riconoscimento, con tanto di documenti di identità “cartacei”; viene naturale immaginare che sia possibile ottenere una identità SPID semplicemente dimostrando di possedere un certo numero di telefono, cosa attualmente non prevista, almeno ai livelli più bassi di sicurezza

Infine, non sembrano ancora essere previsti elementi di controllo dell’utilizzo delle identità digitali (es: sistemi di notifica) a tutela dell’utente, di comprovata efficacia nell’ambito dei servizi bancari.

Cittadini digitali, non apolidi naviganti: serve consapevolezza

Tutti questi aspetti devono però essere misurati in rapporto alla realtà corrente. Abbiamo già detto che il “vuoto di cittadinanza” è stato in parte colmato dai soliti “big” fornitori di servizi di posta, Cloud e social. Servizi solo apparentemente gratuiti, perché in cambio di gigabyte di spazio, o dell’opportunità di ritrovare i nostri vecchi compagni di scuola, registrano (loro sì!) big data di informazioni personali. Gestiti nel rispetto di normative diverse dalla nostra.

I genitori degli studenti delle scuole primarie discutono dei problemi scolastici nei gruppi dei social network, molti comuni consentono l’accesso con account di fornitori di servizi social e Cloud. Ecco che i principali rischi di SPID sono già una realtà, da cui il Regolatore è escluso per problemi giurisdizionali, in attesa di iniziative a livello europeo prima che nazionale.

Naturalmente non possiamo adottare una posizione tesa al “male minore”, pertanto è opportuno che alle varie critiche siano poste in essere risposte adeguate. In tal senso, non va dimenticato che SPID ha il vantaggio di essere stato disegnato tecnicamente su standard aperti, che AgID ha reso disponibili i regolamenti tecnici fino dalle prime bozze, e l’Ufficio del Garante per la Protezione dei Dati Personali dovrà esprimersi (se già non l’ha fatto) sulla bontà delle tutele e garanzie offerte.

Siamo inoltre in un contesto tecnologico in cui l’evoluzione stessa degli strumenti, se l’iniziativa sarà adeguatamente sostenuta, renderà necessaria nel tempo una periodica revisione e rivalutazione del modello tecnico e di tutti gli aspetti procedurali al contorno.

Il cittadino dovrà essere reso consapevole di cosa significa e quali vantaggi determinano l’essere “cittadini digitali” piuttosto che semplici, apolidi, “naviganti”, non sottovalutando il timore di coloro che credono che con l’identità SPID si venga “targati” sulla rete. SPID aprirà uno spazio di cittadinanza nel quale valgono le regole, che sono soprattutto una tutela delle persone. Uno spazio che non è diverso dalle strade in cui ci muoviamo con le nostre automobili, dove i limiti di velocità non servono a generare multe, ma a salvaguardare se stessi e gli altri.

Questo spazio non è vincolante, o limitante. Esisterà un “logout”, oltre il quale tornare ad esercitare il nostro diritto di (presunta) anonimia. La sfida più difficile sarà quindi rendere consapevoli le persone di come bilanciare la propria esperienza in rete fuori e dentro lo spazio di cittadinanza, e rendere quest’ultimo realmente più interessante da utilizzare.

*Luca Bechelli, Security Consultant e membro del Comitato Direttivo CLUSIT www.bechelli.net

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 3