Alcuni dubbi su SPID … e le risposte del suo inventore

Per chi non lo sapesse lo SPID è il sistema di identificazione digitale adottato dalla nostra Pubblica Amministrazione a fine 2021. Sono venuto ad occuparmene oggi perché il sito dell’INPS non mi permette più di accedere ai miei dati se prima non creo un profilo SPID presso uno dei 9 identity providers accreditati (ci torno sopra tra un attimo).

COME FUNZIONA SPID?

Per comprendere come funziona la risorsa migliore è il blog del suo stesso inventore, Stefano Quintarelli, che ha preparato una chiarissima pagina di FAQ (Frequently Asked Questions) che potete leggere qui.

Per capire di cosa stiamo parlando ecco la prima FAQ su “Cos’è SPID?”:

SPID serve a farsi riconoscere con valore legale da un servizio online della Pubblica Amministrazione e/o di privati e ad accedere ai servizi pubblici online degli altri Stati UE. Di per sé non è un documento d’identità ma quando la Legge impone alla Pubblica Amministrazione di controllare il documento d’identità di chi accede a un servizio, identificarsi con SPID equivale anche a presentarlo.

CHI SONO GLI IDENTITY PROVIDERS?

Anche qui, cito le FAQ dello stesso Quintarelli:

I soggetti SPID appartengono a quattro categorie:
– gli utenti (cittadini, imprese)
– i gestori che rilasciano le credenziali ed erogano il servizio di autenticazione (“identity provider” o IdP)
– i fornitori che erogano servizi online (“service provider”o SP) che autenticano gli utenti presso gli identity provider
– i fornitori di attributi (“attribute provider”) che attestano una qualche informazione relativa ad una persona (ad esempio potranno esserlo le università che attestino la laurea o gli albi professionali per attestare l’iscrizione, ecc.)

Inoltre, strada facendo (non c’era nell’idea originaria), è stata aggiunta la figura degli “aggregatori” che sono sostanzialmente degli intermediari. Se un soggetto vuole delegare a terzi l’offerta di propri servizi con accesso tramite SPID, può rivolgersi a un aggregatore. Si pensi ad esempio alle Regioni che erogano servizi per conto di molti piccoli comuni. Così possono divenire service provider SPID delegando loro tutta l’attività.

Sia gli identity provider (IDP) che i service provider (SP) che gli attribute provider possono essere soggetti pubblici o privati.

Per IDP ed SP, oltre alle leggi normali sotto la vigilanza della magistratura ed alle norme sulla privacy sotto la vigilanza del Garante per la Privacy, è previsto un accreditamento ed una vigilanza svolta dall’Agenzia per l’Italia Digitale.

In caso di violazioni sono previste sanzioni pesanti, che possono arrivare fino a multe salatissime ed alla revoca dell’accreditamento.

Questo oltre ad altre sanzioni civili ed – eventualmente – penali

Gli identity provider ad oggi sono 9, che cooperano in una sorta di federazione [link]

CHI CONTROLLA L’IDENTITY PROVIDER?

Premesso che considero la praticità di SPID nell’ottenimento dei servizi un obbiettivo sicuramente desiderabile, e apprezzo alcune delle idee di Quintarelli nel realizzare SPID credo che il risultato finale abbia qualche problema.

Fermo restando che l’unico database sicuro al 100% è quello che sta offline, al grado immediatamente inferiore di sicurezza dovrebbe esserci la possibilità (per chi ha competenza) di creare un proprio server di identificazione, cosa che permetterebbe di ritirare l’accesso ai miei dati in qualsiasi momento “disaccreditando” chi vi accede se ritengo che si “comporti male”, prima fra tutti la PA.

Questo creerebbe un’architettura in tutto simile a quella immaginata dal progetto Solid di Tim Berners Lee per il W3C, che ha l’obbiettivo di rendere il web del futuro (che si chiami Web3 o Web-vattelapesca) più simile alla sua idea originale del WWW, soprattutto per quanto riguarda il tema-chiave del controllo dei dati.

Purtroppo le condizioni per “accreditarsi” come gestori dell’identità digitale sono proibitive dal punto di vista sia economico che strutturale, e soprattutto non prevedono la partecipazione di alcuna realtà no profit al “gioco”, come spiegato qui:

https://blog.bit4id.com/spid-il-gestore-dell-identita-digitale/

Questo sembra “condannare” il sistema SPID a finire per promuovere l’acquisizione del controllo sui dati da parte di organismi terzi, gli IdP (vedi sopra), rispetto ai quali l’esercizio dei diritti del cittadino rischia di restare puramente ipotetico, in quanto estremamente costoso e complesso da esercitare.

Ho scritto all’inventore di SPID chiedendo:

Aveva pensato a questo problema in fase di design?

Se no, pensa sia possibile/desiderabile un’evoluzione di SPID nella direzione di un’architettura simile a Solid?

LE RISPOSTE DELL’INVENTORE DELLO SPID

Ecco cosa ha risposto:

Quell’articolo è datato. I requisiti sono cambiati. Comunque deve essere soggetto pubblico o società di capitali:

https://duckduckgo.com/?q=MODALIT%C3%80+PER+L%E2%80%99ACCREDITAMENTO+E+LA+VIGILANZA+DEI+GESTORI+DELL%E2%80%99IDENTITA%E2%80%99+DIGITALE++site%3Aagid.gov.it&t=newext&atb=v294-1&ia=web

Il requisito del capitale sociale elevato è venuto meno a seguito di un ricorso.

L’utente SPID puo’ sempre sospendere o revocare il proprio account direttamente dal sito del gestore che aveva scelto.

Solid e Mastodon sono cose molto diverse… Però l’insieme degli IdP è una federazione.
Qui non c’è alcuna cessione di dati. Ci sono sanzioni pesantissime (e anche reati) e ci sono tre soggetti indipendenti che verificano: AgiD, il garante privacy e la magistratura.

COMMENTO FINALE

Purtroppo temo che la sua risposta, valida sino a inizio anno, sia stata poi superata dall’azione legislativa del “governo dei migliori”.

Mi riferisco alle normative “d’emergenza”  come il DL 8 ottobre 2021, n. 139 – a.k.a. “DL capienze” che sembra, nei fatti, aver sollevato la PA da qualsiasi responsabilità nella gestione dei dati del cittadino. Cosa che ha permesso, per esempio, alle ASL di fornire dati privatissimi ai datori di lavoro senza richiedere alcun consenso o intervento da parte dei cittadini (Green Pass) e, da Gennaio, di fornirli anche ad Agenzia delle Entrate per erogare multe (multe ai NoVax).

Questo scenario, putroppo, scardina i sistemi di controllo pensati da Quintarelli, rendendoli inattuabili. E credo che questo porti al centro dell’attenzione l’idea di Berners-Lee come modello ideale per pensare il web del futuro.

Lascia un commento