“Lo SPID (Sistema Pubblico di Identità Digitale) è una trappola per utenti e per imprenditori dei servizi, che sottende il contestabile principio secondo cui sei affidabile e degno di fare servizi ‘se e solo se’ hai un capitale sociale di 10 milioni di euro”. La pensa così Dino Bortolotto, presidente di Assoprovider, l’Associazione che fa capo a Confcommercio che raccoglie i piccoli Isp, che non si dà pace per l’esito giudiziario dei suoi ricorsi per aprire il mercato degli Identity Provider ai piccoli player. “Lo Stato favorisce pochi grandi player nel ruolo di Identity Pèrovider e non sfrutta il potenziale delle smart card in circolazione (CNS, CIE, Carta Sanitaria Regionale) su cui ha già investito decine di milioni”, attacca Bortolotto.
Battaglia legale
Una battaglia persa, finora, visto che il decreto legislativo sul nuovo CAD, uscito dal consiglio dei ministri di fine gennaio, invece di eliminare il vincolo di 5 milioni di euro di capitale sociale per l’accreditamento ad Identity Provider (in linea con una sentenza del Tar su cui si dovrebbe pronunciare anche il Consiglio di Stato, visto che la Presidenza del Consiglio ha fatto ricorso contro la sentenza del TAR che annulla il vincolo del capitale sociale minimo) ha raddoppiato a 10 milioni la quota necessaria per fornire le credenziali SPID.
Il decreto potrebbe subire delle modifiche, pare che il ministro Marianna Madia stia meditando il lancio di una consultazione sul testo del nuovo CAD, che ha subito diverse critiche da parte degli esperti.
Ma insomma, Bortolotto è amareggiato e contesta la volontà del legislatore di restringere a bella posta (alzando l’asticella del capitale sociale) l’arena degli Identity Provider (Gestore di identità), a pochi player “quelli economicamente più forti”, con un danno alla concorrenza e all’allargamento del mercato ai piccoli player esclusi a priori dalla partita. Ad oggi sono Identity Provider accreditati Telecom Italia Trust Technologies, Poste Italiane e Infocert.
Ma quali sono i punti deboli dello SPID?
Secondo Bortolotto, per come è congegnato il sistema, il gestore di Identità Digitale, che fornisce le credenziali agli utenti, godrà inoltre di vantaggi notevoli, sarà una sorta di “terzo occhio” sempre presente in ogni accesso dell’utente, “perché sarà in grado di conoscere le operazioni digitali di ogni singolo utente: quali applicazioni usa, quando le usa, e per questo potrà effettuare una profilazione ancor più precisa di quella messa in atto da social media come Google e Facebook”.
Servizi a rischio clonazione per i Service Provider
Un altro elemento di critica, secondo Bortolotto, riguarda il fatto che un fornitore di servizi (Service Provider) potrebbe subire in modo molto semplice la “clonazione” del servizio digitale che fornisce tramite SPID appunto perché “il gestore registra tutte le transazioni digitali e per questo può facilmente copiare e proporre un servizio analogo, diventando automaticamente un concorrente” dice Bortolotto, aggiungendo che se si vuole mantenere il vincolo dei 10 milioni di capitale sociale per gli Identity Provider, si dovrebbe vietare agli stessi Identity Provider di fare anche i Service Provider.
Mancato utilizzo delle smart card
Altri aspetti contestati dal presidente di Assoprovider riguardano il mancato utilizzo delle smart card in circolazione da anni (Carta nazionale dei servizi, tessera sanitaria, Carta d’identità elettronica) cui sarebbe semplice associare delle credenziali di autenticazione di primo livello (Single sign on) senza bisogno di intermediazione di terzi.
“Basterebbe una semplice app per avere una firma digitale collegata alla Carta nazionale dei servizi e alla tessera sanitaria”, dice Bortolotto.
Resta da capire, infine, perché la fornitura delle credenziali SPID non possa essere affidata direttamente agli uffici anagrafici dei comuni o agli enti pubblici, ad esempio l’Inps, che secondo cifre diffuse dal presidente Tito Boeri potrebbe disporre già di 18 milioni di identità digitali.
Le banche fiutano il business
Ma sembra che ciò non sia previsto perché il mercato dello SPID è in fase embrionale e sono molti i soggetti interessati ad accaparrarsi un fetta del mercato.
Non ultimo il settore bancario, che secondo una ricerca appena pubblicata del CETIF (Centro di Ricerca in Tecnologie, Innovazione e Servizi Finanziari) in collaborazione con Oasi sta ragionando su quale sia il modo più conveniente per entrare in partita, visto che in linea teorica avrebbero la possibilità di svolgere entrambi i ruoli (Identity Provider e Service Provider) potendo contare sul rapporto diretto con i clienti e su credenziali di identità digitali già pronte. I sistemi di identificazione digitale dei clienti bancari sono già in linea con i requisiti dello SPID di secondo livello (Strong Authentication), che presuppone password, Pin e token in mano al cliente (one time password), consegnato de visu al cliente in filiale.
Le banche diventeranno anch’esse Identity Provider?
