Arriva SPID, la CNS va in pensione?

Il PIN unico del cittadino

Renzi mostra il suo smartphone

Il 30 aprile 2014, durante la conferenza stampa al termine del consiglio dei ministri, il presidente del consiglio Matteo Renzi ha lanciato la sua idea del PIN unico: "l’introduzione del Pin del cittadino: […] oggi la pubblica amministrazione parla 13 linguaggi diversi […], noi vogliamo che la pubblica amministrazione parli lo stesso linguaggio; al cittadino basta sapere una lingua: il suo PIN. Entra e, dalle multe in giù, lavora su tutto."

Il 13 dicembre 2014, sempre Matteo Renzi, in un'intervista al New York Times, alzando il suo smartphone davanti agli occhi attoniti dell'intervistatore Robert Cohen dichiarava: "Il labirinto della pubblica amministrazione italiana deve essere semplificato in un'App. Questo è il futuro della pubblica amministrazione: quanto prenderò di pensione lo troverò qui!".

Il 29 gennaio 2015 ho partecipato all'evento "Identità Digitale: i progetti istituzionali e le iniziative aziendali" presso l'Auditorium Via Veneto a Roma; era presente il gotha dell'Agenda Digitale Italiana. Durante il dibattito ho chiesto la parola e ho domandato per quale motivo, in Italia, invece di far funzionare le cose che già ci sono (i 50 milioni di CNS distribuite ai cittadini), se ne inventino di nuove (SPID). Andrea Rigoni, alzando il suo smartphone, mi ha risposto: "D'ora in poi ai servizi della PA si accederà con questo!"

Ma allora questo di alzare lo smartphone è un mantra!

Per accedere a quali servizi?

Scherzi a parte, quando si parla di PIN unico del cittadino si sta parlando di SPID, il Sistema Pubblico per la gestione dell'Identità Digitale di cittadini e imprese che dovrebbe decollare nei prossimi mesi.

Ma quando il presidente Renzi dice che "il cittadino entra con il suo PIN e, dalle multe in giù, lavora su tutto" sta parlando degli stessi servizi della PA che ho in mente io?

Ora, a parte sapere quanto prenderà di pensione (ché forse sarebbe meglio se non lo sapesse), quali sono i servizi della PA ai quali un comune cittadino desidera accedere? Quali sono i servizi della PA ai quali ha effettivamente senso accedere con uno smartphone? E, ultimo, ma non ultimo: quali sono i servizi della PA effettivamente disponibili on-line?

S’i fosse cittadino (come sono e fui) chiederei alla PA uffici aperti sette giorni alla settimana, ventiquattr’ore al giorno. In pratica chiederei di poter presentare validamente istanze, dichiarazioni e segnalazioni da Web senza dovermi recare presso gli uffici.

L'art. 24 del Decreto Legge 24-6-2014, n.90 chiede alle PA di attuare

un piano di informatizzazione delle procedure per la presentazione di istanze, dichiarazioni e segnalazioni che permetta la compilazione on line con procedure guidate accessibili tramite autenticazione con il Sistema pubblico per la gestione dell'identità digitale di cittadini e imprese.

Ma, per presentare istanze telematiche, SPID non è sufficiente!

Non è solo un problema di identificazione

Per presentare istanze telematiche alla PA è fondamentale poter dimostrare nel tempo la formazione della volontà del soggetto e l'integrità di tutta la documentazione prodotta (si veda Andrea Lisi, 2013).

I documenti trasmessi con mezzi telematici idonei a accertarne la provenienza soddisfano il requisito della forma scritta e sono valide le istanze presentate dai soggetti identificati da un sistema informatico che ne garantisca l'identificazione.

Il problema nasce subito dopo la presentazione dell'istanza: i documenti presentati in questo modo, non essendo firmati digitalmente, non possiedono la fondamentale caratteristica dell'immodificabilità. Una volta giunti a destinazione, potrebbero essere alterati all'insaputa dell'autore, senza che sia possibile dimostrarlo (si veda Franco Ruggieri, 2002).

Non si deve sottovalutare il fatto che, quasi tutte le istanze presentate alla PA, prevedono dichiarazioni sostitutive di certificazione e dichiarazioni sostitutive di atto notorio per la falsità delle quali sono previste sanzioni penali.

Si aggiunga a questo che numerose istanze prevedono la sottoscrizione di uno o più documenti da parte di numerosi soggetti, diversi dal mittente.

Per presentare validamente istanze telematiche occorre che i cittadini siano in possesso di una firma elettronica che garantisca l'immodificabilità ai documenti trasmessi e soddisfi il requisito della forma scritta.

Non è necessaria una firma digitale: è sufficiente una firma elettronica avanzata.

La CNS: una firma elettronica avanzata per tutti i cittadini!

La CNS non è solo uno strumento di identificazione: l'art. 61 del DPCM 22-2-2013 Regole tecniche in materia di generazione, apposizione e verifica delle firme elettroniche avanzate, qualificate e digitali prevede l'uso della CNS per apporre firme elettroniche avanzate nei confronti della PA, per i servizi e le attività di cui agli articoli 64 e 65 del CAD. I formati sono gli stessi adottati per le firme "maggiori" e le applicazioni devono verificare che il certificato usato per la FEA provenga effettivamente da una CNS.

Finché le PA non erogheranno proprie soluzioni di firma elettronica avanzata, per la buona e vecchia CNS non sarà arrivato il momento di andare in pensione.

Non è un problema di tecnologia

Le principali obiezioni che sono sollevate all'uso della CNS sono di tipo tecnologico. Proviamo a esaminare le più frequenti.

I cittadini non hanno il lettore di smart-card e non conoscono il PIN

La mancata diffusione della CNS non è legata allo strumento tecnologico smart-card e neppure alla complessità del processo di rilascio del PIN, che non può prescindere dal riconoscimento del titolare della carta.

I cittadini non chiedono il PIN perché le PA, in barba all'articolo 64 del CAD, non consentono l'accesso ai loro servizi telematici con la CNS. Anzi, troppo spesso non erogano neppure servizi telematici.

Quando si interrompe questo circolo vizioso, quando la PA eroga servizi utili, accessibili con CNS, i cittadini sono pronti a comprare il lettore di smart-card e a recarsi presso uno sportello abilitato al rilascio del PIN.

Certo, finché ci saranno Regioni importanti che non rilasciano il PIN, o nelle quali per ottenere il proprio PIN si deve fare un percorso a ostacoli, il sogno di una comune cittadinanza digitale, che mi consenta di presentare istanze alla PA di una Regione distante mille chilometri dalla mia, resterà un sogno.

La smart-card ha problemi di compatibilità

Oltre al lettore smart-card, occorrono i driver per lo stesso e il middleware per leggere la carta: entrambi sono difficili da trovare.

Nella mia esperienza con le CNS questo è un falso problema. Sui siti delle Regioni che hanno voluto scommettere sull'uso della CNS, che sono una larga maggioranza, si trovano sezioni semplici e complete dalle quali è possibile scaricare manuali, driver e software di gestione. Un discorso a parte meritano le CIE, per le quali trovare il middleware è quasi impossibile e che comunque non possono essere usate per autenticazione e firma perché l'url della CRL non è raggiungibile.

Non posso usare la smart-card con lo smartphone e il tablet

Le istanze telematiche non si presentano da smartphone e nemmeno da tablet!

La presentazione di istanze telematiche richiede infatti di compilare moduli, spesso riempiendoli con una mole significativa di dati: le tastiere di smartphone e tablet non sono certo gli strumenti più indicati per farlo.

Alle istanze devono poter essere allegati relazioni tecniche, disegni, fotografie. Non sono certo documenti che si predispongono su un device mobile. L'obiezione legata alla scomodità di portarsi appresso un lettore è quindi di molto ridimensionata.

La smart-card è una tecnologia datata

Può darsi, ma con questi chiari di luna non è il caso di essere troppo schizzinosi. La CNS c'è, l'abbiamo già pagata e funziona: non si vede per quale motivo non dovremmo usarla. Si tratta di una tecnologia matura e a basso costo, il che non guasta.

In ogni caso, il fatto che molte nazioni europee la stiano usando diffusamente dovrebbe farci riflettere prima di definirla datata (Germania, Belgio, Austria, Spagna, Danimarca, Svezia, Portogallo, Estonia, ecc.)

La CNS è uno strumento di identificazione SPID di livello 3

Per chiudere questa (appassionata) difesa della CNS non si deve dimenticare che l'identificazione con CNS, essendo basata su un sistema di autenticazione informatica a due fattori, a sua volta basato su certificati digitali e adeguati criteri di custodia delle chiavi private, fornisce il livello di garanzia più elevato e può quindi essere associata a quei servizi che possono subire un serio e grave danno per cause imputabili ad abusi di identità.

Mi auguro che il garante ponga la massima attenzione per consentire l’accesso a dati sensibili solo con strumenti che ci tutelino da possibili furti d’identità.