Procede a ritmo serrato il lavoro dell’Agid (Agenzia per l’Italia Digitale) per avviare entro fine anno il progetto Spid, il Sistema Pubblico di Identità Digitale pensato per offrire ai cittadini un “Pin unico” di accesso a tutti i servizi della PA. Ma sul decreto in materia (Dpcm del 24.10.2014, pubblicato sulla G.U. n. 285 del 9 dicembre 2014) – fortemente voluto dal ministro Marianna Madia – pende ancora un ricorso al Consiglio di Stato e un altro ricorso al Tar sui regolamenti attuativi dell’Agid. Pomo della discordia i criteri di accreditamento degli Identity Provider, impugnati a luglio (con successo) al Tar da Assoprovider e Assintel.
Le due associazioni contestano come anti concorrenziale il criterio dei 5 milioni di euro di capitale sociale minimo per offrire il servizio.
Il Governo non sembra curarsi troppo di questi possibili intoppi e procede a spron battuto per rispettare la sua tabella di marcia.
Nel frattempo, sono almeno tre le aziende che hanno fatto richiesta per diventare identity provider (l’accreditamento è partito il 15 settembre): si tratta di Telecom Italia, Poste, Infocert che hanno messo a punto la piattaforma già sperimentata con diverse Regioni, Comuni ed enti.
Ma i nodi da sciogliere, ben chiari anche alla Presidenza del Consiglio, restano. “Abbiamo fatto richiesta di sospensione di tutti gli accreditamenti – ha detto Fulvio Sarzana D’Ippolito, l’avvocato che cura il ricorso di Assoprovider e Assintel – dovrebbe essere interesse di tutti coinvolgere il maggior numero di Identity Provider”.
Tra l’altro, il sistema, così com’è concepito, prevede l’assegnazione un’identità digitale su tre livelli, in base al grado di sicurezza attribuito alle credenziali: il primo livello richiederà, oltre all’Id, una semplice password; per il secondo livello serviranno due password, di cui una creata in real time per l’utilizzo one shot; il terzo livello, quello più complesso, prevede l’erogazione di una password e di una smart card (a pagamento) da usare per servizi più delicati rispetto alla semplice consultazione o spedizione di un certificato, come ad esempio il pagamento online.
Dal punto di vista dei ricorrenti, sulla base di questi tre livelli sarebbe opportuno graduare anche i requisiti necessari per le aziende che si vogliono accreditare come Identity Provider: in altre parole, l’erogazione delle semplici password (primo e secondo livello) potrebbe essere un buon business potenziale anche per piccoli provider, il cui coinvolgimento eviterebbe un altro rischio connesso al sistema, vale a dire “la concentrazione di milioni di dati in mano a pochi grandi provider – aggiunge Sarzana – Il meccanismo dello Spid, non è gratuito, i ricavi arriveranno dalla vendita di dati e servizi aggiuntivi, legati anche alla sostituzione della carta d’identità e della Carta nazionale dei servizi, da parte di altri service provider”.