In questi giorni, a causa della scadenza ad aprile 2023 delle convenzioni degli Identity Provider e dei successivi incontri tra Ministero e IdP, abbiamo sentito molto parlare di SPID, del suo possibile tramonto, di sostenibilità economica e di rinnovo pluriennale delle convenzioni. Parallelamente, in questi anni la carta d’identità elettronica CIE si è evoluta in identità digitale CIEId: qual è dunque il rapporto allo stato attuale tra SPID e CIE?
Vediamo nel dettaglio l’evoluzione delle identità digitali.
Quali sono le novità introdotte dall’Identità Digitale CIEId?
Alternativamente a SPID, il governo italiano sta da tempo puntando ad ampliare e migliorare gli scenari di utilizzo della CIE: con il decreto dell’8 settembre 2022 pubblicato in GU n.233 del 5 ottobre 2022, infatti, è stata introdotta l’identità digitale CIE (“CIEId” nel seguito) che rappresenta un’evoluzione rispetto all’attuale CIE 3.0, la carta di identità elettronica così come la conosciamo e utilizziamo oggi.
Facciamo un piccolo passo indietro: la CIE 3.0 è già in funzione, dà già la possibilità ai Fornitori di Servizi (FdS), pubblici e privati, di autenticare i cittadini senza neppure imporre costi di esercizio. Con il nuovo decreto prende il via la CIEId che introduce varie novità, quelle più direttamente percepibili sono:
Identità digitale CIEId
Il concetto di Identità digitale “CIEId”: corrisponde all’Identità Digitale rilasciata al cittadino e associata alla carta CIE 3.0.
Il Portale dell’identità del cittadino
L’utente finale, tramite il portale, potrà gestire la propria identità digitale CIEId. Al portale si accederà con la propria carta CIE e consentirà di:
- inserire e aggiornare i seguenti dati personali: numero di telefonia mobile, numero di telefonia fissa, indirizzo di posta elettronica, visualizzare, esprimere o revocare la propria volontà in merito alla donazione di organi e tessuti;
- visualizzare la lista delle richieste di autenticazione all’Identity Provider CIE degli ultimi ventiquattro mesi con i dettagli di ciascuna transazione.
Semplificazione di utilizzo
L’identità digitale CIEId prevede tre livelli di sicurezza per l’autenticazione e l’accesso ai servizi in rete, rispettivamente corrispondenti ai livelli basso, significativo ed elevato del regolamento eIDAS. I tre livelli corrispondono a diverse UX, più o meno sofisticate:
Set esteso di attributi utente
Per i SP (Service Provider) o FdS (Fornitori di Servizio), l’identità digitale CIEId sarà caratterizzata da un set più esteso di attributi che sono raccolti al momento dell’accreditamento e rilascio della CIE:
Oltre a questi aspetti, il decreto definisce anche la possibilità per enti pubblici e privati di assolvere le funzionalità di Aggregatore, consentendo così, sulla base di un modello federato, una più facile adesione al servizio da parte dei soggetti Fornitori di Servizi.
Anche noi in Intesys abbiamo lavorato su questo fronte per ottenere la certificazione come Aggregatore; in particolare, curiamo sia la parte tecnica e sia quella amministrativa.
In una prima fase, abbiamo creato un PBC (Packaged Business Capability) sottoforma di microservizio Kubernetes che semplifica l’interazione con AGID e gli Identity Provider (es. Poste, Namirial, ecc.) e consente a un Fornitore di Servizi di integrare le funzionalità SPID/CIE molto velocemente. Per la parte amministrativa, invece, abbiamo accumulato l’esperienza necessaria per essere aggregatori e/o gestire tutti i passaggi di moduli e documenti necessari per ottenere l’autenticazione tramite SPID e/o CIE.
Vuoi ottenere anche tu l’autenticazione dei tuoi utenti tramite identità digitale ma tutti i processi necessari ti spaventano?
Ma la CIE può sostituire lo SPID?
Al momento, sicuramente no: per esempio, la CIE ha alcuni limiti non presenti in SPID. Quelli più evidenti e che possiamo annoverare sono legati all’usabilità (in quanto è sempre necessario interagire disponendo della carta al livello 3) e, per i service provider (o FdS), l’accesso agli attributi utente è molto ristretto: nome, cognome e codice fiscale e data di nascita (nessun dato di contatto ad esempio).
L’attuale CIE, inoltre, non copre tutti i vari scenari implementati da SPID e, se anche CIEId fosse già attuato e implementato dagli SP, restano delle differenze con SPID come l’autenticazione delle persone giuridiche.
A mio modesto modo di vedere, al momento la migliore soluzione è quella di continuare a vedere CIE e CIEId come sistema complementare a SPID e TS-CNS che, messi assieme, offrono un sistema resiliente e complementare. Spegnere SPID sarebbe un fallimento tecnologico e c’è da augurarsi che trovino gli accordi per implementare un modello sostenibile in tempo prima che, come sta accadendo in questi giorni per IntesaID, non siano gli stessi IdP a rinunciare a partecipare alla federazione delle identità SPID.
Tornando alla identità digitale CIEId, è sicuramente un tema caldo che verrà portato avanti: c’è da aspettarsi che sarà presto implementata e potrà realizzare un sistema in cui sarà lo Stato italiano a garantire il servizio di Identity Provider sfruttando i servizi di anagrafe già presenti sul territorio.