Intervista ad Andrea Rigoni, oggi Partner di Deloitte
Partito a marzo scorso, Spid, il Sistema pubblico dell’identità digitale, ancora non decolla come da auspici governativi. A complicare questo nuovo approccio ai servizi della pubblica amministrazione anche la notizia di una falla nella sicurezza, di certo non una bella pubblicità per chi ancora deve familiarizzare con Spid.
A minimizzare l’accaduto è Andrea Rigoni, oggi Partner di Deloitte ma che ha seguito in particolare il tema di Spid quando ha lavorato con Francesco Caio, all’epoca della sua nomina di Commissario per l’Agenda Digitale dall’allora Presidente del Consiglio Enrico Letta.
Partiamo dalla cronaca più recente, cioè dal giornalista del “Fatto Quotidiano” che ha ottenuto l’identità digitale del collega spacciandosi per lui con un’autenticazione via webcam, potendo in seguito accedere a tutti i suoi dati sensibili. Non è una prova che Spid è stato pensato male?
Assolutamente no. La polemica è del tutto strumentale, perché il Decreto Spid contempla attentamente l’aspetto della sicurezza, quindi è sufficiente attenersi a quanto stabilito dalla legge per evitare il problema che chiaramente si propone quando questo non viene fatto, che è quanto avvenuto nel caso citato.
Il problema allora è il rispetto delle regole, non l’assenza delle stesse?
Esattamente. La sicurezza è data dal processo, dal modo in cui si gestisce la tecnologia. La procedura è fondamentale e prescinde da chi esercita il controllo in una sterile polemica pubblico – privato, in cui si demonizza inutilmente il secondo. Quando il privato è chiamato alla verifica di un documento, infatti, si comporta come un pubblico ufficiale, ma tale verifica è vanificata dal controllo via webcam, perché la validazione da remoto non si può sostituire a quella fisica, grazie alla quale si può certificare l’autenticità del documento. Quello della verifica è un momento importantissimo, direi persino sacro per la ricaduta che ha nel prosieguo delle operazioni.
Quindi verifica sempre a vista e mai da remoto?
La verifica da remoto è possibile solo con documenti che possano essere controllati per via digitale. Fondamentale, inoltre, è che tutti i gestori dispongano dell’accesso alle basi dati istituzionali che consentono la verifica di coerenza degli attributi. In caso di validazione dell’identità tramite documenti fisici come carta d’identità tradizionale o passaporto, il riconoscimento a vista è indispensabile proprio al fine di consentire la verifica del documento d’identità e consegnare in modo certo e sicuro le credenziali. Tutto questo è prescritto dalla legge. La soluzione per garantire Spid, dunque, è quella di attenersi in maniera rigorosa al Decreto.
Maggiore correttezza nella procedura e legittimo coinvolgimento dei privati è allora la ricetta per il futuro di Spid?
Certamente. I privati possono benissimo erogare servizi pubblici, mentre le Istituzioni danno principi e linee guida. La vigilanza, insomma, è pubblica, e credo sia veramente miope polemizzare nei confronti del partenariato con il privato di cui Spid dovrebbe essere un modello. L’apporto maggiore da parte dei privati, anzi, porterebbe ad accelerare l’adozione di Spid, esattamente come nel settore e-commerce o per l’acquisto di biglietti. Ormai tutti compriamo via Internet. Basterebbe seguire anche l’esempio di Facebook, che fa accedere a Spotify ed a numerosi altri ambienti perché l’utente ha già una sua identità sul social. Il bonus da 500 euro per docenti, ottenibile solo attraverso Spid, è sicuramente un incentivo a familiarizzare con il sistema, ma bisognerebbe affiancare a questo un’altra serie di servizi, facendo leva sui processi dell’economia digitale e senza demonizzare inutilmente i privati.