Su SPID e carta d’identità elettronica
Sul possibile pensionamento dello SPID ho letto tante cose, da chi pensa che sia solo una boutade per far parlare i giornali a chi è contento perché vuole che tutto sia sempre gestito dallo Stato. Credo dunque, da persona un po’ più addentro alle cose, di dovervi fornire alcuni elementi di riflessione.
Per prima cosa, l’idea di usare al posto di SPID la carta d’identità elettronica (CIE, dotata di chip digitale da leggere con un apposito dispositivo) non è nuova. Non ci siamo solo noi; il maggior sostenitore dell’idea è la Germania, dove SPID non esiste, ma che negli anni ha messo in piedi ripetuti e costosissimi progetti di identità digitale, tutti falliti. La Germania ha una CIE come la nostra: ha poche centinaia di migliaia di utenti e fa in un mese il numero di transazioni che SPID fa in due ore.
Il motivo è semplice: la CIE è molto più complicata da usare di un sistema basato sui cellulari, che non a caso è quello che usano tutte le piattaforme americane. Serve un cellulare moderno con lettore NFC (SPID funziona anche sul Nokia del nonno via SMS…), oppure un lettore da attaccare al computer; e serve un PIN, che la gente o si dimentica o si scrive. Poi, quando la perdi o scade, aspetti per mesi il nuovo documento e nel frattempo che fai? Se poi, come successo in Estonia, si scopre che il chip è fallato e insicuro e che le carte vanno bloccate in massa, di botto tutto il Paese resta senza identità digitale fin che non hai riemesso tutte le carte, mentre SPID si aggiorna al volo via software.
Tuttavia, pochi giorni fa Germania e Francia hanno imposto al Consiglio Europeo una posizione che renderebbe illegali i sistemi come SPID perché “insicuri”, in quanto il cellulare sarebbe craccabile più facilmente di un pezzo di plastica. È una stupidaggine, perché i sistemi di identità non vengono craccati informaticamente, ma corrompendo uno all’anagrafe di Roccacannuccia perché rilasci un documento falso, oppure facendo phishing delle credenziali; e a quel punto, il metodo di autenticazione è irrilevante, anzi, la CIE può essere rubata e usata fisicamente. Del resto, non risulta che SPID sia mai stato craccato per via informatica.
Ma allora, perché il governo italiano va dietro a questo trend e prova a distruggere l’unica esperienza di identità digitale che funziona davvero in tutta Europa, con quasi 35 milioni di utenti? La risposta io non la so, ma temo sia molto banale. Il PNRR prevede l’istituzione di una nuova mega software house di stato, partecipata da INPS, INAIL e ISTAT; due settimane fa, il governo Meloni ha nominato il suo amministratore delegato. Ma una software house deve pur avere qualcosa da fare, e quindi, cosa meglio di una commessa per fare un nuovo sistema di identità nazionale e migrare a esso tutti gli SPID già esistenti? Ci sono tutti i soldi del PNRR da spendere. E se non fossero loro a farla, comunque questa commessa la si può dare a qualche ente pubblico che piaccia, come il Poligrafico che già stampa le carte d’identità , magari con subappalto ad altre aziende che piacciano: rifare qualcosa che già esiste è un gran motivo per spendere soldi dei contribuenti.
In fondo, quello che dà fastidio di SPID è che è un sistema misto pubblico-privato, in cui, orrore, il cittadino può scegliere a chi far gestire la propria identità , magari cercando qualcuno che abbia un’app che funzioni meglio delle altre o che garantisca meglio la privacy. Perché invece non rimettere tutto in mano ai luminari che hanno prodotto siti come quelli dell’Agenzia delle Entrate e dell’INPS, fulgidi esempi di usabilità ed efficienza? Sicuramente, con il monopolio informatico pubblico, verrà fuori un sistema migliore.
25 Febbraio 2023, 15:42
Uriello è sempre sui generis e non ama SPID, ma le vostre due spiegazioni sembrano complementari: se si uniscono, magari si arriva ad una ragionevole quota di verità …
https://keinpfusch.net/lo-spid-sta-finendo/
19 Maggio 2023, 05:20
Mah… sono due cagate di pari livello. C’e’ da dire 2 cose a favore dello SPID:
1. essendoci altri operatori di mezzo è più probabile che emergano eventuali cagate di stato. Se invece e’ tutto chiuso in prefettura, la cagata di stato (crimini di stato) non uscira’ mai fuori neanche per sbaglio. Però preferivo quando gli “operatori in mezzo” erano i Comuni e i loro dipendenti; anzichè grossi operatori privati.
2. SPID genera un token e sulla rete viaggia quel token, che di per se e’ anonimo senza avere a disposizione elementi che solo la persona e il suo gestore spid ha, e non devono rivelare per generare il token. La CIE invece … brrr … identità che corrono sui fili … brutta cosa. Sembra come quando Facebook cercava di convincere tutti di dover usare il proprio nome e cognome reali e la polizia postale cercava disperata di richiamare i genitori all’educazione dei propri figli (“non rivelare mai la propria identità , l’indirizzo della propria casa, …”). Solo che nel caso della CIE è lo stato a costringerti a esporti a rischi.
Il modo sicuro di fare questa cosa è di utilizzare il modello impiegato dai keyserver GPG… chissa’ se esistono ancora… solo che invece di fare i key signing party, gli autenticatori sono mamma, papa’, zio, zia, amichetto del cuore, e chiunque altro nel corso della vita abbia voglia di venire con te in comune a “firmarti l’identità ”. E poi con la chiave “certificata” generare i token anonimi (ma de-anonimizzabili in caso di richieste della magistratura) per gli acquisti, il green pass, e via discorrendo. Chissa’ se prima o poi ci arriveranno…