La Pubblica Amministrazione del futuro secondo la riforma Madia: il

Sono diverse le novità previste dalla legge Madia in ambito di digitalizzazione; la cittadinanza digitale è un concetto ampio, formato da alcuni istituti che contribuiscono a definirne il significato. In particolare, essa si lega a due strumenti, introdotti per la verità prima della legge del 2015, che però trovano in essa compiuta realizzazione: mi riferisco al Sistema Pubblico di Identità Digitale (SPID) e all’Anagrafe Nazionale della Popolazione Residente (ANPR).

Il primo è stato previsto per la prima volta dall’articolo 17-ter del Decreto Legge 21 giugno 2013, n. 69, ha trovato in seguito spazio nel CAD all’art. 64 e le sue regole sono contenute nel Decreto del Presidente del Consiglio dei Ministri n. 285/2014; trattasi del primo pilastro su cui impostare l’accessibilità on line ai servizi e alle

55 _{DE MAIO G., Semplificazione e digitalizzazione: un nuovo modello burocratico, op. cit., pp. 138-}

46 comunicazioni di interesse dei cittadini. Esso, infatti, permette l’accesso tramite un unico login ai servizi in rete di pubbliche amministrazioni, imprese e privati aderenti - Agenzia delle entrate, scuole, banche, ASL, INPS, Comuni, solo per citarne alcuni - in un ambiente caratterizzato da sicurezza, economicità ed efficacia: in sostanza, il cittadino potrà accedere a qualsiasi servizio online mediante un unico PIN universalmente accettato e tramite qualsivoglia dispositivo, sia esso un computer, un tablet o uno smartphone. Tale sistema - diversamente da quello attuale, nel quale sono richieste credenziali diverse per ogni servizio ed ente - consentirà agli interessati di autenticarsi una volta sola per qualunque erogatore di servizi online, sia esso pubblico o privato, italiano o europeo. Come suggerisce il nome stesso, SPID si basa sul concetto di identità digitale, che può essere definita come la rappresentazione informatica della corrispondenza biunivoca tra un utente e i suoi attributi identificativi, verificata tramite l’insieme dei dati raccolti e registrati in forma digitale56_{. Per far sì che essa venga rilasciata, bisogna procedere alla} registrazione, ossia all’insieme delle procedure informatiche, logistiche ed organizzative mediante le quali viene assegnata un’identità digitale ad un utente, previa raccolta, verifica e certificazione degli attributi necessari e garantendo l’attribuzione e la consegna delle credenziali di accesso prescelte in modalità sicura; il sistema comprende una serie di processi che vanno dalla richiesta di identità digitale da parte dell’interessato, per poi passare alla dimostrazione dell’identità, al suo esame e alla verifica, operazioni necessarie ai fini del rilascio dell’identità e delle credenziali, sino ad arrivare alla conservazione e alla registrazione dei documenti.

56 _{Fonte: sito internet www.lepida.it.}

47 L’aspetto interessante di tale strumento risiede nella collaborazione con aziende private e accreditate, che si occupano di fornire i servizi di identità digitale: trattasi dei cosiddetti “Identity provider”, o gestori dell’identità digitale, che provvedono a creare le identità digitali e ad assegnare le credenziali utili per il riconoscimento all’utente registrato al servizio, il quale potrà dunque usare la sua identità per accedere ai servizi online offerti dai Service Provider, collegati ai gestori; questi ultimi hanno il compito di verificare la correttezza dei dati immessi nel login, fornendo al Service Provider solamente gli attributi dell’utente assolutamente necessari alla fornitura del servizio. Il ruolo di Identity Provider può essere assunto da diversi soggetti, quali operatori di telefonia mobile, banche, fornitori di soluzioni IT o certification authorities; di fatto, ad oggi, quelli che hanno ottenuto la certificazione da parte dell’AgID sono cinque: Aruba, InfoCert, Poste Italiane, Sielte e TIM57_.

La gestione di un’unica identità digitale ha degli indubbi vantaggi, che consistono nella riduzione dei tempi di attivazione e di utilizzo, sia dal lato dell’utente che dal lato dell’amministrazione; nell’aumento della sicurezza per la corretta gestione dei dati personali, che saranno detenuti esclusivamente dai fornitori di identità abilitati e non da qualunque erogatore di servizi; in ultimo, la semplicità e l’immediatezza del sistema, caratteristiche che potrebbero avvicinare i cittadini più in difficoltà con le nuove tecnologie. C’è però chi ha messo in evidenza che da più parti si sono avanzate preoccupazioni sulla sicurezza e sulle garanzie di tutela della privacy di SPID. La questione più importante riguarda il ruolo dominante che avrà il settore privato nella gestione delle identità digitali e nei processi di autenticazione ed

48 identificazione elettronica: per la prima volta nel dialogo con l’autorità il nostro Identity Provider non è più lo Stato, che fa un passo indietro limitandosi ad agire quale organismo di vigilanza, ma una parte terza e privata58_.

L’attivazione di SPID si sta realizzando in due fasi: la prima ha coinvolto, da aprile 2015, un gruppo di amministrazioni e erogatori di servizi di identità, e da tale data i cittadini hanno potuto richiedere la propria identità digitale; il progetto è partito ufficialmente a marzo 2016 e si sta progressivamente estendendo alle altre pubbliche amministrazioni, con l’intento di raggiungere la diffusione entro dicembre 2017, attendendosi il risultato di 10 milioni di utenti. Il tempo ci dirà se i dubbi sul tema si riveleranno giusti o sbagliati; per ora, pare che i vantaggi superino comunque i presunti difetti. Il decreto attuativo della riforma Madia, riformante il CAD, si occupato in parte anche di SPID, in particolare in merito al capitale sociale necessario alle imprese per proporsi come gestore ed erogatore di identità digitale (cioè nel ruolo di Identity Provider). Prima del 14 settembre, infatti, era possibile diventare ente erogatore solamente per quelle aziende che disponevano di un capitale sociale superiore ai cinque milioni di euro59_.

Oggi, invece, è possibile che anche altri enti diventino erogatori di identità digitale, ovviamente con un livello di servizio inferiore a quello degli attuali gestori di identità.

Il Sistema pubblico di identità digitale è stato modulato in conformità al Regolamento dell’Unione Europea eIDAS: electronic Identification Authentication

and Signature, entrato in vigore a settembre 2014, ma operativo a partire dal 2016. Si

tratta di un provvedimento che si occupa principalmente di identificazione elettronica

58 _{DE MAIO G., Semplificazione e digitalizzazione: un nuovo modello burocratico, op. cit., p. 95.} 59 _{Fonte: sito internet www.saipem.com.}

49 e servizi fiduciari per le transazioni elettroniche, nell’intento di favorire la creazione di una base comune e condivisa per le transazioni elettroniche sicure tra imprese, cittadini e autorità pubbliche; l’intento è quello di garantire la disponibilità di un’identificazione e autenticazione elettronica sicura per accedere ai servizi online transfrontalieri offerti dagli Stati europei60_.