Qualche settimana fa mi è giunta una comunicazione dal sindacato che segnalava un’importante notizia contenuta nella circolare Inps n. 87 del 17 luglio 2020, relativa al passaggio da PIN INPS a SPID.
Sostanzialmente in quella circolare, con oggetto “Switch-off del PIN Inps in favore del Sistema Pubblico di Identità Digitale (SPID)“, viene comunicata la decisione di effettuare un graduale switch-off del PIN Inps in favore del Sistema Pubblico di Identità Digitale (SPID) e si forniscono le istruzioni relative alla fase transitoria, decorrente dal 1° ottobre 2020, propedeutica alla definitiva cessazione della validità dei PIN rilasciati dall’Istituto.
Viene anche detto che “L’Istituto intende quindi procedere allo switch-off dal PIN allo SPID in considerazione degli evidenti vantaggi a favore sia delle politiche nazionali di digitalizzazione sia del diritto dei cittadini alla semplificazione del rapporto con la pubblica Amministrazione.
Inoltre, SPID consente agli utenti d’interagire non solo con l’Istituto, ma con l’intero sistema pubblico e con i soggetti privati aderenti, costituendo di fatto un sistema aperto agli sviluppi europei. Il sistema SPID è inoltre dotato di livelli di autenticazione grazie ai quali l’Istituto potrà cogliere nuove opportunità per abilitare servizi inediti che richiedano una maggiore affidabilità nella fase di riconoscimento dell’utente (firme digitali, pagamenti, ecc.)”.
Viene pertanto sancito che, dal 1° ottobre 2020:

• Non saranno rilasciati nuovi PIN agli utenti, salvo quelli richiesti da utenti che non possono avere accesso alle credenziali SPID e per i soli servizi loro dedicati;
• I PIN già in possesso degli utenti conserveranno la loro validità e potranno essere rinnovati alla naturale scadenza fino alla conclusione della fase transitoria.

Insomma, si parla di “evidenti vantaggi“, di “semplificazione del rapporto del cittadino con la pubblica Amministrazione“, “maggiore affidabilità” e fonte di “nuove opportunità per abilitare servizi inediti” … insomma, frasi generiche senza specificare nulla in dettaglio! Per intanto, magari per far capire che purtroppo non stanno scherzando, dal 1/10/2020 non verranno più rilasciati nuovi PIN e quelli già in possesso degli utenti conserveranno la loro validità per un tempo non ben precisato, durante quella che viene definita una “fase transitoria“!

_____________
P.S. 03/07/2021

Come pubblicizzato in molti siti, l’INPS con la circolare numero 95 del 2 luglio 2021, ha comunicato che dal 1° settembre 2021, gli intermediari, le aziende, le associazione di categoria, le pubbliche Amministrazioni, i professionisti e tutti coloro che usufruiscono dei servizi online dell’Istituto non in qualità di privati dovranno dotarsi di credenziali SPID di livello non inferiore a 2 o della CIE, Carta d’Identità Elettronica, (con relativo PIN) o di una CNS, Carta Nazionale dei Servizi. Questo in linea con quanto stabilito dal Decreto Semplificazioni che, per i siti e i portali delle pubbliche amministrazioni, ha previsto il passaggio a questi strumenti di autenticazione considerati più semplici e sicuri. Come già indicato, la fase transitoria di dismissione dei PIN INPS era già iniziata il 1° ottobre del 2020 quando quell’Istituto aveva smesso di rilasciarne di nuovi in favore dell’accesso con l’Identità digitale.
_______________

Mi chiedo, ma questi Signori hanno considerato e compreso proprio tutte le conseguenze della loro decisione? Secondo me no, e in questo post cercherò di analizzare il perché di questa mia affermazione, sicuramente opinabile e per questo gradirei ricevere dei commenti che mi forniscano motivazioni concrete tali da semmai farmi cambiare idea!

Diciamo innanzitutto che, non appena ho letto questa notizia, mi sono detto, tra me e me: “Ma questi sono pazzi!“. Hanno un sistema di autenticazione sperimentato da anni, già conosciuto e utilizzato da buona parte della popolazione, hanno già procedure validate da tempo che permettono con sicurezza di rilasciare – nel giro di pochi giorni – le dovute credenziali con un minimo sforzo da parte del cittadino (i.e. richiesta online, invio di parte del codice per email e parte per posta ordinaria verificando in tal modo così sia l’email sia il domicilio del richiedente in base al suo domicilio ufficialmente registrato e associato al suo codice fiscale), hanno già comunque introdotto sia nel portale sia nell’app anche la possibilità di accesso con lo SPID, rendendo quindi il tutto aperto anche alle nuove politiche nazionali di digitalizzazione, qualora il cittadino proprio le voglia utilizzare … e, ancora prima che sia terminata la diffusione della Carta di Identità Elettronica (CIE) in tutta la popolazione (cioè fra qualche anno, in quanto obbligatoria alla scadenza delle precedenti carte) buttano via la pregressa alternativa di autenticazione che attualmente è sicuramente quella più utilizzata dal cittadino per diversi motivi!!!
Vediamo di elencarne almeno alcuni di questi motivi, insomma quelli che mi saltano più all’occhio e mi stupisco che altrettanto non sia avvenuto per i dirigenti INPS che hanno preso quella decisione:

• Utilizzato da anni e quindi ben conosciuto anche dalle persone di una certa età, in genere poco informatizzate.
• Facile da ottenere senza neppure muoversi di casa, quindi anche da persone anziane/disabili
• Non richiede procedure complesse che necessitino di uno smartphone e/o dell’uso di app specifiche.
• Una volta inserite al primo accesso nell’app INPS, queste vengono ricordate rendendo successivamente l’accesso immediato, senza neppure più la necessità d’inserirle e rendendo così agevole accedere subito alle informazioni ricercate (e.g. accredito della pensione).
• Analogamente, nell’autenticazione al portale dell’INPS da un browser, le credenziali rimangono memorizzate se uno lo desidera, rendendo successivamente anche qui l’accesso agevole e immediato.

Lo SPID ha l’indubbio vantaggio di poter essere un metodo unico per accedere a tutti i servizi dell’Amministrazione Pubblica (e.g. INPS, Agenzia delle Entrate) e non solo, per cui è bene prevederlo come metodo alternativa: purtroppo ha diversi inconvenienti di cui elenco solo i principali ed evidenti a chiunque abbia utilizzato lo SPID come metodo di accesso nei siti/app che lo consentono come possibilità:

• Richiede una registrazione con una procedura non banale e non univoca, in quanto dipende dal provider scelto: io ho provato personalmente quelle messe a punto sia da TIM sia dalle Poste Italiane ed entrambi non sono assolutamente banali da completare per un cittadino generico, tanto più se anziano. Anche le procedure pensate per il recupero di tali credenziali sono differenti a seconda del provider e sempre non banali.
• Prevede che il cittadino possegga uno smartphone personale e, spesso, che sappia anche utilizzare un’apposita app (e.g. l’app PosteID) [vedere i miei post: – Identità digitale TIMid: review&test per l’accesso ai siti dell’Agenzia delle entrate (e.g. 730), INPS (e.g. pensione) ed INAIL; – 18app – Come ottenere lo SPID (e.g. TIMid, PosteID)]
• L’autenticazione con SPID, in un sito/app che la preveda, comporta una serie di passaggi anche questi non univoci, in quanto dipendono dal provider scelto. In genere comportano l’uso di OTP (One Time Password) inviato via SMS e/o l’utilizzo di app specifiche o la redirezione ad altri siti per la verifica dell’identità. Si tratta comunque di un processo a più passaggi che non può avvenire in modo automatico per i successivi accessi, ma richiede sempre e comunque una lunga e non banale interazione con il richiedente che deve operare con attenzione. Ne consegue che non è più possibile avere un’app (e.g. INPS mobile app) che, una volta autenticatesi la prima volta (e.g. con username univoca pari al proprio codice fiscale e PIN fornito dall’ente in modo sicuro con email + posta ordinaria), agli accessi successivi entra subito nell’area personale autenticata, fornendo subito le informazioni desiderate. Analogamente, quando si accede al portale web tramite un browser qualora si sia impostato il browser di ricordare le credenziali precedentemente inserite.

Insomma, prevedere anche un possibile accesso con SPID è sicuramente utile come alternativa, magari per supportare anche servizi che richiedano maggiori autorizzazioni, ma prevederlo come unico metodo di autenticazione anche per i servizi base è davvero troppo limitante!
Spero proprio che i responsabili dell’INPS e tutti le Pubbliche Amministrazioni si accorgano per tempo che, soprattutto qualora esista già un metodo di autenticazione preesistente e una procedura consolidata per distribuire in modo sicuro delle credenziali, non ha alcun senso dismettere il preesistente e lasciare solo lo SPID come unica possibile modalità di accesso.

Perché poi almeno non aspettare a dismettere eventualmente il “vecchio” metodo di autenticazione quando tutti avranno la Carta di Identità Elettronica (CIE), cioè solo fra qualche anno, in quanto obbligatoria alla scadenza delle precedenti carte? Già ora ci sono 16 milioni di CIE, più del doppio degli SPID attivi, secondo quanto affermato in un recente articolo comparso su La Repubblica che vi invito a leggere (Cresce l’identità digitale italiana, ma è guerra Spid contro Cie). Anche usando la CIE, per quanto ho inteso, si è praticamente obbligati ad avere uno smartphone (tra l’altro uno con NFC, funzionalità non attualmente presente neppure in tutti i modelli recenti anche di marche assai diffuse come Xiaomi, OnePlus, Oppo) oppure, in alternativa, ad avere un lettore esterno di carte da collegare via USB al PC, se si vuole usare solo quest’ultimo (a meno di utilizzare eventuali totem multimediali messi a disposizione dei cittadini in luoghi pubblici), … ma almeno con quella modalità viene superato il primo ostacolo, cioè quello di possedere una identità digitale, oltre a prevedere una procedura di autenticazione meno macchinosa!
Inoltre, avere previsto con lo SPID che l’identità digitale venga gestita da ditte private (che hanno potuto tra l’altro scegliere le procedure che meglio credevano, pur rispettando i protocolli di autenticazione poi utilizzati) che ovviamente ne hanno un guadagno (anche se per il momento non vedo dove, se non che siano pagate dalle finanze pubbliche per quel loro servizio) è, secondo me stato un errore. Al limite, molto meglio una procedura che utilizzi l’identità digitale associata alla carta d’identità elettronica (CIE) che tanto viene già data a tutti i cittadini per default dalle anagrafi, cioè da un servizio pubblico. Certo, in generale sempre meglio avere un servizio efficiente delegandolo al privato che uno inefficiente pubblico, ma avendo lasciato libertà nella registrazione ed utilizzo dello SPID (penso per favorire le ditte private che potessero così utilizzare i metodi più consoni per ciascuna) si sono create procedure diverse e questo sicuramente confonde l’utenza cittadina. Soprattutto se verranno messi totem multimediali in uffici pubblici/supermercati, con la CIE mi sembra che, oltre ad essere distribuita da un ente pubblico, si potrebbe forse superare meglio non solo il problema di ottenere l’identità digitale senza problemi ma anche di poterne usufruire comunque sia (magari anche con la possibilità di lettura impronta digitale) senza necessariamente dover possedere personalmente dispositivi particolari.

Comunque, non penso proprio che ad una persona anziana interessi dovere possedere a tutti costi uno smartphone per potersi scaricare il CUD! Ci sono servizi per cui può avere un senso avere l’assicurazione che sei proprio tu in prima persona a richiederli (e. g. operazioni bancarie) altri, anche relative alla Pubblica Amministrazione, per i quali è più che sufficiente ed utile che possa anche essere un familiare ad operare (a cui, molto verosimilmente sia data la possibilità di farlo dalla persona interessata). Non tutti i servizi di una Pubblica Amministrazione richiedono il medesimo livello di sicurezza per cui quello presistente, ammettendo che sia meno sicuro, potrebbe essere comunque lasciato per i servizi base che poi sono quelli che maggiomente servono al cittadino comune.

Non voglio ancora pensarci quando e se dovrò recuperare il CUD dei miei anziani per le prossime dichiarazioni dei redditi, non avendo loro ovviamente né uno SPID, né i requisiti per averlo (nessuno smartphone), né la “agevolezza” per poterlo ottenere gratuitamente (se non spostandosi in carrozzina, ad esempio, in un ufficio postale per l’accertamento d’identità almeno ora che siamo in emergenza COVID-19, e che neppure pagando esiste più la possibilità di avere il riconoscimento a casa da parte del postino)!

Quindi mi sembra che, in verità, non si stia andando per nulla verso il rispetto del “diritto dei cittadini alla semplificazione del rapporto con la pubblica Amministrazione“, citando una frase del comunicato INPS scritta al contrario per giustificare quella decisione presa! 🙄 🤐

Conclusione: io non ho una visione così completa per proporre nulla. In questo post ho voluto solo esplicitare la mia personale convinzione che sia una follia prevedere di avere SOLO lo SPID per poter accedere a servizi (anche quelli base) dell’Amminisrazione Pubblica (eliminando, fin da quasi subito, metodi pregressi di autenticazione, funzionanti e conosciuti da molti cittadini)!
Relativamente alla CIE, sempre per quel poco che ho capito leggendo qualche articolo, mi sembra che possa essere un metodo per avere un’identità digitale (e quindi potersi autenticare) analogo allo SPID, con i vantaggi che ho già evidenziato e che riassumo:

• Distribuito di default agevolmente e da ufficio pubblico.
• Già attualmente più diffuso dello SPID e rilasciato a tutti nel giro di pochi anni (al prossimo scadere della carta di identità dei cittadini che non hanno già cambiato quella scaduta).
• Procedura univoca nel suo utilizzo.
• Possibilità quindi di avere in luoghi pubblici totem multimediali per consentire un suo utilizzo senza dover necessariamente possedere specifici dispositivi personali.
• Possibilità di utilizzala eventualmente anche con lettura delle proprie impronte digitali, per un riconoscimento ultrasicuro, qualora la si dovesse utilizzare per servizi che richiederanno un livello alto di sicurezza nell’autenticazione (mi sembra, infatti, che l’impronta digitale sia memorizzata, o sbaglio? … io non la posseggo ancora per cui di questo non sono certo).

P.S. Qualcuno sa quale vantaggio economico riescono ad avere le ditte che rilasciano lo SPID? Sicuramente lo hanno, dal momento che diverse si sono proposte ad offrirlo, ma mi sfugge … se non è tramite un contributo pubblico! … e se proprio è così, il tutto fa ancora più pensare! 🤔

___________________

Non mi sembra sia possibile usare l’app CIEid sul proprio telefonino per accedere con più CIE (e.g. anche quello di una persona anziana che non ha cellulare … tanto meno con NFC!). Quindi sembrerebbe che per gestire due SPID sullo stesso telefono devi avere quei due SPID da gestori diversi!!!
Insomma, attualmente si può usare, quale mezzo sicuro di autenticazione, la CIE per ottenere uno SPID da diversi gestori (e.g. PosteID): insomma, una complicazione davvero inutile dal momento che la sicurezza dello SPID ottenuto è di fatto associata alla sicurezza intrinseca nella CIE che è stata utilizzata per richiederlo!! 🙄

_________

Link utili

• Cresce l’identità digitale italiana, ma è guerra Spid contro Cie
• SPID: tutorial riconoscimento utente online
• SPID – Come fare lo Spid (INPS)

Puoi essere poi interessato a vedere i seguenti miei post:

• Identità digitale TIMid: review&test per l’accesso ai siti dell’Agenzia delle entrate (e.g. 730), INPS (e.g. pensione) ed INAIL
• 18app – Come ottenere lo SPID (e.g. TIMid, PosteID)]
• PIN INPS addio da ottobre: servizi online con SPID
• Da un solo smartphone come riuscire a gestire più SPID, anche ciascuno associato a persone differenti