Intervista

Indovina chi sono? L'identità digitale in Europa e in Italia

Lo abbiamo sperimentato tutti ogni volta che abbiamo provato a usufruire di un servizio on-line: “Autenticati per accedere al servizio!”. Ognuno di noi possiede decine di password, nomi, pin e smart-card per farsi riconoscere. Almeno uno per ogni sistema. Per quanto riguarda i servizi della pubblica amministrazione, però, le cose si potrebbero semplificare molto. Il progetto Stork, finanziato dalla Commissione Europea suggerisce una soluzione. Ne abbiamo parlato con Antonio Lioy del Politecnico di Torino.

Nonostante il Codice dell’Amministrazione Digitale (CAD) l’Italia è il paese dove ognuno fa per sé. Basta girare tra i siti dei vari enti pubblici che erogano servizi on line per notare come la norma che impone la CIE (Carta di Identità Elettronica) e la CNS (Carta Nazionale di Servizi) quali unici strumenti di accesso ai servizi on-line da parte dei cittadini sia completamente disattesa. Ogni ente ha costruito un proprio sistema di identificazione digitale. Un mare di pin, password, nomi utenti, e smart card: una vera giungla per il cittadino.
Le soluzioni a questo problema potrebbero essere di due tipi: si potrebbe dire “basta!” e imporre un’unica soluzione per legge (cosa che in verità già si è fatto nel 2005 con il CAD… senza successo) oppure si potrebbe prendere spunto dal progetto Stork finanziato dalla Commissione Europea e pensare ad un’infrastruttura “federata” che permetta il dialogo tra i differenti sistemi. Abbiamo provato a capire insieme al co-chairman di Stork, il Prof. Antonio Lioy del Politecnico di Torino, in che modo questo progetto affronta il tema dell’identità digitale e quali tipi di scenari si aprono per l’Europa e per il nostro Paese.

L’identità digitale europea

“Prima di cominciare è necessaria una precisazione – ci spiega Lioy – piuttosto che di «identità», che è un termine controverso, parlerei di autenticazione. STORK è un progetto che riguarda strumenti di autenticazione elettronica per accedere a servizi on-line”.
Non esistendo una strategia condivisa rispetto a questo elemento ogni paese dell’Unione Europea ha sviluppato sistemi di autenticazione degli utenti in maniera autonoma. Alcuni utilizzano smart-card, altri hanno sistemi basati su e-mail e password, altri prevedono l’utilizzo di telefoni cellulari, altri ancora utilizzano le cosiddette “one-time password”: codici numerici (generati automaticamente da piccoli dispositivi harwdare), come quelli a cui ci hanno abituato le banche.
In base alla convenzione di Schengen, però, i cittadini dell’UE hanno diritto di circolare e lavorare negli altri paesi membri. Questo vuol dire anche poter pagare i contributi previdenziali, o usufruire dei servizi sanitari, in paesi differenti dal proprio. L’obiettivo del progetto Stork è consentire l’interoperabilità tra gli strumenti di autenticazione dei vari paesi membri, proprio per permettere l’accesso on-line a questo tipo di servizi.  L’idea non è quella di definire uno standard unico, ma di far riconoscere l’un l’altro gli strumenti che sono stati adottati dai singoli paesi.

Il progetto Stork

“Come ci proponiamo di mostrare il 1 dicembre a Roma, - continua Lioy - l’obiettivo di Stork è stato raggiunto. Cioè siamo riusciti a creare un protocollo di comunicazione ed un’infrastruttura (composta da vari gateway) che ha reso possibile l’interoperabilità tra i singoli strumenti di autenticazione di 17 paesi europei e l’attivazione di sei casi pilota”. Un esempio facilita la comprensione: quando uno studente italiano, iscritto al programma Erasmus, vuole usufruire di un servizio on-line in Spagna, può usare le sue credenziali di autenticazione italiane (CIE, CNS, …). L’Università spagnola, abilitata all’infrastruttura di Stork, comunica col gateway spagnolo, il quale capisce che si tratta di uno strumento italiano e instrada il sistema spagnolo verso il gateway italiano. Quest’ultimo rimanda la comunicazione verso l’Università di provenienza dello studente. A questo punto il dialogo avviene tra lo studente italiano e il fornitore delle credenziali che, riconosciutolo, fornisce una certificazione di autenticazione all’Università spagnola che eroga il servizio. “Oltre all’infrastruttura – continua Lioy – Stork presenta altri due elementi importanti. Il primo è la certificazione di singoli attributi di un utente. Il sistema, cioè, non dà accesso a tutte le informazioni di un utente, ma solo a quelle necessarie per usufruire di un servizio on-line (iscrizione all’università, età, cittadinanza, nazionalità etc). Il secondo elemento è l’attribuzione ad ogni singolo strumento di autenticazione di un livello di sicurezza. Si va dal più blando, come nome e password, al più sicuro, come potrebbero essere smart-card e parametri biometrici.
Il primo elemento protegge la privacy dell’utente, mentre il secondo fa in modo che servizi molto riservati (informazioni finanziarie) siano erogati solo a fronte di un livello di sicurezza elevato”.

E l’Italia?

Quando chiediamo a Lioy che tipo di utilità potrebbe avere questo sistema in Italia, la risposta è tutt’altro che scontata: “La cosa interessante di Stork è che è un modello generale, un meccanismo di federazione tra vari sistemi indipendenti. Nulla vieta di utilizzare questo modello per far dialogare gli strumenti (diversi) delle amministrazioni di un singolo Stato. Ovviamente ci si auspica che all’interno di una nazione ci sia un’omogeneità tra sistemi, però se la storia del nostro paese ci ha portato alla situazione di oggi in cui ogni Regione o, peggio, ogni singolo ente, utilizza un proprio sistema di autenticazione, Stork potrebbe essere l’infrastruttura tramite la quale questi sistemi dialogano”.

Il progetto Stork, in cui l’Italia, – col Politecnico di Torino, DigitPA e Regione Lombardia – ha un ruolo da protagonista, si concluderà a maggio 2011 con la presentazione dei risultati della sperimentazione alla Commissione Europea. In questo momento, però, la Commissione sta già preparando un piano per adottare alcune delle funzioni sperimentate. Abbiamo volutamente tralasciato, in questo articolo, tutto il dibattito relativo alla scelta del legislatore italiano di stabilire per legge uno strumento di autenticazione (la CIE e la CNS sono imposte dal CAD), così come abbiamo tralasciato volutamente il fatto che una buona parte dei milioni di CIE che circolano in Italia siano ancora poco più che pezzetti di plastica che abilitano l’accesso ad un numero di servizi veramente limitato. Lo abbiamo fatto perché nonostante gli errori del passato la tecnologia ci dimostra che è possibile recuperare il tempo perduto. Tutto sta a saper cogliere un’occasione quando si presenta.

Your rating: Nessuno Average: 4.5 (2 votes)

Commenti

lo standard esiste già

A proposito di questo articolo volevo solo precisare che, in realtà, il CAD non ha mai imposto per legge uno standard per l'accesso ai servizi on line della pa in quanto il termine ultimo per il ricorso alla CNS o alla CIE quale strumento unico di autenticazione è sempre stato prorogato in sede di mille proroghe non divenendo mai, di fatto, obbligatorio per le pa!!!
Tra l'altro, secondo le bozze di modifica al CAD che circolano ultimamente, tale previsione normativa potrebbe essere completamente smantellata.
Considerato che secondo il piano di e-gov 2012, la tessera sanitaria-carta nazionale dei servizi (TS-CNS) è diventato uno standard nazionale per cui in un futuro non troppo lontano tutti i cittadini italiani avranno questo strumento tra le mani ritengo quanto mai opportuno rendere finalmente obbligatoria la previsione del CAD e "obbligare" le pubbliche amministrazioni a consentire l'accesso ai propri servizi on line solo tramite CNS (o CIE).

Grazie mille per le precisazioni

La ringrazio per le precisazioni.
Tommaso Del Lungo
Redazione FORUM PA