Quintarelli, inventore dello SPID, sulla migrazione dati nel wallet europeo: «Difficile pensare sia completata entro il 2028»

Le parole del Sottosegretario di Stato alla Presidenza del Consiglio dei ministri hanno dato il via – all’inizio di questa settimana – al dibattito SPID CIE sulla stampa italiana e sui social, con gli utenti che hanno iniziato a farsi una serie di domande e a protestare per quella che, all’inizio, è stata espressa molto superficialmente come l’idea di spegnere lo SPID. Di cosa abbia detto Butti esattamente e di cosa realmente intendesse, comprese tutte le repliche arrivate, vi abbiamo già parlato qui. In passato, Giornalettismo si è già occupato – all’interno del suo format RAM – La Rete A Memoria – di SPID. Ne abbiamo parlato con Stefano Quintarelli, inventore dello SPID, al quale abbiamo chiesto di intervenire nuovamente tra le nostre pagine per commentare tutto quello che sta succedendo in questi giorni e restituire ai lettori cosa pensa Quintarelli su SPID e le possibilità che sono state elencate in questi giorni.

LEGGI ANCHE >>> Cosa vogliono fare i governi con lo SPID? Il percorso dell’identità digitale dai governi Conte e Draghi al governo Meloni

Stefano Quintarelli su SPID e CIE, diverse e complementari

Partendo dall’ultimo intervento del governo in merito (ovvero le parole del ministro Zangrillo, che ha definito SPID «patrimonio da salvaguardare» ma da migliorare alludendo al wallet europeo «in cui far confluire tutte le informazioni, dal certificato di nascita agli estremi del passaporto e della firma digitale Per poter raggiungere un obiettivo così ambizioso, dovremo necessariamente fare degli interventi»), l’ideatore dello SPID ha pochi dubbi: «È presto per capire quali interventi tecnici potrebbero essere necessari, siamo ancora a livello di proposta in Europa con posizioni tedesche e francesi non allineate». «Una volta che sarà presa una decisione – afferma Quintarelli, provando a fare una stima, ci sarà un tempo di realizzazione e poi un tempo di migrazione. Mi pare difficile pensare che sia completata entro il 2028».

Come spiegare SPID e CIE ai cittadini partendo da ciò che rende diversi i due sistemi e arrivando a ciò che li rende complementari? «SPID può essere rilasciato indipendentemente da un mezzo fisico, CIE ovviamente no. Se perso CIE – prosegue Quintarelli – o se si guasta, perdo l’accesso online e ripristinarlo richiede il tempo di rilascio di una nuova carta che, a volte, può essere di mesi». L’essere complementari, invece, deriva «dal fatto che CIE consente il “livello3” di autenticazione mentre SPID consente il “livello 2″».

La convergenza tra SPID e CIE può essere la strada giusta da praticare?

Per capire questo, secondo Quintarelli, occorre comprendere chi vigila sui sistemi e come vengono gestiti gli Identity Provider (ovvero tutti quei sistemi che creano, mantengono e gestiscono le informazioni sull’identità fornendo anche servizi di autenticazione alle applicazioni): «SPID è sottoposta a vigilanza di magistratura, Garante Privacy e AgID (Agenzia per l’Italia Digitale). CIE, dal canto suo, a quella del ministero dell’Interno. C’è un Identity Provider pubblico per SPID, che è la società Lepida – controllata dalla regione Emilia-Romagna – e nove fornitori di servizio privati così come previsto dalla normativa UE».

«C’è solo un Identity Provider pubblico CIE – prosegue l’ideatore dello SPID – che è IPZS (‘Istituto Poligrafico dello Stato), controllato dal ministero delle Finanze. In conclusione, uniformare le regole tecniche ed i requisiti per i gestori per elevare le garanzie sarebbe cosa buona». Tutta la questione “sull’identità digitale di Stato”, secondo Quintarelli, non si basa tanto su un fraintendimento sul ruolo dei privati nello SPID quanto più «su una errata interpretazione delle dinamiche di mercato UE. Se si chiudessero gli Identity Provider privati italiani, il mercato potrebbe essere occupato da altri IdP europei».

Sicurezza SPID e sicurezza CIE: il terzo livello di sicurezza è necessario?

Al netto del fatto che – come ammesso anche dal ministro per la Pubblica Amministrazione del governo Meloni Zangrillo – entrambi i sistemi sono sicuri, occorre capire bene in quali casi possa essere necessario il terzo livello di sicurezza (ovvero l’autenticazione basata su certificati elettronici, che garantisce il massimo livello di affidabilità e sicurezza): «Oggi – spiega Quintarelli – il terzo livello prevede l’uso di un token o di una Smart card (un dispositivo hardware con potenzialità di elaborazione e memorizzazione dati in grado di garantire elevati standard di sicurezza n.d.R.). Si tratta, quindi, di qualcosa che è nativamente presente in CIE. Non è mai stato implementato in SPID se non per sperimentazioni (ad esempio in Trentino, per una applicazione relativa ai farmaci)».

In riferimento alla CIE, invece, il problema fondamentale – come già accennato e al netto della sicurezza maggiore – è il rilascio che non può avvenire da remoto. Può esistere la possibilità di rilasciare la CIE da remoto, a costo zero (quando, attualmente, costa 22,20 euro al cittadino) e in 24 ore? «Il rilascio della CIE richiede l’acquisizione delle impronte digitali, oltre a foto e firma. Se le ultime due possono essere acquisite da remoto, per le prime non sono a conoscenza di un sistema che consenta di farlo».

«In futuro probabilmente potrebbe essere richiesto per il cosiddetto “wallet” (portafoglio digitale) – dice Quintarelli in riferimento alla richiesta dell’Europa, appunto – che vedremo tra qualche anno». Non è chiaro quale potrebbe essere la direzione da prendere, quindi, considerato che esiste «una proposta francese di usare la biometria al posto di token/Smart card». Per capire bene quale sia la direzione da prendere a livello tecnico – al netto del fatto che la priorità di qualsivoglia governo debba essere la sicurezza dei cittadini e la facile accessibilità al sistema – occorrerà aspettare ancora diverso tempo.