L’ondata di frodi informatiche che sfrutta le identità digitali – e in particolare la truffa del cosiddetto “doppio SPID” – riporta al centro un tema che la Pubblica amministrazione non può più trattare come un dettaglio tecnico: la trasparenza nella gestione delle identità digitali e la possibilità, per ogni cittadino, di sapere “chi” sta custodendo e utilizzando i suoi strumenti di accesso ai servizi. È da qui che parte il position paper approvato dalla Conferenza delle Regioni, che mette sul tavolo una richiesta chiara: attivare il registro unico nazionale delle identità SPID e inserire un nuovo servizio all’interno di ANPR, l’Anagrafe nazionale della popolazione residente, così da costruire un quadro più chiaro e verificabile, con garanzie puntuali sul trattamento dei dati personali.
L’obiettivo è da un lato ridurre gli spazi di manovra per chi prova a duplicare o “replicare” identità digitali a insaputa delle persone; dall’altro rafforzare la capacità di controllo dei cittadini, soprattutto di quelli più esposti alla fragilità digitale. E nella visione delle Regioni, questo passaggio non può prescindere da un investimento “sociale” sulle competenze, a partire dalla difesa di un presidio che negli ultimi anni ha accompagnato molti utenti: i Punti Digitale Facile.
Indice degli argomenti
Bori e la richiesta di un quadro nazionale condiviso
La Conferenza delle Regioni lega la proposta a un’esigenza operativa: superare la frammentazione che oggi caratterizza l’ecosistema. È un punto che Tommaso Bori, vicepresidente della Regione Umbria e coordinatore della Commissione Innovazione Tecnologica e la Digitalizzazione della Conferenza delle Regioni, porta direttamente sul tavolo del Governo e delle autorità competenti.
“Siamo disponibili a un confronto con il Dipartimento della Trasformazione digitale e con l’Agenzia per l’Italia Digitale (agID) per realizzare il registro unico e ogni altra iniziativa a tutela dei cittadini”, sottolinea.
Dietro la disponibilità al confronto c’è una constatazione: l’utente può attivare più identità presso gestori diversi e, per quanto la logica della concorrenza e del pluralismo dei provider abbia accompagnato lo sviluppo del sistema, oggi la molteplicità diventa anche una superficie d’attacco.
“Sappiamo che uno dei problemi più frequenti è legato alla frammentazione del sistema SPID: ogni utente può attivare più identità presso diversi Identity Provider, ma non esiste a oggi un registro unico nazionale in grado di fornire un quadro completo delle identità digitali associate a ciascun cittadino. Allo stesso modo, i cittadini non hanno la possibilità di conoscere l’elenco dei gestori che le detengono”.
In altre parole, il nodo non è soltanto “quante” identità siano attive, ma chi le detenga e con quali meccanismi di visibilità e verifica. Se il cittadino non ha uno strumento semplice per controllare la propria situazione – e se lo Stato non dispone di una vista completa e tempestiva – ogni anomalia rischia di emergere tardi, quando il danno è già avvenuto: accessi indebiti, pratiche avviate da terzi, tentativi di sostituzione d’identità e, nei casi più gravi, conseguenze economiche che colpiscono soprattutto chi ha meno dimestichezza con notifiche, log, app e procedure di revoca.
La truffa del “doppio SPID” e l’impatto sulle fasce vulnerabili
Il position paper nasce da un’emergenza concreta ovvero alle frodi informatiche si stanno moltiplicando e colpiscono con particolare intensità le persone anziane o meno alfabetizzate digitalmente. La logica della truffa del “doppio SPID” è tanto semplice quanto insidiosa: ottenere (con tecniche di phishing, social engineering o furto di dati) gli elementi necessari per attivare o controllare un’identità digitale “parallela”, rendendo opaca la catena di responsabilità e complicando la capacità di reazione della vittima.
Per i cittadini più fragili, il problema non è solo riconoscere l’attacco, ma anche sapere da dove partire quando c’è il sospetto che qualcosa non torni: quale gestore contattare, quale identità disattivare, quali servizi siano stati usati. Da qui la spinta delle Regioni a immaginare un sistema in cui la persona, con un accesso chiaro e protetto, possa verificare lo “stato” della propria identità e individuare rapidamente eventuali anomalie. È un cambio di prospettiva: non solo strumenti per la PA e per gli operatori, ma strumenti di consapevolezza per l’utente finale.
Anpr come infrastruttura di fiducia e nuovo servizio per la trasparenza
La proposta di inserire un nuovo servizio all’interno di ANPR va letta come una scelta di architettura istituzionale: collocare un tassello di controllo e trasparenza dentro una delle piattaforme cardine della trasformazione digitale italiana, già pensata per unificare e rendere coerenti le informazioni anagrafiche.
L’idea, così come emerge dal testo, è che l’anagrafe nazionale possa diventare anche il punto di riferimento per una gestione più trasparente delle identità digitali, nel rispetto delle garanzie sul trattamento dei dati personali. Qui la partita è delicata: ogni intervento che tocca identità e tracciabilità deve essere costruito con criteri di minimizzazione, sicurezza e accountability. Ma, allo stesso tempo, proprio la cornice di ANPR può offrire un contesto più “istituzionale” per dare al cittadino un’informazione che oggi gli manca: una visione completa, affidabile e aggiornata di quali identità risultino attive e da chi siano gestite.
In questo quadro, il registro unico nazionale delle identità SPID diventa il complemento necessario: un’infrastruttura di raccordo che consenta di superare l’attuale dispersione delle informazioni. Non un semplice database, ma un elemento di governance capace di rendere più rapidi i controlli, più chiari i processi e più efficace la risposta agli incidenti.
Il diritto di sapere “chi gestisce cosa” e la tutela del cittadino
Tra le raccomandazioni delle Regioni c’è anche un passaggio che, per portata culturale, vale quanto un intervento tecnologico: servono nuovi strumenti che permettano ai cittadini di conoscere in ogni momento quali Identity Provider gestiscono loro identità digitali. È la traduzione operativa di un principio di trasparenza che, nell’esperienza quotidiana, fa spesso la differenza tra una gestione consapevole e una delega inconsapevole.
Il punto non riguarda soltanto la sicurezza, ma anche la fiducia. Se l’identità digitale è la chiave d’accesso ai servizi pubblici e – sempre più spesso – a servizi privati, allora l’utente deve poter esercitare un controllo comprensibile: sapere dove esistono identità attive, verificare eventuali attivazioni non riconosciute, intervenire rapidamente. In un Paese che sta spingendo sulla digitalizzazione dei servizi, questa possibilità diventa una forma di tutela, soprattutto quando l’innovazione rischia di ampliare le disuguaglianze tra chi “sa” gestire strumenti e impostazioni e chi ne resta escluso.
Competenze digitali e Punti Digitale Facile: la sicurezza passa anche dall’inclusione
Il position paper non si ferma alle leve infrastrutturali. C’è un punto, tutt’altro che secondario, che lega direttamente la lotta alle frodi alla capacità delle persone di orientarsi: un piano di rafforzamento delle attività di sensibilizzazione e formazione, con attenzione ai contesti di maggiore fragilità digitale.
In quest’ottica, le Regioni rivendicano il valore dei Punti Digitale Facile, considerati un presidio che ha avuto un impatto concreto nell’aumentare l’alfabetizzazione digitale, accompagnando i cittadini non solo nell’attivazione dello SPID ma, più in generale, nell’uso dei servizi pubblici online. E la richiesta è chiara: non disperdere le competenze maturate dai facilitatori e non indebolire proprio i canali che possono intercettare chi, altrimenti, resta solo di fronte a truffe sempre più sofisticate.
“Nel percorso di adozione dell’EU Digital Identity Wallet – chiarisce – questo tema sta assumendo ruolo sempre più centrale nel funzionamento della Pubblica amministrazione e impone di dotarci di contromisure concrete. È una necessità che va di pari passo con l’esigenza di mantenere aperti i Punti Digitale Facile, il cui supporto ai cittadini nella creazione e gestione dello SPID, ma non solo, è stato fondamentale per aumentare l’alfabetizzazione digitale del Paese. Anche sotto questo profilo – conclude Bori – siamo aperti alle dovute interlocuzioni con il Governo al fine di conservare le competenze acquisite in questi anni dai facilitatori e ridurre il ritardo del paese sul fronte delle competenze digitali.”
Qui si innesta una considerazione politica, oltre che amministrativa: la sicurezza non è soltanto un tema di cybersecurity, ma anche di capacità collettiva di riconoscere i rischi, interpretare i segnali e agire tempestivamente. E la prevenzione, per funzionare, deve parlare anche a chi non ha dimestichezza con app, password manager, autenticazioni multiple e procedure di recupero.
Dall’Italia all’Europa: il nodo dei registri nella corsa verso l’Eudi Wallet
La richiesta delle Regioni arriva mentre l’identità digitale europea entra nella fase più operativa. L’approfondimento pubblicato da CorCom sullo “sprint” verso l’Eudi Wallet evidenzia come il portafoglio digitale non sia soltanto un nuovo strumento, ma un cambio infrastrutturale destinato a incidere su onboarding, autenticazione e verifiche, con una spinta all’interoperabilità che punta a rendere più semplice l’accesso ai servizi pubblici e, progressivamente, anche a quelli privati. In questa prospettiva, la questione sollevata dalla Conferenza delle Regioni – sapere quali soggetti gestiscono le identità e rendere trasparente la catena di fiducia – non è un tema “laterale”: si collega direttamente alla logica dei wallet, dove l’accettazione da parte di PA e imprese richiede regole comuni e meccanismi solidi di governance. Ed è proprio mentre si prepara il passaggio al portafoglio digitale europeo che il presente chiede contromisure concrete contro le frodi: un registro capace di ridurre la frammentazione, un innesto in ANPR che rafforzi la fiducia e strumenti che mettano il cittadino in condizione di controllare davvero la propria identità digitale.
