Spid, Gorga: “Il garante Privacy ha buttato via un’occasione”

Secondo l’avvocato esperto di Ict l’Authority, nell’attenersi rigorosamente alla norma Ue in tema di identificazione, non ha colto la palla per fare un salto in avanti in tema di protezione dei dati

30 Dic 2015

Michele Gorga

Il garante per la Privacy chiude le sue attività di fine anno con una serie di importati correzioni sia sull’aggiornamento dello schema del regolamento sulle modalità attuative per la realizzazione del Sistema Pubblico di Identità Digitale, che sulla convenzione-tipo relativa ai soggetti erogatori dell’Identità Digitale e rinvia a un prossimo scrutinio il parere sullo schema-tipo della convenzione sui gestori dei servizi digitali. In sintesi sullo schema di regolamento delle modalità attuative dello SPID, le modifiche dettate dall’Autorità sono rivolte da un lato a realizzare una maggiore coerenza tra il testo del regolamento e il D.P.C.M. istitutivo dello SPID, e dall’altro a rafforzare, a mezzo di cogenti previsioni, il controllo in tema di sicurezza informatica e protezione dei dati personali delle procedure di identificazione dei soggetti richiedenti l’ID da remoto.

E proprio la regola d’identificazione da remoto, che sarà, a scommettere la modalità tipo, se non esclusiva della registrazione presso gli Identity Provider, è dove si annidano i peggiori incubi della sempre possibile clonazione delle Identità Digitali se non addirittura di ID originate ad insaputa dei soggetti regolarmente registrati all’anagrafe della popolazione residente.

Ecco perché la prescrizione, voluta dal garante, su una migliore puntualità nella previsione delle modalità di conservazione della documentazione inerente la creazione e il rilascio dell’Identità digitale se da un lato rassicura dall’altro è, essa stessa, foriera della consapevolezza dell’estrema criticità se, per un momento, si fa mente locale alle identità pregresse già in possesso degli stessi soggetti accreditati per l’identità digitale. La stessa criticità si avrà poi a breve, amplificata, allorquando sia i soggetti pubblici che i privati, chiederanno a loro volta di essere accreditati rispettivamente anche come Server Provider e come erogatori dell’ID e ciò al fine di poter riconvertire e capitalizzare il loro patrimonio delle identità pregresse.

FORUM PA 6- 11 luglio
Innovazione e trasformazione digitale per la resilienza. Scopri il nuovo FORUM PA digitale
CIO
Dematerializzazione

Questo delle identità pregresse è, infatti, uno delle maggiore criticità dello SPID sia perché le ID sono state concesse dai singoli gestori, pubblici e privati, in un sistema di assoluta anarchia sia normativa che tecnica, sia perché, come ovvio, rese in assenza di qualsiasi regolamentazione dell’Agenzia per l’Italia Digitale che è l’attuatore delle previsioni regolamentari contenute nel Decreto del Presidente del Consiglio dei Ministri del 24 Ottobre 2014 che ha istituito lo SPID. Verrebbe da chiedere se, per le identità pregresse gli attuali gestori conservino almeno le copie delle Carte d’identità dei soggetti richiedenti, l’epoca della registrazione e la memoria per quali servizi la registrazione avvenne, tanto per non vanificare l’attuale articolazione sui tre livelli di protezione dell’ID.

Ed è proprio da quest’ultima previsione della conservazione della documentazione delle registrazioni audio/video acquisite nel corso dell’identificazione in remoto che appaiono le maggiori carenze dei livelli di sicurezza delle ID dello SPID che appare troppo allineata con quanto prevede l’Art. 8 del regolamento UE n. 910/2014 del 23 luglio 2014. Dei tre livelli dell’ID solo in relazione al livello 3, quello che sarà a pagamento, si prevedono specifiche tecniche volte ad impedire l’uso abusivo o l’alterazione dell’identità laddove, invece, per il primo e secondo livello si prescrive rispettivamente la semplice riduzione del rischio e la significativa riduzione del rischio.

L’autorità garante, non ha fatto nessuno sforzo in materia ma si è rigorosamente conformata alle previsioni dell’art. 8 del regolamento UE citato che prevede per i diversi regimi di identificazione elettronica che il livello di garanzia basso, per il nostro SPID il primo livello, debba avere semplicemente un grado di protezione tecnologico volto semplicemente a ridurre il rischio di uso abusivo o l’alterazione dell’identità̀. Il livello di garanzia significativo, che nello SPID corrisponde al secondo livello, prevede che i mezzi di identificazione elettronica debbono avere lo scopo di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità. Il livello di garanzia elevato, ossia il livello SPID 3, debba, invece, prevedere un regime d’identificazione elettronica il cui scopo è quello di impedire l’uso abusivo o l’alterazione dell’identità̀. In verità ben poca cosa e, in materia di protezione dell’Identità, l’autorità della Privacy Nazionale ha buttato via l’occasione per innovare in tema di sicurezza e riservatezza dei dati di cui SPID sarà a breve il nuovo banco di prova per la tutela della riservatezza dei cittadini.