Tecnologia

Il sistema Spid mostra i suoi limiti: identità digitale alla prova della sostenibilità

di Alessandro Longo

Immagine non disponibile

Reuters

Il clic day per il bonus bici ha mandato in tilt il sistema. Ma Spid e Cie saranno i soli canali per l’autenticazione dei cittadini presso la Pa

16 novembre 2020

4' di lettura

Spid ha mostrato la propria fragilità, per la prima volta, con il clic day del bonus bici. In particolare, la tecnologia delle Poste si è rivelata inadeguata a reggere il picco del traffico. E i problemi rischiano di mostrarsi con maggiore gravità, man mano che questo sistema di identità digitale diventerà chiave privilegiata di accesso per tutti i servizi pubblici.

Dal 28 febbraio 2021 le Pubbliche amministrazioni potranno usare solo Spid e la Carta d’identità elettronica (Cie) per l’autenticazione dei cittadini. Dovranno dismettere i propri pin specifici. Inps l’ha già fatto. Un’altra migrazione importante sarà di NoiPa.

La domanda che gli esperti si stanno facendo, quindi, è se ce la farà Spid a reggere il peso delle nuove responsabilità. Certo è che le ultime vicende sono figlie di scelte di tutti i Governi che hanno messo le mani su questo sistema. E per fortuna ci sarebbe ancora tempo per irrobustirlo.

Il crash di Spid avvenuto per il bonus mobilità è un campanello d’allarme, quindi. In particolare, Poste, identity provider che controlla l’80% delle identità, ha avuto picchi fino a 800mila richieste di accesso contemporanee, contro una media di 50 nell’ultimo anno.

Le infrastrutture Poste non sono risultati scalabili per gestire questo picco inusuale: in termini di connettività (Cdn) e server disponibili; oppure di sistemi di caching o load balancing impiegati. Abbiamo chiesto a Poste i dettagli dell’avvenuto e cosa intende fare perché non riaccada, senza però avere risposta.

Certo è, da quanto accaduto, che Poste è stata presa alla sprovvista ed è stato impossibile usare il suo Spid per ore. Al Sole 24 Ore risulta, ad esempio, il caso di una persona che non ha potuto accedere al proprio fascicolo sanitario elettronico (con Spid, appunto) per leggere il responso di un tampone covid.

Come dice Eugenio Prosperetti, avvocato tra i massimi esperti di identità digitale in Europa, «il blocco di Spid equivale a un’interruzione di pubblico servizio e quindi un grave danno per i nostri diritti di cittadini. Soprattutto in una fase di pandemia in cui l’accesso digitale è preferibile allo sportello fisico».

Quasi tutti gli identity provider hanno avuto rallentamenti, comunque (come comunicato da uno di loro, Sielte). Segno che il picco del bonus bici ha mostrato il tallone d’Achille del sistema.

Di fondo, c’è da considerare una scelta fatta all’alba di Spid: quella di poggiarlo non su una infrastruttura pubblica ma su quella di privati, gli identity provider appunto. «Se ne parla dal 2013, quando io stesso fui convolto in tavoli tecnici per la creazione di un sistema di identità digitale - dice Prosperetti - Si è scelto così per evitare allo Stato di investire subito soldi nell’infrastruttura. Spid sarebbe stato gratis per i cittadini almeno per il primo anno – adesso lo è per sempre – e i privati sarebbero stati ripagati con future applicazioni, in un circolo virtuoso a favore del mercato e dell’innovazione della Pa».

Per anni lo Stato non ha investito in Spid, cullandosi in questa visione, che però non si è mai realizzata. Da tempo gli Osservatori del Politecnico di Milano segnalano la debolezza del modello di business di Spid, che non consente una sua sostenibilità economica. «I privati lo stanno sostenendo in perdita», dice Prosperetti.

Il problema è stato riconosciuto dal Governo attraverso la ministra all’Innovazione Paola Pisano: «Abbiamo inserito una proposta nel disegno di legge di bilancio sull’identità digitale: l’identità digitale è importantissima, ma la governance che è stata attuata fino ad oggi non è stata felice, perché l’identità del cittadino era garantita da identity provider privati», ha detto in audizione alla Camera a novembre 2019. «Abbiamo proposto una manovra di cambio di governance, ovviamente di miglioramento della user experience, perché oggi è un po' difficoltoso avere le credenziali del sistema pubblico di identità digitale (Spid)», ha aggiunto.

La riforma è saltata; il problema è rimasto. C’è chi sostiene che contro nuovi collassi del sistema bisogna soprattutto evitare nuovi clic day. «Servono mesi per scalare le macchine in previsione di un grande picco di traffico, come avviene ad esempio con il Black Friday e-commerce» dice Paolo Barberis, consigliere all’Innovazione del Governo dal 2014 al 2018. «Se gli identity provider fossero avvisati per tempo potrebbero adeguarsi - aggiunge -. Ma ne vale la pena? Sarebbe meglio consentire che potenzino Spid senza strappi ma in parallelo alla sua crescita lineare organica, fino all'obiettivo previsto di 34 milioni di identità».

Ma se la struttura resta insostenibile, non sosterrà nemmeno una crescita organica, perché questa si tramuterebbe solo in una crescita delle perdite dei privati. Il problema va risolto insomma alla radice.

«Il Governo dovrebbe dare nuove risorse all’Agenzia per l’Italia Digitale (Agid) che così avrebbe finalmente le forze per fare tutto il necessario alla nascita di servizi basati su Spid, fonti di reddito per gli identity provider», dice Prosperetti. «Bisogna sbloccare le norme sugli aggregatori dei servizi privati, figura che attende ancora di essere attivata da Agid; necessaria perché piccole attività attivino servizi Spid come il Caf, il piccolo studio professionale, l'artigiano, il commerciante locale, gli amministratori di condominio».

Significa che il Governo dovrebbe intestarsi di nuovo il dossier Spid e dell'identità digitale in genere. Anche se è abortito il progetto di una grande riforma a firma Pisano, non rinunciare alla partita ma investire tempo e risorse in un miglioramento graduale, in collaborazione con i privati.