La mia opinione su SPID

(This post is in Italian since it is about the Italian Public Digital Identity system)

Il tema dell’identità digitale del cittadino mi sta molto a cuore, al punto che nel 2013 ho pubblicato un breve testo dedicato a questo argomento.

Il sistema di identità digitale che sognavo è ben descritto in questa infografica:

2013 08 14 UCIM infographic.005

Il quesito dunque è se il sistema SPID recentemente annunciato dall’AGID sia una implementazione soddisfacente (dal mio punto di vista ovviamente) di questo schema ideale.

Inizio subito dicendo che non ne so abbastanza; l’annuncio di AGID non offre infatti troppe informazioni su come funziona il sistema e mi auguro di trovare da qualche parte un documento più dettagliato. I miei commenti potrebbero dunque risentire di questa mancanza di approfondimento.

  1. l’identità è solo l’inizio – nello schema che ho proposto, l’identità è solo un terzo della Persona Digitale: il grafo delle connessioni e i contenuti originali prodotti da ciascuno sono gli altri due terzi. Naturalmente possiamo tranquillamente immaginare che la funzionalità completa venga rilasciata in fasi successive, di cui questa è la prima.
  2. diritto di proprietà – non mi sembra di aver visto un provvedimento che esplicitamente assegni al cittadino ogni diritto su tutte le componenti della sua Persona Digitale (Identità, Connessioni e Contenuti) ma io credo che questo sia un elemento fondamentale per definire chiaramente il terreno di gioco tra cittadini, ID Providers e Marketers.
  3. portabilità – non mi è chiaro cosa succede se il cittadino cambia ID provider: le autorizzazioni di accesso rilasciate dal vecchio provider sono ancora valide (come dovrebbe essere) o no? Vengono automaticamente incorporati nella matrice di accessi del nuovo provide e rimossi da quello del vecchio?
  4. accessibilità – non mi è chiaro se il sistema mi mette a disposizione la possibilità di ispezionare quale entità ha accesso a quali dei miei dati personali. Attualmente il cittadino ha l’onere di ricordarsi a chi ha dato accesso e a che cosa, il che crea un bias a favore dell’entità richiedente che a mio parere non dovrebbe esistere; questo diritto di ispezione dovrebbe naturalmente essere accompagnato da un diritto di revoca. Per la semplice identità questo è abbastanza ovvio (e quindi lo possiamo dare per scontato) ma per le altre componenti della Persona Digitale accesso e revoca sono meno ovvi e dunque sarebbe interessante vederli esplicitati.
  5. entità certificanti – a mio parere dovrebbero essere tante, e in concorrenza tra di loro; è ragionevole che a queste entità certificanti vengano richieste garanzie tecniche di compliance rispetto a standard pubblici dei quali però non ho notizia. Nel mio schema questi standard pubblici erano sostanzialmente rappresentati da un DSML (Digital Self Markup Language) che consentisse di identificare gli elementi dell’identità e renderli interoperabili tra di loro.
  6. pagare sì o no – mi sembra una discussione priva di significato: le offerte di ID evolveranno nel tempo: alcune saranno arricchite da servizi aggiuntivi tali da giustificare un premium price, mentre altre saranno a basso costo. Ciascun cittadino sceglierà in base alle proprie esigenze, purché l’offerta competitiva compliant sia ampia ed articolata. Personalmente pagherei volentieri per un sistema completo (ad es. che comprende ID biometrica) e non finanziato da ricavi di marketing.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s