Lo SPID: il Sistema Pubblico di Identità Digitale è un passo importante per facilitare il rapporto tra cittadino e Pubblica Amministrazione, ma quando si parla di attivarlo, tanto per cambiare, ha qualche meccanica che non funziona. Ho deciso così di raccontare la mia esperienza e dare un consiglio: usate SielteID. Per ora.
Questo post è stato aggiornato il 12/05/2017
Tempo fa decisi di eliminare tutta la mia musica (oltre 60giga di sudata collezione musicale) perché lo streaming stava prendendo il sopravvento. Inoltre comprare, scaricare e poi ascoltare erano diventate operazioni troppo impegnative rispetto a: apri Youtube (o Spotify) e ascolta.
Ha prevalso la semplicità.
Verso la semplicità stanno andando anche le banche (Number26 per esempio) e molte realtà che forniscono servizi online, Google compresa che di recente ha rifatto il pannello dedicato all’account, semplificando le operazioni per accedere alle funzioni, controllo della privacy incluso.
Non è così però quando parliamo di Pubbliche Amministrazioni, non so all’estero, ma qui in Italia lo scenario è molto complicato dal punto di vista dell’esperienza utente (non sto qui a ricapitolare i regolamenti a cui è soggetta la PA online o il numero dei servizi digitali -non- forniti). Per esempio qualcuno ha familiarità con le schede e, ancora prima, con il lettore di schede, dell’Asl Toscana? Oppure quanto sono fastidiose quelle “pennette” genera codici “usa e getta” che usano alcune banche?
Così lo SPID non è da meno.
Google: autenticazione a due livelli, prima password poi codice inviato via telefono.
Twitter: idem.
Fineco: numero utente, password 1, password 2 se vuoi fare operazioni.
Stop.
Già perché appena rilasciato il Sistema Pubblico di Identità Digitale (SPID per l’appunto: strumento grazie al quale il cittadino italiano ha a disposizione un unica identità digitale con la quale accedere ai diversi servizi online) si parla già di un problema di sicurezza dovuto a una poco chiara definizione degli standard ai quali devono sottostare i fornitori di SPID. In realtà in alcuni commenti all’articolo di FORUMPA si evidenzia come la norma che regolamenta SPID faccia riferimento a standard ISO. Non essendo un esperto in materia vi rimando al post, mi limito a evidenziare questo aspetto perché tra poco lo metterò in contrapposizione con un altro.
Si accenna a tre livelli di sicurezza ma manco per Fineco uso tutta questa prudenza! Google non ne parliamo, ancora meno. Come dicevo all’inizio del post.
Per ora, a leggere gli ultimi articoli, mi sembra una corsa alla complicazione e stiamo parlando solo delle procedure di iscrizione. Ho scritto “si accenna” perché per ora di passaggi di sicurezza ce ne sono solo due. Ancora non è operativo il passaggio con la smart card. Per fortuna.
Come avviene la registrazione a SPID: i certificatori
Appunto, come ci si registra? Dal portale SPID mi viene detto che devo accreditarmi tramite un “gestore d’identità” che per ora sono tre: InfoCert, Poste e TIM (Aggiornamento del 12/05/2017: ora molti di più). Tutte e tre chiedono di iscriversi prima alla loro piattaforma fatta ad hoc (non poteva farla il direttamente gov.it?).
Decido di spulciare le Poste e passo quindi a posteID.poste.it, scelgo loro per primi perché ho letto che offre diverse possibilità di accreditamento più semplici (io non ho mai avuto una carta d’identità elettronica per cui non posso iscrivermi tramite questa funzionalità, né voglio pagare 15 euro per fare il riconoscimento via webcam come chiede InfoCert! Poi un giorno riuscirò a capire perché una società chiede 15 euro per accendere la webcam. Ma lasciamo stare).
Ma attenzione, adesso viene il bello: non ero iscritto a Poste, quindi mi iscrivo prima a Poste. Poste normale, non PosteID. Chiaro? Notare che iscrivendomi a Poste io mi iscrivo anche ai loro servizi, nonostante non sia interessato alla cosa. Pazienza, magari mi serviranno in futuro…
Provo anche TIM. Vado quindi nel portale dedicato, cerco l'”offerta” (nome non casuale perché non sanno come monetizzare gli utenti privati, ma per le imprese è già pronto il pacchetto da 36euro più iva al mese, ah con addebito annuale anticipato. Ovvio perché loro non sanno come andrà il servizio, ma le imprese sì e quindi pagano subito. Non fa una piega no?).
Caso speciale InfoCert
InfoCert invece offre solo i metodi: firma digitale, Carta d’identità elettronica, offline (cioè ti presenti nei loro uffici, ma solo a Roma, Milano o Padova in una delle sedi di InfoCert) e via webcam a pagamento (!?!?). Già.
[rev_slider Spid]
Altro che sicurezza
Ecco, mi sorprende poi la poca chiarezza (ancora) dovuta al pagamento o meno del servizio. TIM punta in questi due anni a capire come si comportano gli utenti per poi valutare il da farsi. Sarò super critico io, ma non mi pare abbiano idea di cosa fare/dove andare.
Se ogni cittadino deve fare una richiesta autonoma per avere lo Spid, i tempi tecnici per l’on-boarding saranno necessariamente più lunghi. Se invece Agid consentirà agli utenti già autenticati per altri scopi – penso a quelli dell’Inps, ad esempio, che ne ha diversi milioni – di ricevere il pin unico senza effettuare il procedimento di richiesta o comunque di poter utilizzare una procedura “facilitata”, riusciremo ad accelerare l’on-boarding massivo e raggiungere il networking effect che citavo prima. Contestualmente TIM sta lavorando per facilitare le richieste da parte dei cittadini
Mi fa anche piacere che TIM stia lavorando per facilitare le operazioni di iscrizione ai cittadini, dopo il lancio di SPID?!?
Dunque da una parte la sicurezza dicevo, dall’altra l’usabilità e la chiarezza che vanno a farsi friggere. Contrapponendo la prima alle altre lacune per ora mi pare molto più sensibile dare un’idea meglio definita di cosa sarà questo SPID.
Alcune domande a cui non ho trovato risposta
Alcune battute per diverse domande aperte:
- Perché affidarsi a un servizio terzo, a un “gestore d’identità”? Ma davvero la PA centrale ha difficoltà a riconoscere un utente tramite il suo codice fiscale?
- Non ho ben capito chi detiene i dati: i gestori d’identità? Quindi io cedo le mie informazioni personali a servizi terzi di cui non mi interessa niente? Non ho capito.
- Si poteva lavorare per accentrare tutti i servizi sin dall’inizio? Mi spiego meglio: Inps, Agenzia delle entrate utilizzeranno le informazioni personali che hanno già per rilasciare codici SPID ai loro iscritti, ecco non era proprio fattibile approfittare di questa operazione per unire database/accessi e accentrare il processo di iscrizione verso SPID?
- Sulla tariffa da far pagare agli iscritti poi vorrei capire di più, la domanda è: davvero non si sa cosa succederà dopo i due anni in cui l’iscrizione è gratuita? E se questa impostazione non è sostenibile perché a utilizzare lo SPID saranno in pochi? E se emergessero altre forme di monetizzazione (TIM prevede già una serie di servizi accessori) più invasive?
Lo so che è presto, lo so che non è facile, ma da buon pignolo già mi chiedo se questo rilascio dello SPID sia stato fatto perché in ritardo (era annunciato per dicembre 2015) e quindi si doveva partire con la “sperimentazione”, oppure per mandare un messaggio politico (della serie: “Vedete, l’Italia va avanti”).
Non lo so, so che per ora, solo pensando a quanto sia difficile iscriversi, alle dinamiche poco chiare, alla poca alfabetizzazione tecnologica italiana, rimane un oggetto morto in partenza.
Il grande passo
Alla fine l’ho rifatto, o almeno c’ho provato a aprire la mia identità digitale a tutti i costi. Ecco in breve la telenovela cominciata il 30 gennaio 2017 (e mai conclusa):
Entro nel portale SPID, scelgo il processo tramite Infocert, finisco in una schermata che non mi permette di fare altre azioni, con i caratteri dei tasti illeggibili. Sono bloccato. Riprovo il giorno dopo, stessa sorte. Lascio perdere, tanto (penso) ci sono altri certificatori.
Ritento pochi giorni dopo. Scelgo Poste Italiane e, arrivato al sito posteid.poste.it mi viene chiesto di inserire le stesse credenziali che utilizzo quando accedo al sito poste.it. Provvedo, ma niente. Riprovo per sicurezza, ma niente.
Allora contatto Poste Italiane su Twitter (@webposte…) i quali provvedono subito a farmi chiamare da Roma (velocissimi davvero!). Parte la trafila con il solito suggerimento di cambio browser e usare Firefox invece che Chrome. Allora provo: Safari, niente. Chrome, niente. Tendo di nuovo Firefox, niente. Opera (ché non si sa mai), niente.
Li ricontatto via Twitter, mi richiamano da Roma, velocissimi come prima, mi dicono che “AH, ma il problema è il suo numero di telefono eh. Lo ha cambiato vero?”. Io rispondo “Certo e l’ho aggiornato nella mia area personale”, al che mi rispondo “Sì, ma lo deve CERTIFICARE” e siccome non lo posso certificare online (sia mai) devo andare per forza in un ufficio postale (eppure la mia banca verifica il cellulare senza bisogno di muovermi). Vabbe’.
Vado all’ufficio postale, certifico il numero di telefono, torno a casa dopo un’ora e mezza di fila, controllo che il numero sia presente nel mio profilo sul sito poste.it e, visto che il numero era presente, torno sul sito SPID provo a chiedere lo SPID attraverso posteid.poste.it. Niente da fare, il problema adesso è che posteid.poste.id NON mi riconosce, il sito mi restituisce un errore e mi chiede di riprovare più tardi. D’accordo, non mollo.
Hai visto anche questo?
Il Comune di Ancona usa Whatsapp in maniera molto intelligente e integrata nella sua comunicazione.
Leggi il postTorno da Poste Italiane su Twitter, vengo chiamato da Poste Italiane, velocissimi come prima, mi resettano la password, cambio password nuova, provo a accedere nuovamente a posteid.poste.it, ma ancora niente. Questa volta colpo di scena però: stesso errore di prima. Il sistema mi dice che il mio numero di telefono non è stato verificato (eppure ci ero passato la mattina stessa a verificarlo e erano passate due ore!).
A questo punto la signora del call center (gentilissima) mi invita a chiamare il numero verde dedicato perché, a detta sua, Poste non può più nulla. D’accordo, non mollo. Chiamo il numero verde. Ma attenzione: il 803160 da cellulare non è operativo. Dal telefono di casa è gratuito, ma per il cellulare non è attivo, bisogna chiamare il 199100160, a pagamento ovviamente. D’accordo, non mollo.
Chiamo il numero a pagamento (non avendo il telefono fisso), seguo le istruzioni per parlare con un operatore, ma parte un nastro automatico dedicato alle informazioni che gli insegnanti devono conoscere per poter usare SPID (!). Alla fine della registrazione una voce automatica, mi avvisa che c’è molto traffico e che non ci sono operatori disponibili. D’accordo, non mollo. Richiamo dopo un’ora. Stessa sorte.
Io non mollo eh, però è davvero una guerra per qualcosa che dovrebbe essere semplice, online, veloce. Ecc, ecc, ecc.
SPID: alla fine l’ho attivato. Ha vinto la semplificazione
[Aggiornamento del 12/05/2017]
Dopo tre mesi, TRE mesi, dall’ultima revisione di questo post ho scoperto che è stato attivato un nuovo certificatore: SielteID. Alcuni colleghi lo hanno usato prima di me, garantendomi la sua velocità e precisione e così è stato anche per me.
Sono riuscito a attivare la mia identità digitale in tempi decenti (avrei potuto concludere tutto in uno due giorni per dire!) e senza recarmi in sportelli o fare code o fare la spola tra uffici (come avrei dovuto fare con Poste Italiane), oltretutto l’identificazione via webcam è gratuita a differenza di altri operatori.
Consigliato.