L’attivazione semplificata è ormai fattibile da alcuni giorni

Da qualche giorno è possibile avere SPID (Sistema Pubblico di Identità Digitale) in modalità tutta da remoto, con notevoli semplificazioni burocratiche, utili oggi più che mai vista l’emergenza sanitaria da Covid-19 che rende sempre più difficile potersi recare presso uno sportello per l’identificazione.

Peraltro la stessa emergenza sanitaria sta aumentando il numero e la richiesta di servizi online con accesso Spid (ad esempio per accedere ai vari bonus governativi).

Ecco perché l’AGID, in collaborazione con i gestori di identità digitale (IdP) e con il Ministero per l’Innovazione (MID) ha introdotto delle modalità di identificazione totalmente da remotoLa sicurezza di uno schema di identificazione elettronica

coniugando semplicità e sicurezza dell’identificazione.

Anche il Garante per la Protezione dei Dati personali si è di recente espresso positivamente e ha dato l’ok alla semplificazione proposta dall’Agid.

La nuova procedura di identificazione prospettata, ed ora accettata dall’Authority, non prevede più, per l’identificazione da remoto, la presenza contestuale del richiedente l’identità SPID e dell’operatore che, infatti, è coinvolto solo in un secondo momento, al fine di visionare (e ascoltare) in back-office la registrazione effettuata.

In ogni caso la fase dell’identificazione rimane molto delicata poiché è un processo una tantum che, in mancanza delle dovute cautele, potrebbe determinare furti di identità.

In ogni caso gli schemi di identificazione elettronica italiani notificati in Europa ai sensi del Regolamento eIDAS (SPID e CIE) hanno da sempre introdotto modalità di identificazione da remoto particolarmente innovative, che li rendono dei punti di riferimento per molti altri Stati che si stanno dotando con maggiore ritardo di propri schemi: siano essi basati su una smartcard (come la CIE), ovvero completamente immateriali (come SPID).

Un esempio su tutti è la modalità di identificazione di SPID che prevede l’utilizzo di un’app dell’IdP per effettuare i seguenti passaggi:

  • scansionare la propria CIE o passaporto elettronico per leggere, tramite il chip NFC di tali documenti, rappresentazione digitale della foto a colori e dei dati identificativi del soggetto stampati fisicamente sul documento;
  • effettuare un selfie (foto e/o video di pochi secondi) con la telecamera frontale, mentre si effettua una serie casuale di piccole azioni così come richieste dall’app;
  • inviare le evidenze raccolte ai punti precedenti all’IdP, che li conserva.

Entro pochi giorni, l’identità digitale viene rilasciata mentre, nel backend, sono effettuati in maniera asincrona i seguenti controlli compensativi:

  • i dati digitali catturati dal documento elettronico sono convalidati verificando che i sigilli elettronici avanzati apposti su tali dati ne confermino l’origine e la validità;
  • un operatore esperto rivede l’intero processo di identificazione registrato dall’IdP, incluse tutte le prove digitali acquisite e la registrazione audiovisiva, confrontando il volto del richiedente con quello letto dal documento digitale;
  • viene controllato (tipicamente per due volte durante l’intero processo, di cui la seconda in differita dalla prima di diverse ore o giorni) che il documento non risulti denunciato come rubato o smarrito.

Solo quando tutti i tre controlli di cui sopra hanno esito positivo viene rilasciata l’identità digitale.

In questo caso, l’assenza di un operatore che in tempo reale interagisce con l’utente è stata rafforzata mediante misure di sicurezza “compensative,” quali:

  • richiedere un secondo documento (la CNS ovvero il tesserino del codice fiscale) che, anch’esso fotografato fronte e retro dall’app, deve essere nelle disponibilità del richiedente;
  • la conservazione delle evidenze informatiche (soprattutto delle prove audiovisive) per svariati anni, come deterrente per il furto di identità;
  • la possibilità dell’operatore di rifiutarsi di accogliere l’istanza di ottenimento dell’identità digitale qualora sussista il minimo dubbio in merito all’identità dell’utente;
  • il controllo, in differita e in due tempi diversi non conoscibili a priori, della validità del documento.

Dunque per attivare lo SPID senza un operatore, gli utenti devono innanzitutto registrarsi sul sito di un gestore che ha già attivato la nuova modalità. Dopo di che, serve registrare un video (con lo smartphone o il PC) in cui viene mostrato il documento d’identità usato (carta d’identità, anche elettronica, la patente o il passaporto) e la tessere sanitaria oppure il codice fiscale. Durante il video è inoltre necessario leggere un codice ricevuto via SMS o tramite una delle app dei gestori di identità.

Infine, per concludere l’operazione è necessario effettuare un bonifico da un conto italiano intestato all’utente per cui bisogna attivare lo SPID, specificando nella causale un codice specifico ricevuto dal gestore. L’importo del bonifico può anche essere di pochi centesimi; viene usato soprattutto come ulteriore elemento di verifica dell’identità e talvolta viene devoluto in beneficenza.