Dopo la Sapienza di Roma e l’Università di Torino, anche il Politecnico di Milano abbraccia il Sistema Pubblico di Identità Digitale (SPID), confermando la sua vocazione all’innovazione. Qui la cultura digitale, e le sue applicazioni più avveniristiche, non spaventano, ma al contrario alimentano fiducia e voglia di fare. Fabrizio Pedranzini, dirigente dell’Area Servizi ICT è consapevole di come la digitalizzazione rappresenti lo snodo chiave per creare efficienza e risparmi per imprese, professionisti, enti pubblici e cittadini. Ci racconta come si è realizzata l’adozione di SPID al Politecnico, i vantaggi, i primi riscontri e la situazione degli atenei italiani. Ma anche cosa ancora manca per una piena diffusione, a livello nazionale, del pin unico.
PASSAGGIO FINALE VERSO LA SEMPLIFICAZIONE
“Per il nostro Ateneo l’adesione a SPID è solo il passaggio finale di un percorso di semplificazione nell’accesso ai servizi online iniziato in passato – conferma Pedranzini -.
Già da qualche anno l’integrazione realizzata tra i differenti sistemi dell’Ateneo consente a studenti, laureati, docenti e personale di accedere con username/password unificate ai servizi offerti per la didattica, la ricerca, l’amministrazione, la posta elettronica, l’e-collaboration etc… Così è consentito, nel caso non infrequente di persone con molteplici ruoli, di accedere con le stesse credenziali a differenti configurazioni di servizi. All’inizio l’applicazione di policy restrittive sulla password ha incontrato qualche resistenza da parte di alcuni utenti, ma siamo riusciti a superare le difficoltà facendo capire l’importanza della sicurezza delle chiavi di accesso, anche alla luce del valore aggiunto offerto dal Single Sign On ai servizi. Il Politecnico di Milano ha inoltre sempre avuto molta attenzione verso le identità digitali dei propri utenti e si è fatto parte attiva in iniziative concrete per garantirne la gestione sicura e la spendibilità su un portafoglio di servizi sempre più ampio, ottenuto anche tramite la federazione con altri Atenei ed erogatori di servizi, ad esempio tramite la Federazione IDEM, grazie alla quale studenti e docenti di altri Atenei nostri ospiti, possono utilizzarne il servizio WiFi autenticandosi tramite le credenziali assegnate dall’Ente di appartenenza”.
Servizi collegati per 150mila studenti
In quale tipo di percorso si inserisce SPID, dal punto di vista dell’ammodernamento delle infrastrutture tecnologiche in un istituto già così all’avanguardia? E soprattutto quale sarà il valore aggiunto? Fabrizio Pedranzini riepiloga il cammino fatto, allargando poi il focus sull’orizzonte dell’integrazione e della dematerializzazione: “SPID è un rafforzamento del processo di autenticazione per l’accesso ai servizi: stavamo già valutando l’ipotesi di passare dal livello base (username/password) ad uno più avanzato tramite l’aggiunta di un codice temporaneo. Questo progetto ci ha offerto l’opportunità di raggiungere questo risultato utilizzando, senza costi aggiuntivi, credenziali con validità ancora più ampia, in prospettiva utilizzabili per l’accesso a tutti i servizi della Pubblica Amministrazione, e lasciando al gestore delle Identità l’onere e la responsabilità di certificare e custodire le identità digitali.
Dal nuovo anno accademico oltre 150.000 tra studenti, laureati, docenti e personale, potranno accedere al portale dei servizi online tramite SPID
Nello specifico, considerate le caratteristiche del portafoglio di servizi online offerti ai nostri utenti abbiamo deciso, anche in considerazione delle Linee Guida di AgID, di vincolare l’accesso previa autenticazione SPID di secondo livello. A partire dal nuovo anno accademico oltre 150.000 tra studenti, laureati, docenti e personale, potranno accedere al portale dei servizi online tramite SPID e utilizzare tutti i servizi disponibili. L’integrazione realizzata porterà inoltre benefici anche a chi, non ancora utente del Politecnico ma già in possesso di un’identità SPID, avrà la necessità di accedere ai servizi dell’Ateneo: potrà infatti autenticarsi tramite SPID e completare la registrazione senza dover reinserire le informazioni anagrafiche, acquisite e certificate direttamente da SPID, incluso il riconoscimento de visu , che non sarà più necessario per consolidare la registrazione nell’anagrafica dell’Ateneo. SPID permetterà inoltre di snellire e dematerializzare completamente le procedure di presentazione di domande ed istanze da parte di persone che altrimenti dovrebbero utilizzare altri strumenti, più tradizionali, per dimostrare la propria identità.
C’è ancora chi chiede cosa sia SPID…
“Qui erano già presenti le competenze necessarie per affrontare l’integrazione con SPID, sia dal punto di vista tecnologico che di revisione del processo di registrazione ed autenticazione: si è trattato solo di applicarle con i nuovi presupposti dettati dalle regole di SPID. Vorrei peraltro sottolineare la grande disponibilità messa in campo sia da parte dei referenti di AgID che dei gestori delle Identità che hanno rapidamente supportato le attività di configurazione, collaudo e passaggio in produzione del servizio. Le procedure operative di attivazione delle Identità hanno talvolta evidenziato alcune criticità che sono però state risolte e questo dovrà essere un punto di attenzione altrimenti non sarà possibile sostenere l’impatto dei volumi desiderati e previsti – spiega il dirigente dell’Area Servizi ICT del Politecnico di Milano -. I primi riscontri, però, sono contraddittori: ci sono sicuramente gli innovatori che hanno apprezzato ed approfittato dell’opportunità utilizzandola da subito. Però ci sono anche utenti che chiedono cosa sia SPID ignorandone completamente l’esistenza. Nel periodo transitorio è sicuramente comprensibile, possiamo contribuire a far crescere negli utenti la consapevolezza del significato e del valore aggiunto della gestione centralizzata e sicura dell’identità digitale, però è un segnale della necessità di fare di più a livello di sistema generale. Ciò sia con riferimento alla comunicazione sul significato di SPID, che in merito alle procedure operative di attivazione dell’identità digitale presso i gestori. Procedure che devono essere assolutamente snelle e chiare, a prova di utente privo di competenze tecniche. In tal senso vi sono ancora margini di miglioramento. Detto ciò la nostra è un’utenza un po’ particolare: si tratta di studenti, laureati e docenti di materie tecniche e di personale che lavora ai servizi che supportano le attività dell’Ateneo. Sono persone abituate ad utilizzare le tecnologie ICT: abbiamo già ampiamente dematerializzato i processi ammistrativi e facciamo un uso esteso della firma digitale, adottata per la firma dei verbali d’esame da oltre 10 anni”.
Più sicurezza e opportunità per tutti
La sicurezza è il tema dominante, considerando il numero crescente di attacchi informatici, costantemente in crescita, come confermato nel secondo semstre del 2016. A quale livello di sicurezza si colloca SPID ai fini della protezione dei dati sensibili degli studenti e del personale docente? “Tecnicamente si è passati dalla situazione precedente, nella quale il Politecnico fungeva sia da gestore delle identità digitali (IdP – Identity Provider) che da erogatore di servizi (SP – Service Provider), a quella attuale in cui il ruolo di IdP è rivestito dal sistema di gestori di identità SPID e l’Ateneo funge da erogatori di servizi. E’ ovvio che nell’erogazione dei servizi si rende necessario trattare dati personali, ed eventualmente sensibili, e ciò non è cambiato rispetto a prima. L’utilizzo dell’autenticazione SPID garantisce un maggiore livello di sicurezza nell’autorizzazione per l’accesso ai servizi e ci rende più confidenti della coincidenza tra l’identità digitale dell’utente che accede e la sua identità fisica, limitando così il rischio di accessi impropri ai servizi ed ai dati personali, sia in consultazione che in modifica – conferma Pedranzini, che poi aggiunge la sua opinione complessiva su SPID e cosa si potrebbe fare per migliorarne l’adozione, a tutti i livelli -. A mio parere si tratta di una grande opportunità per cogliere molteplici obiettivi: per gli utenti è importante diffondere, sia a livello culturale che di utilizzo operativo, la corretta nozione di identità digitale e della sua importanza sia per l’accesso ai servizi che per il trattamento dei dati. Per la singola amministrazione invece è una grande occasione per unificare le procedure di accesso ai propri servizi, delegando a SPID l’onere e la responsabilità della gestione certificata delle identità digitali. Inoltre consente di rivedere e semplificare alcuni processi traendo vantaggio della certificazione delle identità da parte di SPID. Per la Pubblica Amministrazione ora si possono semplificare alcuni processi trasversali, rispetto alle singole amministrazioni, spingendo verso una visione integrata e d’insieme. Ma è l’intero sistema Paese a poter contare su un’utenza evoluta e consapevole in grado di utilizzare i servizi della PA ed alla quale rendere disponibili anche ulteriori funzionalità (ad esempio di provider privati)”.
Il peso dell’immagine
Tuttavia l’adozione del Sistema Pubblico di Identità Digitale, sebbene proceda con decisione nel collegamento dei servizi della PA, ancora fatica a conquistare le attenzioni delle fasce ampie della popolazione: “Rispetto ai temi dell’identità digitale sicuramente c’è un problema di mancanza di sensibilità da parte degli utenti rispetto alla quale è necessario intervenire, anche per evitare che ciò possa inconsapevolmente abbassare il livello di sicurezza e favorire accessi fraudolenti ai servizi. Va inoltre aggiunto che la Pubblica Amministrazione fa un po’ fatica a scrollarsi di dosso il peso dell’immagine un po’ stantia e polverosa di sistema di Enti, propensi più alla burocrazia che all’efficienza. Sappiamo che molto si sta facendo, ma recuperare la fiducia dei cittadini non sarà facile. L’unico modo per farlo sarà dimostrare concretamente che il sistema funziona, facendo percepire il valore aggiunto dell’operazione. E’ necessario estendere il portafoglio dei servizi accessibile tramite SPID, incentivando l’adesione da parte dei cittadini. Non possiamo permetterci un fallimento come fu la “PEC del cittadino”.
SPID prioritario per gli atenei
Prima l’Università la Sapienza di Roma, poi quella di Torino, ora il Politecnico: possiamo dire che per il mondo della formazione la strada sia tracciata? Le Università italiane sono pronte ad accogliere ed includere questa novità o riscontra troppa lentezza? “Come sistema di Atenei abbiamo cercato di muoverci in modo coordinato, non in ordine sparso. Anni fa, grazie all’iniziativa Università digitale venne attivato un tavolo congiunto con MIUR e Presidenza del Consiglio grazie al quale vennero realizzate iniziative concrete che incisero in modo significativo sui processi di dematerializzazione negli Atenei, ad esempio per la verbalizzazione degli esami e delle tesi di laurea. Quel modello di collaborazione non si è perso e gli Atenei hanno continuato a lavorare insieme nell’ambito dell’associazione CODAU, presentandosi in modo unitario ai grandi interlocutori quando si è trattato di affrontare passaggi importanti. Lo abbiamo fatto ad esempio con l’INPS per l’acquisizione delIe dichiarazioni ISEE, con l’Agenzia delle Entrate per il 730 precompilato e con AgID per l’attivazione di pagoPA. Per SPID abbiamo seguito direttamente l’evolversi del progetto restando in contatto con AgID, condividendo le informazioni tra gli Atenei, e preparandoci al cambiamento. Ad aprile abbiamo organizzato un workshop con la presenza di AgID e di tutti gli Identity Provider di SPID per fare insieme il punto e concordare alcune linee guida: hanno partecipato decine di Università, a dimostrazione del fatto che l’interesse è alto. Dal punto di vista tecnico non vedo particolari difficoltà da parte degli Atenei ad aderire a SPID, la questione semmai è un’altra: considerato che le risorse sono comunque limitate e che qualunque intervento ha un costo, è necessario far passare l’idea che l’adesione a SPID sia una priorità, da considerare tale per dare un contributo a fare massa critica”.
Più collaborazione e servizi fruibili
“Si potrebbero fare molte considerazioni sulla tecnologia e sulle sue evoluzioni, ma credo che il punto focale sia un altro: dobbiamo imparare a fare sistema, non limitarci a dichiararlo – spiga Fabrizio Pedranzini -. Non basta approvare un articolo del Codice per l’Amministrazione Digitale per imporre un cambiamento, bisogna far sì che le cose accadano. Purtroppo non è facile, per tanti motivi e sicuramente quelli di carattere tecnico non sono i più critici. E’ necessario far capire che i servizi ICT sono una leva strategica fondamentale, ma che va usata con attenzione: troppe volte i servizi falliscono per scarsa attenzione verso la loro fruibilità o gli aspetti di comunicazione all’utenza. Parimenti troppe volte nel fare le scelte vengono trascurati gli aspetti di integrazione tra i sistemi, ipotecando o rendendo difficoltosa una cooperazione tra gli Enti. Va cambiato approccio, sviluppando la necessaria sensibilità e prestando attenzione a ciò che viene realizzato. L’esperienza maturata nell’interazione stretta con grandi Enti mi porta e ritenere che vi siano le persone con le capacità e le idee giuste, deve però diffondersi e passare con forza l’idea che siamo un’unica squadra con obiettivi comuni. Purtroppo non sempre il percorso è lineare, alle volte si fanno anche dei passi indietro. Un esempio? Negli anni scorsi avevamo, con gli altri Atenei, rivisto ed ottimizzato il processo di immatricolazione degli studenti tramite un accesso all’Anagrafe Nazionale degli Studenti del MIUR. In pratica la verifica del Diploma veniva fatta direttamente dal sistema informativo degli Atenei accedendo, in tempo reale ed in condizioni di sicurezza, ai dati inseriti dalle Scuole Superiori. Tuttavia da alcuni mesi tale cooperazione applicativa non è più consentita e siamo tornati alla verifica puntuale e manuale dei singoli Titoli, con spreco di risorse e dilatazione dei tempi di controllo. Al momento siamo fermi e possiamo solo auspicare che quanto prima vengano chiariti e risolti gli aspetti di carattere formale e siano ripristinati tali servizi”.
MASSIMO FELLINI