Lo SPID o “Sistema Pubblico di Identità Digitale” è, o dovrebbe essere, la chiave, unica e sicura, per il cittadino che vuol accedere – con il computer – ai servizi della Pubblica Amministrazione.

Lo ha ideato l’Agenzia per l’Italia Digitale (AGID), una agenzia governativa, con l’intento di creare un sistema unico di accesso sicuro: un solo codice per tutte le Amministrazioni, invece di tante user id e Password.

Intento molto condivisibile, ma funziona? Beh, secondo la mia esperienza a volte sì e a volte no. E’ una semplificazione abbastanza complicata.

Innanzitutto il codice SPID di accesso non è rilasciato direttamente dalla Pubblica Amministrazione, bensì da “concessionari”, ognuno con le sue regole di attivazione.

Al momento, sul sito SPID, ce ne sono nove: Aruba, InfoCert, Intesa, Lepida, Namirial, Poste Italiane, Sielte, Register.it, TIM.

Io, al tempo scelsi Poste perché mi sarebbe servito anche per le operazioni con Poste Italiane.

L’attivazione non fu semplice, compresa la visita, necessaria per il “riconoscimento personale”, ad un ufficio postale abilitato.

Una volta ottenute le credenziali, esse sono valide per qualsiasi accesso ai siti della Pubblica Amministrazione, Agenzia delle Entrate, Comune, etc. per ottenerne i servizi on line.

Le credenziali possono essere inserite o nel solito modo, scrivendo user id e password (sempre le stesse per tutte le amministrazioni) negli appositi campi dei rispettivi siti web, oppure, con l’apposita App, inquadrando con lo Smartphone un QRcode che appare sullo schermo e digitando sul telefonino stesso un codice “segreto” (livello di sicurezza 2).

Tutto bene? Non tanto. Ho scoperto, a mie spese, che la “sicurezza” dell’accesso dipende da un software istallato sul telefonino, il cosiddetto “certificato di sicurezza” che consente di verificare l’associazione univoca tra una chiave pubblica e l’identità di un soggetto (una persona, una società, un computer, etc) che dichiara di utilizzarla nell’ambito delle procedure di autenticazione. Insomma, digitando il codice (segreto, scelto da me e conunicato al gestore) sul telefonino, il sito “interpellato” è sicuro che chi ha digitato quel codice è la persona che avrebbe dovuto digitarlo.

Il guaio è che questo “certificato” non è visibile come un’App o un programma e può “saltare” in molti modi.

Il primo e più intuibile è il cambio di telefonino. Acquisto un nuovo telefonino Android e, grande comodità, appena inserisco il mio indirizzo e password di Google, in automatico, mi viene scaricato tutto il contenuto del vecchio telefonino, comprese le App. Ma non il certificato. Quando cerco di autenticarmi usando SPID, apro l’App dello SPID, digito il codice, ma il certificato non c’è e appare un messaggio di errore non sempre chiaro.  Spesso, almeno con l’App di Pste Italiane, appare il messaggio “credenziali non corrette” che porta a presumere di aver sbagliato a digitare il codice.

Il certificato “si perde” anche (mi è successo) cambiando il gestore del numero del telefonino “portabilità del numero”.

Ieri, a mie spese, ho scoperto che il telefonino si era perso il certificato anche dopo un aggiornamento automatico della versione del sistema Android.

Ogni volta, risolvevo il problema disinstallando l’App del codice SPID, reinstallandola e ripetendo la procedura di ottenimento del codice. Il codice, come una password è scelto da me e- per comodità – sceglievo sempre lo stesso codice.

Tutto bene, una volta scoperto che la causa era la “perdita” del certificato e la nuova richiesta dello stesso? Mica tanto. Ovvero, non per sempre.

Una telefonata, abbastanza lunga, con il call centre di assistenza SPID di Poste Italiane mi ha spiegato che la procedura di disinstallazione, reinstallazione e nuova richiesta codice non è corretta perché l’Ente che rilascia il codice “non sa” che il telefonino se lo è perso e, quindi, anche se è lo stesso codice, per l’Ente gestore, è un “ulteriore” rilascio. Poste Italiane – nella telefonata – mi ha spiegato che sono già arrivato a cinque rilasci di codici (tutte le volte che ho disinstallato e reinstallato l’App e chiesto un “nuovo” codice); alla decima richiesta il sistema mi bloccherà tutto.

Ohibò, visto che in poco più di un anno, ho “perso” cinque certificati, penso che a dieci arriverò presto.

Cosa avrei dovuto fare?

Quando il telefonino si “perde” il certificato, dall’App del telefonino (o, con il computer, sul sito web del Gestore, autenticandomi con user id. e password) avrei dovuto ”revocare” il certificato che il telefonino si era perso. Solo dopo aver fatto ciò, avrei potuto disinstallare l’App, reinstallarla e chiedere un nuovo certificato.

Io non mi reputo un analfabeta informatico eppure – come avete letto da queste righe – ho avuto la vita difficile con lo SPID, almeno con l’autenticazione di livello 2 con il codice.

Pensate che tali procedure possano essere comprese e seguite dalla massa dei cittadini che hanno a che fare con la Pubblica Amministrazione?