di Cesare Ciabatti e Fabrizio Lupone
La nostra società è sempre più “onlife”, usando un termine coniato da Luciano Floridi, uno delle migliori menti che tentano di dare risposte ai cambiamenti sociali generati dalle tecnologie Ict, caratterizzata da una forte interazione tra realtà virtuale e realtà materiale nella quale siamo tutti a vari livelli coinvolti. Avere una identità digitale permette di agire nel contesto generato dalla società dell’informazione.
In questo senso vanno le scelte del legislatore di normare il rilascio di Spid ai minori a partire dai bambini di cinque anni, già quindi dal periodo scolastico, perché anche a loro la società dell’informazione riserva uno spazio ed eroga dei servizi. La didattica a distanza e il registro elettronico erano sconosciuti prima della pandemia, oggi una normalità.
Rilasciare Spid ai minori, solleva una questione etica, l’autodeterminazione del singolo, definire quindi un confine tra quello che il minore può fare in autonomia senza la supervisione di un adulto e quello che non può fare. Con la Determina n. 51/2022 pubblicata nel sito dell’AgID il 7 marzo 2022 si definisce un quadro regolatorio che unisce queste esigenze e dispone procedure e responsabilità, vediamo come.
Le linee guida prevedono servizi e scenari diversi a seconda che il minore abbia un’età compresa tra i 14-18 anni o compresa tra i 5-14 anni. In questo ultimo caso, gli under 14 potranno fruire in forma limitata e sotto lo stretto controllo genitoriale solo di alcuni servizi scolastici, in via sperimentale sino al 30 giugno 2023 e con la collaborazione del Ministero dell’Istruzione.
Il Gestore dell’Identità offrirà ai propri utenti un servizio dedicato alla richiesta di rilascio di Spid in favore dei minori e renderà apposita informativa sul trattamento dei dati personali del minore per il rilascio e la gestione dell’identità digitale.
L’identità del minore sarà rilasciata sotto il podestà genitoriale e potrà essere richiesta dal genitore presso il proprio IdP (Identity Provider) usando le proprie credenziali Spid di livello 2 (significativo) per accedere al servizio dedicato. Una delle procedure di identificazione (on line o de visu) già previste per il rilascio delle attuali identità digitali, permetterà di verificare la corrispondenza con i dati del minore.
Tra gli attributi obbligatori per la gestione della propria identità digitale non c’è il numero di telefono ma solo l’indirizzo e-mail. Il rilascio dell’identità sarà notificato anche al genitore. Nei casi in cui il minore non sia in possesso di un numero di cellulare l’eventuale secondo fattore di autenticazione richiesto nelle autenticazioni di livello Spid 2 sarà trasmesso trasmesso su canali alternativi quali l’indirizzo di posta elettronica oppure generato attraverso un apposito dispositivo fisico generatore di Otp rilasciato al minore.
Resta ferma, in tali casi, la facoltà dell’Idp di associare all’identità del minore il numero di telefono mobile del genitore, utilizzabile unicamente per le funzionalità di gestione della sicurezza dell’identità digitale del minore (alert di sicurezza, procedure di recupero delle credenziali, configurazione dell’app di autenticazione, processi di sospensione/revoca, processi di assistenza per ragioni di sicurezza). È sempre escluso l’utilizzo del telefono del genitore per l’invio del secondo fattore di autenticazione con riferimento all’accesso del minore ai servizi degli SP con livello Spid 2.
Quest’ultimo elemento è interessante da sottolineare: l’individuo ancorché minore, ha il diritto all’autodeterminazione. Tale diritto, tuttavia, deve essere tutelato e supervisionato da un adulto e qui si inserisce un altro pilastro su cui si fondono queste Linee guida che distinguono i servizi in due classi: la classe A per i quali l’Idp “non deve” chiedere l’autorizzazione al genitore e la classe B per i quali IdP DEVE chiedere l’autorizzazione al genitore. Nella classe A sono inclusi i servizi erogati da tutti “gli istituti scolastici di ogni ordine e grado nonché i servizi di prevenzione e di consulenza forniti direttamente al minore”. Comprensibile l’accesso in autonomia ai servizi on line rilasciati dalla scuola, interessante la previsione dei servizi di prevenzione e consulenza. L’ecosistema Spid, tra i vari pregi, ha quello di essere perfettamente adeso ai principi del Gdpr, in tale contesto normativo il Considerando 38 stabilisce quanto segue: “Il consenso del titolare della responsabilità genitoriale non dovrebbe essere necessario nel quadro dei servizi di prevenzione o di consulenza forniti direttamente a un minore”. Dunque, al minore in quanto individuo è riconosciuta l’autonomia di poter richiedere servizi di consulenza e prevenzione a lui rivolti a tutela della libertà della propria persona.
La progettazione dei servizi on line da parte dei fornitori di servizi si arricchisce dunque di un altro tassello, oltre ad individuare per ciascun servizio il livello di sicurezza dell’identificazione, oltre a tener conto della tipologia di identità digitale ad uso personale e/o ad uso professionale e dei relativi attributi identificativi richiesti, dovrà essere progettato se il servizio è rivolto ai minori e individuarlo in una delle due classi “A” e “B”.
La tutela espressa dalle Linee guida su Spid ai minori, pone una riflessione sulla Cie (Carta d’identità elettronica) che potrebbe permettere di autenticarsi ai servizi on line mediante l’applicazione Cie Id. Sicuramente le Linee guida richiamate, aprono una riflessione sulla necessità di attivare un controllo sull’età dell’utente, altrimenti tutte le sicurezze previste nell’ecosistema Spid per i minori, verrebbero superate da un possibile utilizzo improprio di Cie nel processo di identificazione. A tal fine sarebbe auspicabile un chiarimento da parte del legislatore tecnico anche sulle identificazioni mediante Cie al fine di prevenire un uso non lecito da parte del minore. Sicuramente quello che può fare già da subito l’ente in qualità di fornitore di servizi “Sp”, è di controllare che l’accesso al servizio non dedicato al minore, preveda il controllo dell’età dell’utente.
Tale procedura ha una finalità rivolta anche al valore giuridico probatorio delle istanze presentate per via telematica. È utile ricordare che secondo l’art 65 del Cad (Codice dell’Amministrazione digitale) le istanze presentate previa identificazione mediante Spid, sono valide se presentate a titolo personale dell’istante che si è identificato mediante Spid o Cie, in quanto l’identificazione mediante Spid sostituisce la firma del documento. Occorre dunque al fine della validità dell’istanza, che l’ente oltre a verificare che l’autore/sottoscrittore dell’istanza è “Mario Rossi”, che si è autenticato con la sua identità digitale, accerti, in caso di identificazione mediante Cie, anche la maggiore età di “Mario Rossi” e quindi la capacità di porre in essere negozi giuridici.
Sempre nella consapevolezza di una società sempre più onlife, il legislatore ha previsto la realizzazione del Sgd (Sistema di gestione deleghe) introducendo l’art 64-ter nel Cad per opera del Dl. n. 71/21, la cui messa a disposizione, interamente finanziata dai fondi “Pnrr”, è prevista già da questo dicembre 2022, previa emanazione di uno specifico Dpcm. che ne detterà le regole tecniche. Il Sgd permetterà ai cittadini con digital divide di delegare un altro soggetto (ad es. il genitore anziano che delega il figlio) ad accedere ai servizi a lui rivolti. Strumento quindi che permetterà di ampliare i potenziali fruitori dei servizi on line.
Dunque, Spid, Cie e Sistema di Gestione deleghe saranno il lasciapassare per accedere al nuovo ambiente con cui interagiamo: l’Infosfera usando un termine sempre di Luciano Floridi, la nuova dimensione in cui siamo sempre più presenti (onlife). Agli Enti il compito di erogare servizi on line usabili, accessibili e integrati, al legislatore e a noi il compito di gestire in modo etico e consapevole le tecnologie dell’informazione e comunicazione.