n.157 del 18.06.2025 periodico (Parte Seconda)

il Decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni, recante il "Codice dell'Amministrazione Digitale" (CAD), all'articolo 64 ha istituito il Sistema Pubblico di Identità Digitale (SPID), demandando a successivo decreto del Presidente del Consiglio dei Ministri la definizione delle caratteristiche, nonché dei tempi e delle modalità di adozione dello stesso da parte delle pubbliche amministrazioni e dei soggetti privati; tali disposizioni attuative sono state adottate con DPCM 24 ottobre 2014, pubblicato nella Gazzetta Ufficiale n. 285 del 9 dicembre 2014;

l'articolo 2 del regolamento recante le modalità attuative per la realizzazione del Sistema SPID, adottato ai sensi dell'articolo 4 del citato DPCM 24 ottobre 2014, stabilisce che il sistema si conforma al principio di necessità nel trattamento dei dati personali, ai sensi dell'articolo 3 del decreto legislativo 30 giugno 2003, n. 196, prevedendo che i sistemi informativi e i programmi informatici siano progettati e configurati in modo da ridurre al minimo l'utilizzo di dati personali e identificativi;

i trattamenti di dati personali effettuati nell'ambito dell'attuazione del regolamento SPID devono essere limitati alle finalità individuate dall'articolo 64 del CAD e dall'articolo 2, comma 2, del DPCM 24 ottobre 2014, ed eseguiti secondo le modalità ivi previste, nel rispetto delle garanzie e misure di sicurezza stabilite dal decreto legislativo n. 196 del 2003.

il Sistema Pubblico di Identità Digitale (SPID) costituisce uno strumento primario per l'autenticazione informatica dei cittadini e l'accesso in modalità sicura e univoca ai servizi digitali erogati dalla pubblica amministrazione, nonché da soggetti privati aderenti al sistema;

l'accesso ai servizi digitali della pubblica amministrazione è attualmente garantito attraverso l'utilizzo di credenziali federate, costituite da SPID, Carta d'Identità Elettronica (CIE) e Carta Nazionale dei Servizi (CNS), che sostituiscono le credenziali proprietarie precedentemente rilasciate dalle singole amministrazioni;

il processo di transizione verso l'adozione esclusiva di SPID, CIE e CNS quale modalità di identificazione digitale è stato avviato in attuazione della Legge 11 settembre 2020, n. 120, di conversione del Decreto-legge 16 luglio 2020, n. 76, recante misure urgenti per la semplificazione e l'innovazione digitale, finalizzato alla realizzazione di un sistema di identità digitale unico, interoperabile e conforme ai requisiti europei;

è volontà del Governo, per il tramite del Sottosegretario alla Presidenza del Consiglio con delega all'Innovazione, Sen. Alessio Butti, procedere alla progressiva dismissione del sistema SPID quale strumento nazionale di identità digitale, in favore dell'adozione dell'EU Wallet/lT Wallet (ApplO in Italia) quale unico sistema di riconoscimento digitale, facendo convergere al suo interno tutte le identità attualmente gestite dagli ldentity Provider.

negli ultimi anni si è registrato un incremento delle truffe legate all'utilizzo improprio delle credenziali e delle identità digitali, con particolare riferimento alle fasce più vulnerabili della popolazione, tra cui gli anziani;

di recente ha ricevuto rinnovata attenzione mediatica la cosiddetta "truffa del doppio SPID", una forma di frode già nota e documentata, che si è ripresentata con modalità sostanzialmente analoghe a quelle già rilevate in precedenti episodi, ma che registra un incremento di casi segnalati nelle ultime settimane;

secondo il Commissariato di Polizia Postale - Sportello per la sicurezza degli utenti del web - i domini INPS falsi trovati da CERT-AGID - Agenzia per l'Italia Digitale - nel mese di marzo 2025 sono stati quantificati in almeno 33 e sono stati utilizzati per carpire documenti d'identità utili alla duplicazione delle identità;

gli ldentity Provider IDP (ossia i Gestori di Identità Digitale) di SPID sono accreditati presso l'Agenzia per l'Italia Digitale (AglD) e ognuno può emettere identità digitali per il singolo utente che quindi può disporre di più SPID;

non esiste un registro unico che raccolga tutte le identità SPID;

i sistemi che permettono la verifica dell'identità digitale per l'accesso ai servizi pubblici on line in Italia, coerentemente con le specifiche europee "ID elDAS" (Electronic IDentification, Authentication and Trust Services), sono lo SPID (Sistema Pubblico di Identità Digitale) e la CIE (Carta d'Identità Elettronica), che si aggiungono alla CNS (Carta Nazionale dei Servizi);

nel caso dello SPID, un utente caduto in raggiro e truffa, potrebbe trovarsi con più identità attive su IDP differenti, uno di questi nella disponibilità dei raggiratori e truffatori. Ad oggi non esistono sistemi che permettano all'utente di verificare quali e quanti IDP gestiscano la sua identità digitale.

l'Agenda Digitale dell'Emilia-Romagna per il mandato 2025-2030, attualmente in fase di elaborazione, mira a consolidare e ampliare i successi ottenuti nel periodo precedente, promuovendo ulteriormente l'innovazione digitale e tecnologica nella regione attraverso il potenziamento delle infrastrutture digitali, la diffusione delle competenze digitali tra cittadini e imprese, e il supporto alla trasformazione digitale della pubblica amministrazione, con l'obiettivo di creare un ecosistema digitale inclusivo e avanzato, capace di rispondere alle esigenze di tutti i territori, riducendo le disparità e favorendo uno sviluppo sostenibile e competitivo, grazie alla collaborazione tra enti locali, imprese e cittadini;

l'Agenda Digitale per il mandato 2020-2025 ha raggiunto importanti traguardi, dimostrando l'efficacia delle politiche e degli interventi attuati, tra cui spicca la recente premiazione delle Comunità Tematiche da parte dell'Osservatorio del Politecnico di Milano per l'innovazione e l'efficacia delle soluzioni digitali implementate, che hanno contribuito a migliorare la pubblica amministrazione e a ridurre le disparità territoriali;

Regione Emilia-Romagna, Lepida S.c.p.A. e il Centro Operativo per la Sicurezza Cibernetica - C.O.S.C. Emilia-Romagna della Polizia di Stato hanno firmato nel luglio 2023 uno specifico protocollo volto a rafforzare la sicurezza informatica della Regione Emilia-Romagna, Lepida e degli Enti locali, attraverso la condivisione di informazioni, il contrasto agli attacchi informatici e la formazione del personale prevedendo anche iniziative di sensibilizzazione rivolte ai giovani e campagne di comunicazione;

è stato presentato a dicembre 2024, in seguito al Protocollo menzionato sopra, il progetto "il virtuale è reale" che mira con alcuni video prodotti con l’aiuto dell'Associazione DER - Documentaristi dell'Emilia-Romagna a prevenire e contrastare i crimini informatici più comuni rivolti alla popolazione.

sia necessario promuovere e favorire tutte le azioni volte ad annullare o ridurre le condizioni che espongono i cittadini a rischi di frode e abusi;

la Regione Emilia-Romagna, anche attraverso la propria in-house Lepida ScpA, che è anche IDP SPID, possieda le competenze per farsi promotrice di iniziative volte a promuovere la sicurezza e la trasparenza del sistema.

Tutto ciò premesso e considerato,

sostenere eventuali iniziative nazionali finalizzate all'integrazione e alla razionalizzazione degli strumenti di identità digitale, in coerenza con le direttive europee e nell'ottica della progressiva implementazione di un accesso unico ai servizi digitali pubblici tramite Wallet (ApplO);

promuovere, nell'ambito della Conferenza delle Regioni e delle Province Autonome e in particolare presso la Commissione per l'Innovazione Tecnologica e la Digitalizzazione(ITD), uno specifico punto all'Ordine del Giorno perché venga discusso con le altre Regioni la possibile creazione di un registro unico nazionale delle identità digitali SPID, gestito dal Governo nazionale, che raccolga tutte le entità e i soggetti abilitati a fornire il servizio, al fine di garantire maggiore trasparenza, tracciabilità e controllo a tutela dell'utente con particolare attenzione agli aspetti afferenti alla privacy in riferimento al trattamento dei dati dei cittadini detenuti dai vari IDP;

farsi parte attiva nei confronti del Governo, per il tramite di AglD, affinché sia valutata la possibilità di sviluppare un sistema che consenta all'utente di conoscere in ogni momento quali ldentity Provider (IDP) gestiscano la propria identità digitale SPID, prevedendo anche una procedura semplificata per la segnalazione di abusi e per la sospensione volontaria dell'identità;

sollecitare il Governo, per il tramite dell'Agenzia per l'Italia Digitale (AglD), affinché venga richiesto agli IDP SPID di informare costantemente i propri utenti sui rischi legati a truffe e raggiri digitali, sottolineando la necessità di non condividere dati personali, immagini di documenti o video con soggetti non verificati, e promuovendo l'adozione di modalità di identificazione sicura, anche mediante verifica de visu presso sportelli fisici messi a disposizione dagli stessi IDP;

rafforzare e proseguire le iniziative previste con il Protocollo menzionato nelle premesse e in particolare il progetto "Il virtuale è reale", in particolare ponendo attenzione ai contesti caratterizzati da fragilità digitale - come anziani, persone con basso livello di alfabetizzazione informatica e soggetti in condizione di marginalità - tramite strumenti divulgativi accessibili, presidi territoriali e iniziative pubbliche mirate.

Approvata all’unanimità dei votanti nella seduta antimeridiana del 27 maggio 2025