La Litizzetto e lo SPID

Uriel Fanelli

6 min read
La Litizzetto e lo SPID

Ho visto un simpatico video sulle difficoltà della Litizzetto nel rifare lo SPID, e la cosa divertente è che sarebbe bastato davvero poco — tipo assumere un System Architect, o come si dice nei PowerPoint più costosi, un Solution Designer — per farlo funzionare in modo infinitamente più semplice.

Il nostro eroe, davanti alla lavagna, si sarebbe chiesto due cose fondamentali:
1. Quali feature vogliamo implementare?
2. Chi le ha già, così evitiamo di reinventare la ruota?

A una breve analisi, le funzionalità richieste a un sistema di identità digitale non sono molte.

🔹 KYC – Know Your Customer

Dobbiamo essere certi, per evitare identità fasulle, di sapere chi sta chiedendo l’identità digitale.
Serve quindi un sistema che conosca già i suoi utenti in modo certo e documentato.

🔹 Privacy

Il sistema deve permettere di usare l’ID anche online, senza riversare in rete dati personali sensibili.

🔹 Sicurezza

Deve essere robusto, collaudato, interoperabile e conforme agli standard di sicurezza internazionali:
SSL/TLS, HTTPS, PCI-DSS, PSD2 SCA, 3-D Secure, ISO 27001, ISO 27017, ISO 27018, OWASP ASVS, eIDAS.

Ora chiediamoci: chi, nel mondo reale, possiede già tutte queste caratteristiche?
La risposta arriva da sola, in tre righe:

  1. KYC: banche, istituti di pagamento, emittenti di moneta elettronica, società di investimento, broker, compagnie assicurative, società di gestione del risparmio, money transfer, cambiavalute, intermediari immobiliari, notai, avvocati, commercialisti, revisori, consulenti finanziari, casinò, operatori di scommesse online, gioiellieri, concessionari di beni di lusso, gallerie d’arte, case d’asta, operatori di metalli e pietre preziose, exchange di criptovalute, wallet provider custodial, società di factoring, società di leasing, operatori di microcredito, poste e servizi di pagamento statali.
  2. Privacy: banche, istituti di pagamento, emittenti di moneta elettronica, società di investimento, broker, compagnie assicurative, società di gestione del risparmio, money transfer, cambiavalute, poste e servizi di pagamento statali.
  3. Sicurezza: banche, istituti di pagamento, emittenti di moneta elettronica, piattaforme fintech, servizi di home banking, circuiti di pagamento online, gestori SPID, provider eIDAS, servizi di identità digitale nazionali (SPID in Italia, BankID in Svezia, eID in Germania, Itsme in Belgio), società di investimento con accesso remoto, piattaforme di trading online, assicurazioni digitali, operatori di servizi pubblici con autenticazione forte e marketplace finanziari regolati.

E noteremo subito, cara Litizzetto, che in tutte e tre le categorie compaiono sempre loro:
banche e istituti di pagamento — in pratica, le carte di credito.

Come mai sono onnipresenti?
È semplice.

Quello che chiamiamo eID, cioè un certificato di identità digitale, non è altro che una carta di credito che può autenticarsi e validarsi, ma non spostare denaro.

Un bancomat senza soldi, ma con la stessa struttura di sicurezza.


La differenza?

L’assenza del Payment Processor — quella parte del circuito che si occupa solo di muovere i soldi.

Il Payment Processor, cara Luciana, fa tre cose, che ti scrivo ma puoi pure dimenticare subito dopo, perché in un eID non servono a nulla:

  1. Autorizzazione della transazione
    Riceve la richiesta dal terminale, la inoltra alla banca emittente e ottiene il famoso “approved” o “declined”.
    In un’identità digitale, non c’è denaro da autorizzare.
    Non serve.
  2. Clearing
    Riconcilia le operazioni tra banche e circuiti, calcolando chi deve quanto a chi.
    Anche qui, irrilevante: un eID non fa contabilità, non scambia fondi.
  3. Settlement
    Esegue materialmente i movimenti di denaro.
    Nel nostro caso, inutile: nessuno paga nessuno per dimostrare di essere sé stesso.

Ed ecco il punto:


un sistema di identità digitale basato sul modello bancario avrebbe potuto funzionare perfettamente, con infrastrutture già esistenti, certificate e interoperabili in tutta Europa.

Niente portali grotteschi, niente password da cambiare ogni tre mesi, niente “foto del documento con la webcam che non mette a fuoco”.

  • Le banche fanno KYC per legge,
  • sono obbligate alla privacy by design,
  • certificano la sicurezza sotto revisione ISO e PCI,
  • possiedono già le chiavi pubbliche e private necessarie per firmare digitalmente qualsiasi transazione, anche di identità.

Bastava un decreto, non un intero sistema rifatto da zero:

“Le banche possono emettere un’identità digitale basata su carta di pagamento senza funzioni finanziarie.”

Fine.
Nessun nuovo portale, nessuna CIE da attivare con procedure da carbonari, nessun codice OTP da SMS.

Nel caso di pagamenti la smartcard non fa altro che firmare un "claim", usando il proprio modulo crittografico. In quel modo, i soldi vengono "immobilizzati", in modo da evitare truffe mediante pagamenti concorrenti. Ma se una carta di credito NON avesse un Payment Processor, l'unico claim possibile sarebbe di questo tipo:

Se pero' escludiamo che si possano fare pagamenti (e' una carta di identita' elettronica), la nostra carta dovrebbe fare claim di questo tipo.

Per esempio, per vogliamo identificare l'eta':

  {
  "iss": "bank:XYZ",
  "sub": "card:5f7a8b...",
  "aud": "rp:example.com",
  "iat": 1710441600,
  "exp": 1710445200,
  "claims": {
    "dob_before": "2007-01-01"   // formato YYYY-MM-DD -> "is born before this date?"
  }
}

LA richiesta ovviamente e' firmata, usando il modulo crittografico della smartcard (che e' in tutte le smartcard, dalla tua carta di credito alle SIM telefoniche), e via.

Se vogliamo invece verificare la tua identita', allora dovremmo mandare un claim di questo tipo:

{
  "iss": "bank:XYZ",
  "sub": "card:5f7a8b...",
  "aud": "rp:example.com",
  "iat": 1710441600,
  "exp": 1710445200,
  "claims": {
    "personal_data_hash": "sha256$v1$3b7f9a... (hex)"
  },
  "meta": {
    "hash_algo": "SHA-256",
    "hash_version": "v1",
    "hash_input_format": "FN|LN|YYYY-MM-DD|salt_id:bankXYZ-2025-09"
  }
}

O se vogliamo verificare solo il nome e il cognome, il nostro claim somiglierebbe a questo:

{
  "iss": "bank:XYZ",
  "sub": "card:5f7a8b...",
  "aud": "rp:example.com",
  "iat": 1710441600,
  "exp": 1710445200,
  "claims": {
    "name_hash": "hmac-sha256$keyid1$9f2a4c... (hex)"
  },
  "meta": {
    "hash_algo": "HMAC-SHA256",
    "key_id": "keyid1",
    "normalization": "UPPER|TRIM|NO-DIACRITICS",
    "input": "FIRSTNAME LASTNAME"
  }
}

A quel punto, siccome la carta si e' autenticata, in un modo o nell'altro , e la banca PER LEGGE pratica la policy KYC, cioe' sa chi sei, il sistema e' sicuro quanto ogni carta di credito. Cioe' molto.

Cosa si poteva fare, quindi, per risparmiare al cittadino un po’ di sofferenza digitale?

Semplice: bastava un regolamento tecnico che autorizzasse banche e circuiti di pagamento a emettere identità digitali basate sulla stessa infrastruttura delle carte di credito, ma senza alcuna capacità di muovere denaro.
In pratica, una carta di credito senza conto: autenticabile, ma non spendibile.

Le carte, infatti, si autenticano da sole anche nel mondo online.
Non serve un terminale EMV fisico: la verifica avviene tramite i sistemi di autenticazione delle banche già attivi per PSD2 — Strong Customer Authentication, 3-D Secure, OTP, challenge-response, certificati hardware o app mobile.
Ogni autenticazione passa per le chiavi e i certificati del circuito (Visa, Mastercard, Amex, ecc.) e viene confermata dal server dell’emittente, che genera un token crittografico (ARQC/ARPC o equivalenti) per validare che la carta sia autentica e appartenente a un utente reale.

Non c’è alcun bisogno del payment processor: quel componente serve solo per autorizzare e contabilizzare transazioni economiche.
Qui, invece, vogliamo solo autenticare l’identità.
L’autenticazione, cioè la verifica che il certificato appartenga davvero a un individuo reale già identificato da una banca, può avvenire interamente a livello di rete, con protocolli di firma e verifica già esistenti.

In sostanza:

Se togliamo il payment processor ma lasciamo intatti i meccanismi di autenticazione e firma digitale, abbiamo già creato una carta d’identità digitale, robusta quanto una carta di credito, ma priva di rischio finanziario.

Il bello è che le banche restano nel loop.

Quindi il KYC è già assicurato: ti conoscono, ti hanno identificato, hanno verificato i documenti.
In pratica, hai già fatto tutto ciò che SPID ti fa rifare da capo, ma meglio e con standard di sicurezza bancari.

In soldoni, cara Luciana, la tua banca sa già chi sei.
Hai già consegnato i documenti che servono per lo SPID, solo che l’hai fatto a uno sportello fisico, non a una webcam con l’algoritmo ubriaco.
Che la carta serva per pagare o per identificarsi, cambia poco: la sicurezza è la stessa, solo l’uso è diverso.

Non serviva reinventare la ruota, né creare nuove aziende pubbliche con nuovi portali e nuove password.


Sarebbe bastato:

  1. Emettere un regolamento tecnico che permettesse a banche e circuiti di emettere identità digitali basate sui propri sistemi di autenticazione, ma senza alcun legame con conti o denaro.
  2. (Per i contenuti adulti): aggiungere una norma che limiti l’emissione ai maggiorenni, oppure che includa un claim sull’età del titolare (“over 18” sì/no).
  3. Dire ai cittadini: “Andate dalla vostra banca, che ha già i vostri dati, e fatevi rilasciare la vostra eID card digitale.”

Avremmo avuto:

  • circuiti e tecnologie già collaudate da decenni,
  • infrastrutture già certificate e operative in tutto il mondo,
  • nessuna nuova burocrazia digitale,
  • e nessuna necessità di rifare per la terza volta quello che hai già fatto aprendo un conto corrente.

Come?

Semplice: assumendo System Architect — o, se preferisci, Solution Designer — cioè persone pagate per pensare.
Gente capace di partorire un sistema in grado di garantire l’identità digitale dei cittadini (KYC, appunto) basandosi su ciò che già esiste: infrastrutture collaudate, supply chain consolidate, procedure testate e certificate da decenni.

In caso di smarrimento o furto della tua identità digitale, non avresti dovuto pregare un call center con un chatbot idiota.

Avresti semplicemente chiamato la tua banca, come fai quando perdi la carta di credito.

E questo è ciò che intendo quando parlo di procedure esistenti, affidabili e verificate: non c’era nulla da reinventare, solo da collegare meglio.

Invece, quello che abbiamo oggi è una simulazione di digitalizzazione: una burocrazia travestita da software.

Un sistema che ti dice “ci sono 27 persone prima di te” non è digitale: è un burocrate replicato dentro un server, solo dieci volte più lento e ottuso del suo equivalente umano.

L’unica cosa che hanno digitalizzato davvero è stata la frustrazione.

E allora viene spontanea la domanda:

perché non hanno assunto dei System Architect capaci di progettare una soluzione semplice, solida e già collaudata?

Non lo so. Del resto, essendo io un System Architect, sto parlando in un gigantesco conflitto di interessi. Tuttavia non dovevano per forza assumere ME, quindi il problema si pone poco. E allora perche'?

Boh.

Chiedilo a Stefano Quintarelli: è a lui che dovete questo cervellotico capolavoro di inefficienza, che io chiamo "il Sistema Operativo Vogon". Lo devi a lui.

Il genio visionario che ha regalato all’Italia la sua fiammeggiante burocrazia digitale travestita da innovazione.

E come avrai capito, i System Architect stanno un po' sul cazzo a tutti i burocrati digitali.