caro @djechelon,
siamo pienamente coscienti di questa problematica.
La soluzione della condivisione delle credenziali della propria identità SPID è vietata dalle regole che si accettano al momento del rilascio, perché mette a rischio i cittadini di vedere compiute azioni a loro nome senza una traccia puntuale di chi ha effettuato una operazione.
Il tema che sollevi si risolve con il meccanismo delle deleghe. Una delega ben realizzata, oltre a dover essere specifica per un servizio, dovrebbe essere tracciata ogni volta che viene utilizzata, permettendo di ricostruire a posteriori esattamente chi ha fatto cosa per conto di chi.
Per poter offrire una delega puntuale, il sistema delle deleghe deve essere implementato dai vari Service Provider, perché sono gli unici che hanno piena comprensione dello scenario in cui andranno ad agire le identità elettroniche e dispongono della granularità sufficiente.
Ad esempio, io potrei voler delegare il mio commercialista alla compilazione del mio 730 online sul sito dell’Agenzia delle Entrate ma non all’accesso alla totalità delle operazioni possibili su quel sito. Oppure, la moglie potrebbe delegare il marito alla lettura dei dati necessari per compilare l’ISEE ma non alla lettura del fascicolo sanitario.
Alla fine, ogni Service Provider che prevede la delega di un servizio consentirà di registrare, all’interno dei propri sistemi, che una persona può fare qualcosa al posto di un’altra, tenendo poi traccia di ogni singola operazione che effettuerà.
Un esempio positivo è rappresentato dal Fascicolo Sanitario Elettronico della Regione Emilia Romagna dove i genitori hanno accesso ai dati sanitari dei figli minorenni e, se sono anziani e hanno i figli già grandi, possono delegare i figli ad operare sul loro fascicolo.
Un servizio centralizzato potrebbe essere comodo per elencare tutte le deleghe impostate da una identità presso i vari Service Provider e semplificarne la gestione, ma l’implementazione non sarebbe banale
È possibile che per poter digitalizzare alcuni tipi di delega sia necessario un lavoro di codifica e standardizzazione e la costruzione di banche dati oggi non esistenti, pensa ad esempio ai provvedimenti della magistratura per la tutela di persone disabili, che oggi sono testi non pensati per poter essere interpretati dal software (c’è spesso bisogno di un giurista umano per capirli) e che al momento non sono raccolti in una base dati nazionale.
In alcuni di questi casi ci vorrà molto tempo prima che la gestione possa essere completamente automatizzata.
L’ecosistema SPID è ancora al suo inizio e sono tante le cose che si potranno fare per renderlo ancora più funzionale e semplice per i cittadini.