Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La gestione della delega dell'identità digitale in Italia resta ancora incompleta, e questo espone milioni di anziani a rischi legali e di sicurezza. L’utilizzo informale delle credenziali di accesso tra i familiari è una pratica molto diffusa ma non regolata, mentre la digitalizzazione della PA accelera. Le nuove norme del Codice dell’Amministrazione Digitale, al momento non sono ancora operative e lasciano scoperti servizi cruciali, aumentando il pericolo delle truffe verso gli over 65.
Il “controllo filiale” digitale: il problema che l’Italia non ha ancora finito di nominare
In Italia l’attenzione al rapporto tra minori e digitale sta finalmente ricevendo l’attenzione che merita: dai limiti d’utilizzo di dispositivi e piattaforme fino all’accesso digitale con CieID per i minorenni.
Quando si parla di protezione dei cittadini fragili nel digitale, l’attenzione si concentra quasi esclusivamente sugli under 18 attraverso il controllo parentale, verifica dell’età, responsabilità delle piattaforme, connettività con filtri stringenti: argomenti legittimi, urgenti, politicamente visibili.
C’è però un problema inverso, strutturalmente altrettanto grave, che la distribuzione anagrafica del paese impone di affrontare: chi affianca persone fragili e anziani nella gestione dei servizi digitali con quale strumento legale può farlo?
Un requisito di sistema travestito da dato demografico
L’Italia è il paese più vecchio d’Europa, oltre 14 milioni di persone hanno più di 65 anni, la gran parte non nata né cresciuta con i servizi digitali. È un dato che deve tradursi in un requisito di progetto, prima ancora che in una scelta politica.
La roadmap della digitalizzazione pubblica italiana non lascia molto spazio all’attesa. Con la progressiva spinta verso CIE come riferimento principale, tenderà a diventare il meccanismo principale di accesso a tutti i portali della PA, un documento che per termini di servizio è strettamente personale e da custodire a onere del singolo titolare.
Per chi non è autonomo digitalmente, questo equivale all’esclusione, oppure a qualcosa di peggio, cioè un’attività in ombra che produce problemi pratici e giuridici insieme.
Il figlio che gestisce l’account INPS del padre, la nipote che accede al fascicolo sanitario della nonna, il caregiver che opera sul portale della regione usando le credenziali dell’assistito sono pratiche diffusissime, che tecnicamente violano i termini di servizio e in alcuni contesti la normativa sulla protezione dei dati personali, senza che nessun framework legale le abbia finora disciplinate in modo organico.
Dal 2021 l’istituto ha introdotto ufficialmente la delega dell’identità digitale: anziani, disabili e chiunque non sia in grado di utilizzare autonomamente i servizi online possono delegare una persona di fiducia, tra familiari, tutori, curatori o amministratori di sostegno, che accede con le proprie credenziali SPID o CIE operando per conto del delegante con tutte le attività tracciate. Per i soggetti più fragili è possibile autorizzare la delega anche tramite videochiamata.
La mossa di INPS non fu casuale, aveva l’esigenza concreta di legalizzare una pratica che prima era prevalentemente cartacea e che stava emergendo in modo caotico. Risolse il problema per il proprio perimetro, ma il risultato è rimasto isolato.
CieID non supporta un utilizzo multiutente, SPID non prevede nativamente un profilo delegato, AppIO consente di accedere con diversi account solo attraverso una nuova autenticazione completa (cambio di sessione, non delega), i portali sanitari regionali e il FSE non hanno strutture comparabili. La frammentazione è totale.
La svolta normativa esiste ed è recente. L’art. 64-ter del Codice dell’Amministrazione Digitale prevede una piattaforma di gestione delle deleghe centralizzata, gestita dall’Istituto Poligrafico e Zecca dello Stato, che supererà la frammentazione tra enti. Il 12 febbraio 2026 il Garante ha espresso parere favorevole sullo schema di DPCM attuativo: ora si attende la firma e la pubblicazione in Gazzetta. Ogni ente dovrà classificare i propri servizi in tre categorie (completamente delegabili, delegabili con limiti, non delegabili), le deleghe digitali potranno entrare in vigore dal 15 ottobre 2026 con procedura semplificata per anziani over 65 e persone con disabilità, inclusa la videochiamata. Il cittadino iscritto nell’ANPR potrà delegare fino a due soggetti.
Sul fronte europeo, eIDAS 2 va nella stessa direzione prevedendo la delega del portafoglio digitale a terzi per transazioni specifiche. La norma cita però esplicitamente i genitori che agiscono per i figli minori: i figli maggiorenni che agiscono per i genitori adulti restano un caso implicito, lasciato all’implementazione nazionale.
Lo scenario che si sta delineando però presenta alcune lacune da attenzionare.
La prima è strutturale: la piattaforma CAD opera a livello di portale PA, non di autenticatore. CieID rimane monosoggetto, il delegato opera con le proprie credenziali in una sessione separata, e questo non risolve il caso in cui l’anziano non abbia mai avuto o non riesca a mantenere una propria identità digitale. Un’implementazione multicittadino nativa in CieID tramite ANPR risolverebbe il problema a cascata, a condizione di farlo con adeguati presidi antiabuso e antitruffa.
La seconda riguarda i tempi: il DPCM non è ancora firmato, la catena di adempimenti per la classificazione dei servizi è quella che storicamente in Italia produce ritardi, e il rischio è che la norma esista ma i portali non siano pronti.
La terza lacuna, la più significativa, riguarda le telecomunicazioni: la mancanza di servizi di connettività e comunicazione tradizionale pensati ad-hoc.
Le truffe telefoniche e digitali agli anziani sono tra le categorie di crimine informatico in più rapida crescita in Italia. Vishing, phishing, frodi mirate colpiscono questa fascia di popolazione in modo sproporzionato, sfruttando emotività, isolamento e scarsa familiarità con le dinamiche dell’inganno digitale.
Il Codice delle Comunicazioni Elettroniche prevede tutele generali per le utenze vulnerabili, ma non struttura nulla di paragonabile a un perimetro sicuro di comunicazione: nessun obbligo per gli operatori di offrire filtro sulle chiamate in entrata distinguendo numerazioni validate e non, notifica a una persona di fiducia per ogni chiamata fuori lista, filtraggio del traffico dati verso siti ad alto rischio frode.
Non è l’analogo del controllo parentale, non si blocca l’uscita, non si comprime l’autonomia del titolare, non si impone nulla di non concordato. Si può presentare come funzione di allerta e notifica attivata volontariamente con un soggetto di fiducia.
Dal punto di vista degli operatori c’è anche un’opportunità di mercato. L’utenza over 65 ha esigenze di banda e consumi più contenuti, ma è un segmento che può generare margini interessanti attraverso la convergenza fisso-mobile e servizi a valore aggiunto. Un bundle “utenza protetta” è tecnicamente realizzabile oggi con gli strumenti esistenti. Il mercato non si è mosso perché manca la spinta normativa che definisca lo “standard” commerciale di riferimento.
Non serve una legge nuova da zero, ma serve rispettare la roadmap già in corso, completarla senza i ritardi abituali ed estenderla ai segmenti dove il vuoto è ancora integro.
L’identità digitale e la sua delega devono trovare una definizione legale, giusta e pratica ben precisa per l’eventuale gestione multicittadino nativa in CieID con la piattaforma delle deleghe come layer di autorizzazione e tracciabilità, e le app che supportano il profilo multiutente senza richiedere una nuova autenticazione a ogni cambio di sessione. FSE e portali sanitari regionali meritano attenzione prioritaria, sono quelli dove la pratica informale è più diffusa.
I servizi di connettività dovrebbero avere l’opportunità di un atto regolatorio che definisca uno standard minimo per il servizio di protezione attiva per utenza fragile, filtro chiamate con notifica a persona di fiducia, integrazione con sistemi sulle numerazioni fraudolente, senza appesantire il tutto con app di terze parti.
La digitalizzazione della PA è un obiettivo giusto, ma la roadmap potrebbe non considerare a pieno chi non riesce a stare al passo.
