Il 27 settembre 2019 il parlamento svizzero aveva votato a larga maggioranza l’introduzione di un ID-e, l’identità elettronica un documento digitale che nelle intenzioni della legge doveva servire come metodo di riconoscimento e autenticazione per gli individui sia nel mondo digitale, sia nel mondo reale, affiancando nei fatti carta d’identità e passaporto. La legge sottoposta a referendum è stata bocciata nel 2021 soprattutto per i dubbi relativi alla privacy dei cittadini.
Subito dopo la bocciatura venne incaricato il Consiglio Federale di riesaminare la proposta ponendo attenzione in particolare a due elementi:
- la privacy degli utenti
- l’esclusione dei privati dai processi di rilascio e gestione della ID-e
Nelle scorse settimane il Consiglio Federale ha licenziato un nuovo messaggio e una nuova proposta di ID-e ed è quindi il momento giusto per affrontare il tema.
Il documento svizzero si rifà in larga parte ai documenti emanati dalla UE e ne eredita le stesse ambizioni/obbiettivi.
- La prima ambizione, lo scopo minimo da raggiungere è quello di essere una forma sicura di login digitale utilizzata “con un login” o “per un login”, per confermare l’identità dell’utente e la sua età.
- La seconda ambizione porta ad intendere l’ID-e come un sistema per ottenere documenti di carattere statale come ad esempio il casellario giudiziale o la patente digitale.
- Le terza e ultima ambizione si pone l’obbiettivo di rendere l’ID-e uno strumento per accedere a un proprio portafoglio digitale (wallet statale) altamente protetto e in grado di contenere ogni tipologia di documento, dalla ricetta medica al titolo di trasporto aprendo quindi anche ai privati la possibilità di sfruttare l’ID-e per autenticare i processi di emissione e verifica di tali documenti.
Attraverso questo sistema, in linea teorica, si risolverebbero tutti quei casi nel quale all’utente/acquirente viene chiesto l’invio di una copia del documento di identità per comprovare ad esempio di avere l’età corretta per accedere a certi beni/servizi, come nel caso dell’apertura di un conto online.
Ovviamente l’ID-e sarebbe usata anche per la firma digitale di un documento rendendolo nei fatti equiparabile ad un documento cartaceo con firma autenticata, questo aspetto permetterebbe, ad esempio, di poter gestire processi spesso lunghi giorni, in un rapido scambio di email.
Queste le idee alla base dell’adozione di un sistema di Identità Elettronica illustrate nel documento di discussione emanato dalla Confederazione ad agosto 2021, documento che tuttavia racconta poco del come verrà gestita l’infrastruttura e la stessa ID-e.
Per approfondire questi aspetti più tecnici non ci si può riferire nemmeno al recente disegno di legge presentato dal Consiglio Federale il 22 novembre 2023 che definisce a grandi linee l’adozione di un sistema SSI, Self Sovereign Identity (qui la pagina dedicata su wikipedia), nel quale sono coinvolti tre figure l’Holder, ossia l’utente, l’Issuer, l’ente che rilascia l’ID-e all’utente e il Verifier, controllore che comunicando con l’Issuer verifica che l’identità elettronica presentata sia valida. Il rapporto tra emittente(Issuer) e verificatore (Verifier) si avvale di un registro condiviso che permette alle parti di riconoscersi come attori autorizzati.
Ora la legge non solo è troppo generica, non permettendo di addentrarsi in descrizioni tecniche riguardanti le soluzioni tecnologiche adottate, ma addirittura è confusionaria. All’articolo 4 si dice che “chi desidera emettere un mezzo di autenticazione elettronico può farlo mediante l’infrastruttura di fiducia“, ma all’articolo 12 si specifica che ad emettere l’ID-e (mezzo di autenticazione elettronico) è la FedPol; l’Issuer (emittente) è il privato o la FedPol? Inoltre stiamo parlando di mezzi di autenticazione elettronici privati gestiti da privati per i propri scopi o esclusivamente di un unico ID-e statale?
La confusione è totale.
Partiamo dall’assunto che i privati possano emettere un mezzo di autenticazione elettronico, certo l’Ufficio Federale dell’Informatica e della Telecomunicazione (UFIT) sarà responsabile di manutenere un registro di base accessibile al pubblico che permetta verifiche dell’autenticità delle componenti coinvolte e un registro di fiducia che svolge il ruolo di convalida dell’autenticità dell’identità emessa da un Issuer o verificata da un Verifier, ma risulta evidente come la proposta di legge sia confusionaria.
All’articolo 16 cita espressamente il riconoscimento necessario del cittadino da farsi in linea con la FedPol oppure di persona presso gli uffici cantonali, ma se l’emittente può essere un privato come è possibile che emetta un documento senza poter verificare l’identità del titolare di quel documento?
Ancora una volta non è ben chiaro se la legge voglia regolamentare un ID-e unico e statale oppure, in maniera molto vaga, ogni mezzo di autenticazione digitale. La differenza non è banale perché un unico sistema di autenticazione risponde all’esigenza di semplificare la vita ai cittadini, più sistemi costringerebbero i cittadini ad avere più identità digitali, né piu e né meno quel che accade oggi con i cittadini costretti ad avere un’identità per la banca, una per l’assicurazione malattia, una per l’assicurazione auto e cosi via.
Tralasciando le incongruenze evidenti della legge includere i privati nel ruolo di ISSUER quindi autorizzati ad emettere una ID-e(forse?), per come è formulata la legge pone dei seri problemi e evidenza incongruenze nella stessa formulazione della legge. Per prima cosa, come detto sopra, l’unicità dell’ID-e non è espressamente citata e quindi non è escluso che un utente possa avere ID-e diverse (art 15); in secondo luogo i privati dovrebbero usare per l’emissione dell’ID-e le proprie infrastrutture per richiedere alla FedPol l’emissione o emettere il mezzo di autenticazione proprio e questo è un problema non indifferente in termini di sicurezza; una struttura pubblica unica e dedicata permette di avere un controllo su tutto il ciclo di emissione e gestione del “documento digitale”, di sapere su quale infrastruttura fisica o in cloud i nostri dati verranno trattati e conservati, mentre lasciare ai privati questa possibilità toglie al controllo dello stato un elemento essenziale per tutelare la privacy dei cittadini .
A conti fatti quello proposto è un disegno di legge che ignora in toto le preoccupazioni concernenti la privacy dei cittadini e risulta in contrasto con le premesse alla base dell’ID-e. Una proposta dal respiro cortissimo che derubrica uno strumento fondamentale ad un semplice sistema di autenticazione senza prospettiva e lascia nel vago tutti gli aspetti informatici essenziali limitandosi a indicazioni generiche, prive di sostanza e tanto confusionarie da chiedersi se i consiglieri federali leggano ciò che propongono.
Insomma una proposta pasticciata, l’ennesima occasione persa.
