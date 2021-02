Un'infografica mostra il processo di richiesta di una eID sul sito web di e-ID Svizzera, un comitato a sostegno della Legge sull'eID osteggiata da un referendum. La votazione popolare è prevista per il 7 marzo 2021. © Keystone / Christian Beutler

L’identità digitale (eID) è considerata la chiave d’accesso al mondo digitalizzato e a tutti i servizi online erogati dall’amministrazione pubblica e da una serie di attori privati. Il modello proposto dalla Svizzera, però, è lontano dalla perfezione.

Sul web, ognuno di noi possiede tante “identità”, o meglio login, che usiamo per accedere a siti di e-commerce, servizi di posta elettronica o social media, giusto per fare alcuni esempi. Ma nessuna legge protegge o verifica queste credenziali. I sostenitori della tecnologia eID sostengono che un’identità digitale controllata e inquadrata a livello normativo porterebbe un po’ di ordine e maggiore sicurezza nella babele del web.

“L’identità digitale elettronica è fondamentale per tutte le questioni pratiche e per le interazioni tra la popolazione e i governi”, dice Jean-Henry Morin, professore di sistemi di informazione all’Università di Ginevra. Il pagamento delle tasse online o l'e-health, per esempio, potrebbero essere accessibili tramite un’eID.

Morin non è l’unico a credere nella necessità di un’eID. Tanti altri esperti di digitalizzazione in Svizzera e in Europa considerano la sua implementazione una priorità e ritengono che un’eID supporterebbe moltissimo la digitalizzazione della pubblica amministrazione.

L’Unione Europea è all’avanguardia in questo campo. Nel 2014 ha adottato il Regolamento per l'identificazione elettronica eIDASLink esterno, con l’obiettivo di rafforzare la fiducia degli utenti, la sicurezza e il coordinamento tra i servizi online. Attualmente, quasi tutti i Paesi europei, con poche eccezioni, offrono soluzioni di identità digitale.

In Svizzera, invece, manca ancora un’eID certificata e controllata dallo Stato. I tentativi di SwissSign Group, che lanciò nel 2010 SuisseID, finirono in un flop. Tuttavia, il gruppo, un'impresa pubblico-privata che comprende aziende come la Posta, le Ferrovie federali e le maggiori banche e assicurazioni del Paese, ha ancora l’obiettivo di poter arrivare a fornire un’eID ufficialmente certificata per la Svizzera. La nuova Legge federale sui servizi d'identificazione elettronica del 2018Link esterno, su cui gli svizzeri si esprimeranno in un referendum il 7 marzo, dà di fatto in mano ad aziende private il compito di emettere identità elettroniche e di agire da cosiddetti identity provider (IdP, fornitori di identità). Un comitato di gruppi facenti parte della società civileLink esterno ha contestato questa gestione privata ed è contrario a un’eID che non sia emessa dallo Stato. Se la legge dovesse essere approvata, imprese come SwissSign avrebbero l’occasione d’oro che attendevano – un mandato ufficiale da parte dell'autorità federale per gestire l'intero sistema di eID del Paese e le informazioni personali degli utenti, mentre lo Stato agisce da semplice fornitore di dati.

Ogni lasciata è persa?

C’è chi pensa che la Svizzera perderebbe un’opportunità se respingesse questa legge, che costituisce un primo passo verso una regolamentazione dei servizi digitali.

Matthias Stürmer, responsabile del Centro di ricerca per la sostenibilità digitale e docente presso l’Università di Berna, fa notare che anche Google e Facebook aspirano ad agire da identity provider informali, e in parte lo fanno già, fornendo un login che poi noi usiamo per accedere a molti altri siti web.

“Ma senza regole, potranno fare quello che vorranno con le nostre identità, usando i metadati per pubblicità e altri servizi commerciali”, sostiene Stürmer. L’esperto ritiene essenziale che l’industria accetti e supporti un progetto di eID, perché il suo valore aggiunto per l’utente finale passa attraverso i servizi che l’economia deciderà di fornire.

Anche Gian-Reto Grond, responsabile della sezione salute digitale presso l’Ufficio federale della sanità pubblica (UFSP) crede che la nuova legge apporti dei miglioramenti significativi. Nell’ambito della sanità elettronica, permetterebbe l’accesso alla cartella informatizzata del paziente attraverso un’eID controllata e approvata dal governo.

“Nel caso dei dati medici, il livello di sicurezza richiesto è molto elevato. Per questo è fondamentale avere un’eID verificata e protetta dalla legge”, sostiene Grond, che pensa che questa legge possa aprire a un nuovo ecosistema di funzionalità mediche oltre la cartella clinica elettronica, come le applicazioni mobili. (La Svizzera è in ritardo rispetto a molti altri Paesi in materia di dati sanitari digitalizzati, come abbiamo già riportato).

Il ricercatore Kevin Andermatt della Università di Scienze Applicate di Zurigo ZHAW, che ha partecipato alla valutazione del sistema di eID implementato nel Cantone svizzero di Sciaffusa, fa notare che quasi nessun governo ha le capacità informatiche e le risorse per sviluppare un’eID di qualità autonomamente entro tempi appropriati. Ecco perché di solito i governi sviluppano la tecnologia insieme a società private o comprano il prodotto finale attraverso un appalto pubblico.

Secondo il ricercatore, la collaborazione tra pubblico e privato è generalmente molto promettente. "Le aziende private hanno il know-how specifico, la tecnologia all'avanguardia necessaria e sono più vicine al mercato e ai clienti", sostiene. Tuttavia, Andermatt crede che, in un caso così legato alla fiducia degli utenti, è probabile che la Svizzera si sarebbe risparmiata un referendum se il governo avesse offerto anche una soluzione di eID completamente statale.

"Ora, se la legge viene respinta alle urne, dovremo aspettare molti anni prima di avere un'altra soluzione", dice.

eID a tutti i costi?

Nonostante lo scarto che separa la Svizzera dagli altri Paesi europei in materia di identificazione elettronica, Jean-Henry Morin dell’Università di Ginevra è convinto che non si debba recuperare il tempo perduto sviluppando a tutti i costi una soluzione frettolosa. Morin è tra gli strenui oppositori della legge sull’eID emanata dal parlamento svizzero e spera che il referendum la faccia naufragare.

“L’eID dovrebbe restare in mani pubbliche e non essere gestita da un oscuro consorzio di aziende private come banche e assicurazioni, che ridurrebbero l’identità a una questione di business”, dice. “Meglio aspettare e impegnarsi in qualcosa di responsabile e sostenibile che possa conquistare la fiducia delle persone.”

Secondo Morin, non è troppo tardi per recuperare e prendere spunto dagli esempi di spicco europei, come l’Estonia, che ha realizzato un’eID totalmente pubblica, considerata all’avanguardia e sicura. La legge svizzera sull'eID, dice il professore, è già superata e non dà garanzie di sicurezza. Per esempio, la legge stabilisce che i dati degli utenti rimangano archiviati sui server dei fornitori per sei mesi. Anche se l’abuso dei dati è proibito, questa finestra di tempo rende il sistema meno orientato alla privacy degli utenti e più vulnerabile, in termini di uso improprio dei dati, di fughe di informazioni e di attacchi informatici.

“Questa legge non è avanzata in termini di principi di protezione dei dati, della tecnologia e persino dell’interoperabilità con gli altri Paesi”, afferma Morin. “Se passerà, la Svizzera sarà ancora più arretrata di prima.” Sarebbe meglio cestinarla, ritiene il professore, e mettere insieme un gruppo di brillanti scienziati e sociologi, di cui la Svizzera pullula, per pensare a un sistema davvero innovativo e avveniristico, che metta al centro le persone e la protezione della sfera privata.

Un sistema che fa acqua

Anche gli hacker “del popolo” del Chaos Computer Club Switzerland (CCC-CH), che lavorano al servizio della società civile, mettono in guardia dal sistema di eID proposto dalla legge attuale, che considerano vulnerabile.

“Non ci piace questa legge. È pessima dal punto di vista dell’architettura del sistema, che è centralizzato e quindi molto esposto ad attacchi informatici. Vediamo più rischi per la sicurezza e la privacy che benefici”, afferma Hernâni Marques, sociologo, neuroinformatico e membro del consiglio del CCC-CH. In un’architettura centralizzata che presenta un unico login anche gli attacchi sono centralizzati, il che significa che una singola minaccia potrebbe compromettere e bloccare l’intero sistema, spiega Marques. Ciò espone gli utenti a un pericolo maggiore di perdita, violazione o furto di dati.

Florian Forster, CEO dell’azienda di servizi IT e Cloud CAOS, fa un esempio concreto: “Pensiamo alla firma elettronica. Se qualcuno compromettesse la mia identità digitale, potrebbe avere accesso alla mia firma digitale e usarla per sottoscrivere contratti vincolanti che non ho mai richiesto. E sarebbe molto difficile per un utente medio provare il contrario”.

Sia Marques che Forster indicano soluzioni decentralizzate molto più sicure e ormai consolidate, come le carte con chip, i sistemi USB o le app con i dati archiviati sul cellulare. A seconda del livello di sicurezza necessario, queste soluzioni offrono più garanzie rispetto al sistema centralizzato proposto dalla legge di eID del governo, sia dal punto di vista informatico che della protezione dei dati e della verifica dell’identità reale dell’utente.

Il pragmatismo come soluzione?

Perché la Svizzera ha optato per questo sistema se presenta dei difetti in termini di sicurezza e privacy? Forster pensa che il lobbismo dei fornitori di identità abbia dato i suoi frutti e abbia influenzato l'adozione di una soluzione che possa essere facilmente integrata con qualsiasi servizio su internet utilizzando protocolli consolidati ma meno rispettosi della privacy. La mancanza di reali competenze digitali in parlamento durante la stesura della legge non ha aiutato, così come l'assenza di un dialogo aperto con specialisti affermati nel campo, dice Forster.

“La soluzione proposta dal governo svizzero non sarà perfetta, ma è un approccio pragmatico e fortemente regolato, un esempio di partenariato tra pubblico e privato che funzionerà”, sostiene Matthias Stürmer dell’Università di Berna.

Nonostante i punti deboli, lui e altri sostenitori della legge sostengono che la Svizzera non può permettersi di aspettare la soluzione perfetta. Il web sta diventando sempre più complesso e vulnerabile, dicono, ed è questo il momento di agire.

"Siamo in una gara e non abbiamo il tempo di aspettare altri due o tre anni per una nuova legge", avverte Stürmer. "Il mercato dell'autenticazione è troppo competitivo e l'eID svizzera è migliore delle piattaforme di identificazione delle grandi aziende tecnologiche perché impedisce l’utilizzo dei dati a fini commerciali".