Già SPID, il sistema pubblico di identità digitale appena lanciato, ha un piccolo problema che riguarda come viene riconosciuta l’identità.
All’art.6 del “REGOLAMENTO RECANTE LE MODALITÀ ATTUATIVE PER LA REALIZZAZIONE DELLO SPID (articolo 4, comma 2, DPCM 24 ottobre 2014)” troviamo:
“Al ricevimento della richiesta, il gestore dell’identità digitale procede all’identificazione del soggetto richiedente, che consiste nell’accertamento delle informazioni sufficienti a identificare il soggetto richiedente sulla base di documenti forniti dallo stesso. Tale processo è effettuato da personale qualificato e opportunamente formato”
Uno dei problemi principali di SPID è tutto qui. Infatti si permette ad “personale qualificato e opportunamente formato” di aziende di poter identificare “con certezza” la persona che hanno di fronte. Anzitutto non è chiaro il tipo di formazione che devono avere (e in un paese notoriamente poco propenso a formare i dipendenti la cosa preoccupa) e non è chiaro nemmeno come deve essere effettuata l’identificazione.
Il problema è centrale in un sistema di identificazione che permette poi di accedere in modo automatico a servizi pubblici e privati di ogni genere la cui identità è considerata affidabile proprio in virtù di questo processo di identificazione.
Poi abbiamo degli operatori di aziende private che potrebbero non essere dipendenti della stessa (ad esempio i negozi di una catena di franchising) che potrebbero essere pagati a percentuale su quante identità “vendono” oppure premiati in base alle identità consegnate.
Saper riconoscere un documento falso non è un processo banale, richiede un elevato grado di conoscenza ed esperienza.
Qualcuno obietterà che anche per richiedere una SIM telefonica si procede all’identificazione e può esserci un errore, infatti è un fenomeno noto quello delle SIM intestate a false persone. Tuttavia dovendo presentare il documento in presenza della persona ogni volta che si richiede un servizio si aumenta il rischio di essere scoperti. Nel caso dell’identità digitale, una volta ottenuta l’identità in modo fraudolento, essa non passa più per nessun controllo e i sistemi informatici la accettano come perfettamente valida.
In più, ogni cittadino può dotarsi(o gli può essere trafugata) di una o più identità digitali e non ha modo di sapere se esistono identità digitali a suo nome, non è previsto infatti nessun sistema consultabile dal cittadino presso il Ministero degli Interni ad esempio. Così come anche l’indirizzo di mail e il telefono che si fornisce in fase di acquisto l’identità non debbono essere intestate a lui e dunque potrebbero essere aperte da altri a sua insaputa e utilizzate per ingannare il gestore.
Non voglio nemmeno prendere il caso bizzarro del riconoscimento in video, dove ormai si trovano in giro su internet video di studenti universitari che con una webcam e un software riescono a far muovere la bocca a loro piacimento al presidente Obama o Putin. E perfino il riconoscimento tramite firma elettronica o posta certificata potrebbe avere qualche problema, è solo di poco tempo fa il caso del commercialista che con la firma elettronica ha potuto intestare ad un terzo le quote societarie di un cliente ad esempio (26 marzo 2012 Il Sole 24 Ore).
In un paese come il nostro il processo di riconoscimento della identità è particolarmente critico. Rubare l’identità ad un cittadino significa accedere ai suoi dati riservati oppure intestare la bolletta della luce o l’affitto di una casa affittata da terroristi con l’identità di un ignaro cittadino che potrebbe per anni non sapere nulla. Salvo poi dover spiegare come mai è un pericoloso complice di qualche cellula islamica o famiglia mafiosa. Per non parlare di firma di contratti, cessione di beni all’insaputa del titolare e così via.
Tra l’altro il processo di identificazione è sempre lo stesso anche nel caso di identità digitale forte o di livello tre (la più alta) per cui una volta rubata si può fare di tutto. Già SPID è candidato a sostituire tutte le password in rete, dalla banca, all’INPS, al comune di residenza, ai sistemi della salute.
E’ proprio per questo che il processo di identificazione del cittadino sarebbe dovuto essere di massima affidabilità, per esempio mandando il cittadino ad identificarsi dalle FF.OO. Infatti le FF.OO. sono in grado di riconoscere un documento falso, hanno un database in grado di capire se ci sono stati furti di documenti o di carta valori, di confrontare i dati presenti nel documento con l’anagrafe della popolazione residente (ANPR). Ma sono anche in grado di capire se l’immagine del portatore corrisponde ad una persona con precedenti o segnalata, oppure come dice il Presidente Renzi “taggata”. Sono in grado di sapere con certezza a chi corrisponde il numero di cellulare fornito durante l’identificazione e se è oggetto di indagine, di conoscere se l’indirizzo di emal è valido e a chi corrisponde. Insomma di identificare la persona. Passato tale processo di identificazione si ha certezza di identità.
Soprattutto è importante che ogni cittadino con identità digitale abbia un numero di cellulare nel quale inviare notifiche di quello che la sua identità fa, perché solo un monitoraggio di questo può aiutare a mantenere sicuro il tutto.
Certo sarà pure più “burocratico” di andare al negozio sotto casa ma garantisce sia il cittadino che la richiede, sia la collettività.
Sarebbe utile anche che vi fosse un portale del cittadino nel quale ci si può collegare per sapere se qualcuno ha chiesto una identità digitale a nostro nome, ovvero se ne esista una a nostra insaputa. Magari fare in modo che si possa richiedere una identità digitale solo dopo che se ne è fatta richiesta alle FF.OO. ed esse abbiano provveduto a “sbloccare” i gestori al rilascio dell’identità. I mezzi, anche semplici, ci sono.
Anche gli operatori dell’anagrafe sono in grado di riconoscere un documento di un cittadino, anche se non sono in grado di fare i controlli che la polizia giudiziaria è in grado di fare.
E’ necessario soprattutto garantire ad ogni cittadino il diritto a non avere una identità digitale ma tante password diverse, un po’ come l’arta millenaria delle serrature insegna. A chi verrebbe mai in mente di avere una sola chiave con la quale aprire la casa, l’automobile, la casa al mare, il cassetto dell’ufficio, la cassaforte e così via? L’idea di avere chiavi diverse e mazzi diversi è il frutto millenario della sapienza contro i ladri. L’idea che nel digitale questo possa essere sostituito da un “PIN unico” sembra più l’inseguimento di telefilm di fantascienza dove le porte riconoscono da sole il nostro eroe all’ingresso che esigenza vera dei cittadini.
Infine non si capisce l’utilità di lanciare in tutta fretta lo SPID quando bastava prima lanciare la carta di Identità Digitale che è un supporto molto più affidabile e consente una migliore identificazione.
Lo SPID ci dice che, aldilà della competenza e professionalità di chi lavora nello Stato e nei servizi informatici, esiste una grande faciloneria nel pensare che basta fornire servizi digitali e tutto funziona. Esiste una improvvisazione pensando che quello che funziona in un ufficio possa funzionare in un paese. Esiste una idea pericolosa di “devoluzione” di servizi propri dello Stato verso il mercato che può generare insicurezza e creare notevoli danni. Lo Stato siamo noi tutti e dovremmo imparare a rispettarci.
Ma SPID ha anche altri buchi e ne parlerò in alcuni prossimi articoli.