LA RIVISTA DELLA
3e GIORNATA DIGITALE SVIZZERA
3 SETTEMBRE 2019

Politica

digitalswitzerland

Società

Internazionale

Economia

Educazione

Giornata digitale 2019

Chi ha timore dell’eID?
Andrea Willimann

La Berna federale discute in merito alla reale portata dell’identità elettronica (eID). L’incaricato federale della protezione dei dati, Adrian Lobsiger, si esprime apertamente.

Peter Mosimann

Ritratto:

Adrian Lobsiger, l’Incaricato federale della protezione dei dati e della trasparenza, è sposato, ha due figlie adulte e vive a Muri vicino a Berna. Il 59enne, in carica da tre anni, è stato riconfermato dal Consiglio federale in aprile sino alla fine del 2023. Il giurista di formazione, in precedenza, è stato vicedirettore dell’Ufficio federale di polizia e docente nella lotta alla criminalità economica.

Passaporto, AVS, carta di credito: perché mi occorre un altro numero di identificazione personale su Internet, ossia l’eID?
Simili indicazioni fuorvianti sono state messe in circolazione da esperti su diversi media! Anche in futuro non avremo bisogno di un passaporto elettronico per accedere a Internet. La legge sull’eID non intende introdurre nuovi obblighi di identificazione. Semplici acquisti, ordinazioni di biglietti o il dating online continueranno ad essere possibili senza una procedura di identificazione sicura. L’eID non fungerà neppure da titolo di viaggio.

A cosa serve l’eID?
Serve laddove già oggi occorre un’identificazione sicura, ad esempio per accedere all’e-banking, per la dichiarazione fiscale o per ottenere le informazioni del casellario giudiziale, in futuro ci sarà un login sicuro. Lo Stato fornirà i dati personali necessari all’identificazione a un provider da esso autorizzato, che si impegnerà a non trasmetterli ad altri.

Le banche dispongono già di particolari sistemi di autenticazione per l’e-banking, compresa un’applicazione per il riconoscimento facciale?
È proprio questo il punto. Ogni banca, azienda, amministrazione che richiede un login affidabile, oggi dispone di una soluzione propria. L’identificazione elettronica, invece, porterà non solo alla semplificazione, ma anche alla standardizzazione giuridica della sicurezza tecnica e della protezione dei dati.

In seguito questo si applicherà anche al voto elettronico, l’e-voting, o alla cartella informatizzata del paziente?
Non solo. Permetterà di migliorare anche le informazioni sulla protezione dei dati. La polizia e l’amministrazione oggi vi indicano quali dati personali raccolgono su di voi, spesso a causa di fotocopie dei documenti d’identità di cattiva qualità. In questi casi, vi è un rischio elevato che i dati altamente sensibili giungano alla persona sbagliata.

La legge sull'eID contribuirà a prevenire gli abusi anzichè favorirli

Capisce la preoccupazione di una parte della popolazione per il fatto che non sia lo Stato a rilasciare l’eID, ma società private?
Ovviamente, sì. Tuttavia, mi ripeto: lo Stato fungerebbe da unico fornitore dei dati. I provider privati di identità elettroniche dovranno disporre di un’autorizzazione statale e potranno utilizzare questi dati solo per il rilascio dell’eID. Il trasferimento o la vendita dei dati a terzi sarebbero vietati. La soluzione di collaborazione con il settore privato, per cui propendono il Consiglio nazionale e il Consiglio degli Stati, presenta anche il vantaggio che il settore privato è disposto a finanziare e gestire un sistema di identificazione elettronica regolato dallo Stato.

Questo perché precedenti tentativi puramente statali come Suisse-ID sono falliti?
Sì, ma soprattutto perché i fornitori privati di servizi online come del gruppo SwissSign – la Posta Svizzera, Swisscom, le assicurazioni, le banche e altri ancora – potrebbero decidere di farlo anche senza l’intervento statale.

Che cosa accadrebbe in tal caso?
Lo Stato potrebbe essere costretto a riconoscere un’identificazione elettronica puramente privata per l’accesso ai suoi servizi online, il che ridurrebbe la protezione dei dati e l’influenza dello Stato. E se anche una simile soluzione puramente privata dovesse fallire, la Svizzera potrebbe un giorno dover ricorrere a identificatori stranieri come Apple o Google ID.

Un vero incubo per l’incaricato della protezione dei dati!
Senza una legge sull’eID, sarebbe difficile obbligare questi fornitori stranieri eID a separare rigorosamente i dati di identificazione dai dati degli utenti e a cancellarli dopo sei mesi. Oppure evitare che questi dati vengano utilizzati per altri scopi, ceduti a terzi o persino venduti.

Secondo un sondaggio è questo il timore che molti nutrono, anche nei confronti degli operatori privati svizzeri?
La nuova legge sull’identificazione elettronica impedirebbe proprio questo. Mi aspetto che la relativa ordinanza venga elaborata rapidamente, in modo da garantire ai cittadini la piena trasparenza.

Quali dati sarebbero memorizzati?
Ci sarebbero tre livelli di sicurezza: il primo sarebbe il numero, il cognome, il nome e la data di nascita; il secondo, il sesso, il luogo di nascita e la nazionalità; il terzo, il riconoscimento facciale.

Tutti i dati che fornisco volontariamente e in modo trasparente, per esempio, se viaggio negli Stati Uniti ...
La mia banca di fiducia ricorre al riconoscimento facciale da tempo. Molte aziende private oggi intrattengono un rapporto di fiducia con i loro clienti, sebbene gestiscano dati molto sensibili su di loro. Non solo lo Stato, ma anche l’economia può conquistare o perdere la fiducia della controparte.

Vi è la paura del furto di dati o di altri attacchi hacker dietro lo scetticismo nei confronti dei privati?
Gli scettici dell’identità elettronica menzionano giustamente questi rischi. Sono reali ed estremamente pericolosi: da un lato, si potrebbero verificare delle violazioni delle disposizioni legali – per negligenza o con intenzionalità. D’altra parte, la mancanza di sicurezza tecnica potrebbe comportare la perdita involontaria di dati.

Nonostante questi rischi, lei è totalmente a favore dell’eID semi-privata?
Sostengo la mia opinione secondo cui questo modello può essere progettato conformemente alla legge sulla protezione dei dati. L’ansia da rischio non contribuisce a risolvere la questione. Chiedo ai fornitori di indicare delle misure concrete per mitigare i rischi.

In materia di sorveglianza lei avrà voce in capitolo oppure ne sarà responsabile solo la Commissione eID, eletta dal Consiglio federale?
Con la creazione della Commissione eID, la politica intende dimostrare che il controllo statale riveste un’elevata importanza e che l’approvazione dello Stato compete a un comitato indipendente di rinomati esperti, che però non si sostituisce a me. In qualità di incaricato della protezione dei dati, controllo che i provider rispettino i requisiti di legge.

Cosa accadrà a chi non intende dotarsi di un’eID?
Qualsiasi cittadino può continuare a ricorrere ai servizi che desidera nel modo tradizionale. Chiunque sostenga che dalla legge sull’identificazione elettronica derivano nuovi obblighi di identificazione, dovrebbe leggerla di nuovo con tranquillità.