Le cronache ci informano che le strenne più richieste in questi giorni di fine anno sono quelle tecnologiche, dai cani-robot ai telefonini. Bene, il Governo si adegua e ci fa trovare sotto l'albero il testo unico sulla documentazione amministrativa e la carta d'identità elettronica, la cui sperimentazione parte ufficialmente oggi. Due regali che più high tech non si può.

Del testo unico, che costituisce la "carta fondamentale" dell'e-government, abbiamo parlato molto in queste pagine e avremo ancora occasione di parlarne. Va osservato che il documento pubblicato nei giorni scorsi sul sito della funzione pubblica non può essere quello definitivo, perché appare frutto di un frettoloso copia-e-incolla, evidente soprattutto nel confronto con la relazione illustrativa, che riprendiamo per comodità dei lettori, insieme alla parte sostanziale dell'articolato. Il resto del voluminoso PDF è costituito da tutti i decreti e le norme tecniche che restano in vigore e completano il TU. Fra questi ci sono le disposizioni fondamentali sulla carta d'identità elettronica (CIE): il DPCM 437/99 e il decreto del Ministro dell'interno 19 luglio 1999 che contiene le regole tecniche e di sicurezza. Quest'ultimo può essere scaricato in formato PDF dalla pagina del sito del Dipartimento della funzione pubblica che contiene tutti i documenti sulla CIE.

Alle notizie fornite dai mezzi di informazione - in molti casi tecnicamente inesatte - su questa nuova meraviglia della tecnologia, si accompagnano in questi giorni le polemiche sull'inserimento obbligatorio o facoltativo di informazioni biometriche, come l'impronta digitale o quella dell'iride, e si richiede d'urgenza un intervento del Garante dei dati personali. Il quale ha già emesso, tre mesi fa, una nota in cui chiedeva maggiori garanzie per i cittadini.
Ora dovrebbe essere facile, per l'ufficio del professor Rodotà, negare la possibilità di inserire sempre la rappresentazione dell'impronta digitale nel documento: in tempi meno liberi dei nostri, il regio decreto 18 giugno 1931, n. 773, stabiliva che l'autorità di pubblica sicurezza "ha facoltà di ordinare che le persone pericolose o sospette e coloro che non sono in grado o si rifiutano di provare la loro identità siano sottoposti a rilevi segnaletici". Il regio decreto 6 maggio 1940, n. 635 (applicativo del precedente),  prevedeva che la carta d'identità rilasciata ai soggetti in questione non contenesse "particolari rilevi o annotazioni" e che le impronte fossero "apposte su cartellini da conservarsi presso l'ufficio comunale e l'ufficio provinciale di pubblica sicurezza". I due provvedimenti sono ancora in vigore, espressamente richiamati nelle note al DPCM 437/99.

Se ne deduce che il prelievo obbligatorio delle impronte digitali, per la normativa italiana, riguarda solo le persone "pericolose o sospette e coloro che non sono in grado o si rifiutano di provare la loro identità", e che anche in questo caso non è previsto l'inserimento del dato nel documento.
C'è anche, recentissimo, il regolamento (CE) 2725/2000 del Consiglio, approvato lo scorso 11 dicembre, che istituisce la struttura "Eurodac, per il confronto delle impronte digitali per l'efficace applicazione della convenzione di Dublino". In questo provvedimento si fa obbligo, agli Stati firmatari della convenzione, del prelievo delle impronte di tutte le dita "di ogni richiedente asilo di età non inferiore a 14 anni" (art. 4) e di coloro, sempre maggiori di 14 anni, "che siano fermati dalle competenti autorità di controllo in relazione all'attraversamento irregolare via terra, mare o aria, della propria frontiera in provenienza da un paese terzo e che non siano stati respinti" (art. 8). I dati vanno trasmessi al registro centrale, ma non si fa alcun cenno al loro inserimento in un documento di identità.

La proposta di inserire un dato biometrico nella carta d'identità appare quindi come un'intollerabile misura di polizia, per schedare tutti gli italiani come "persone pericolose o sospette".
Ma, a ben vedere, stiamo parlando di una questione di principio, mentre ci sono problemi sostanziali di protezione dei dati personali che emergono da una anche sommaria analisi della struttura messa in piedi dal Ministero dell'interno e descritta negli allegati al decreto ministeriale 19 luglio 1999 (per una ricognizione generale, vedi La chiave di accesso alla pubblica amministrazione digitale).

Secondo il disegno del Ministero, al centro di tutta la costruzione della CIE c'è il "Sistema di sicurezza del circuito di emissione" (SSCE), gestito dalla Polizia scientifica. Fanno parte del circuito di emissione l'Istituto Poligrafico e zecca dello Stato (IPZS) e tutti i comuni che emettono le carte. Questi dialogano con il SSCE attraverso un'altra struttura, il "Sistema di accesso e interscambio anagrafico" (SAIA). A regime, SSCE e SAIA disporranno, per le parti di rispettiva competenza, tutti i dati registrati nelle carte, sia per quanto riguarda la parte anagrafica, sia per i servizi aggiuntivi.

Un complesso sistema di comunicazioni cifrate, con autenticazione reciproca dei server attraverso sistemi crittografici a chiave asimmetrica, nonché la registrazione automatica di tutte le operazioni compiute da soggetti abilitati, dovrebbero assicurare la segretezza delle informazioni. E si tratta di informazioni molto più delicate di quanto possa apparire a prima vista, anche senza considerare la possibilità che sulla CIE possano essere registrati dai sanitari "sensibili". Infatti, dall'incrocio delle informazioni sulle abilitazioni e sull'uso di ogni singola carta si può facilmente ricavare una serie di dati tali da consentire, nel tempo, una "profilazione" molto accurata di ciascun cittadino.

Si potrebbe obiettare che la cifratura delle informazioni nelle banche dati e le misure di sicurezza previste rendono molto difficile che si verifichino abusi di questo genere. In realtà tutto il sistema appare alquanto insicuro, per tre ordini di motivi:

1. La stessa struttura (SSCE) svolge la funzione di archivio dei dati e responsabile dell'applicazione delle misure di sicurezza.In questo modo il controllore controlla se stesso, con un problema strategico di insicurezza sul lungo termine. Infatti così si proteggono i dati da attacchi esterni, ma non da possibili azioni di insider. Sarebbe invece necessario che l'archivio fosse controllato da una struttura "terza".

2. Lo stesso tipo di problema si riscontra nei rapporti con gli enti emettitori della CIE, i comuni. Questi devono ricevere dallo SSCE sia il software di sicurezza, sia la chiave privata per l'accesso ai dati di propria competenza (art. 5.4.6 dell'allegato B). Viene meno il principio fondamentale della sicurezza dei sistemi di crittografia a chiave asimmetrica, che impone la generazione della coppia di chiavi da parte dello stesso titolare. Anche qui si dirà che ci sono le misure opportune affinché nel sistema non resti traccia della chiave privata e del PIN di attivazione, ma chi può garantire che prima o poi qualcuno non ci metta uno zampino e catturi le informazioni?

3. Ancora più preoccupante si rivela l'accesso ai dati da parte delle questure, perché i controlli devono poter essere svolti sul campo da migliaia di agenti delle forze dell'ordine. L'allegato non dice nulla sulle procedure di sicurezza, sicché non è difficile immaginare la circolazione di migliaia di password, con tutti i rischi che questo comporta. L'unico sistema abbastanza sicuro è la strong authentication di ogni operatore, che si può ottenere assegnando ad ogni agente una smart card personale. Ma la misura non è prevista nel documento ministeriale, che si limita a determinare le modalità di accesso per le questure e per i comuni, ma non per i singoli operatori dei due settori.

Questi sono i risvolti più preoccupanti del sistema della CIE. Altri punti sarebbero da discutere, a partire dalla scelta di una carta "ibrida", dotata sia di microprocessore, sia di banda ottica. Una soluzione mai sperimentata, con problemi di standard e di sistemi operativi. Senza considerare il costo elevato del lettore-scrittore ottico, da integrare con il lettore-scrittore del microprocessore. Fra l'altro, un apparecchio del genere non sembra disponibile sul mercato, a causa della scarsissima diffusione delle carte ottiche e dalla mancanza di standard comuni, e deve quindi essere costruito ad hoc. Per dare un'idea del problema, fino a qualche mese fa c'erano al mondo due soli fabbricanti di carte ottiche, con sistemi in parte incompatibili fra loro: l'americana Drexler e la giapponese Olympus. Quest'ultima ha recentemente abbandonato il settore.