|
Il progetto della carta d'identità elettronica è ancora una
volta oggetto di polemiche e strumentalizzazioni: inevitabile, dato che è in
circolazione (limitata) ormai da diversi anni ed ha attraversato fasi politiche
e Governi caratterizzati da differenti visioni della cosa. Purtroppo la CIE,
nata già come frutto di molteplici compromessi non solo di natura tecnica, nel
corso degli anni si è vista di volta in volta attribuire ruoli e funzioni che
non era nata per assolvere; e viceversa si è anche vista privare di alcune
caratteristiche funzionali che, invece, l'avrebbero resa più valida ed efficace
di quanto non sia divenuta oggi. Vediamo dunque come stanno le cose.
Gli obbiettivi originari del progetto CIE miravano a definire
una carta che riunisse in sé due funzioni fondamentali e in qualche modo
opposte (benché complementari): quella di documento d'identità per il
riconoscimento a fini di polizia, al posto della tradizionale ed ormai insicura
carta d'identità cartacea, e quella di "carta dei servizi" ai fini
dell'erogazione di servizi al portatore da parte della pubblica amministrazione
sia centrale che locale.
I requisiti fondamentali della CIE erano: una elevata
sicurezza contro le contraffazioni e le falsificazioni; la possibilità di
consentire l'identificazione "a vista" del titolare senza ricorrere a
strumenti elettronici per la sua lettura; l'utilizzabilità anche per il
riconoscimento remoto del titolare tramite servizi automatici; la facilità di
rilascio "a vista" come la carta tradizionale; l'interoperabilità
garantita nei confronti di tutti i servizi attuali e futuri delle PA.
Tassativamente esclusi dal progetto originario erano invece l'utilizzo della CIE
come "dispositivo di firma" per l'emissione di firme digitali a valore
di legge, e l'utilizzo come mezzo di pagamento ("carta di debito" o
portafoglio elettronico); e ciò per le indubbie complicazioni e per gli impatti
non trascurabili che queste applicazioni avrebbero avuto nei riguardi di altri
settori applicativi o progetti già in essere o in fase di sviluppo.
Gli obiettivi ed i requisiti ora visti, assieme ad ulteriori
vincoli di natura tecnico-operativa, portarono a decidere per la carta una
struttura piuttosto complessa, formata essenzialmente di tre parti: quella
"visiva" tradizionale, consistente nelle generalità e nella
fotografia del titolare impressi a stampa sulla superficie di plastica; quella
"elettronica", costituita da un microchip polifunzionale dotato
di aree di memoria separate per le varie tipologie di servizi previste ed
eventualmente di futura introduzione, che consentisse la lettura e la scrittura
elettronica dei dati; ed una speciale "banda ottica" ad alta capacità
di memorizzazione, leggibile e scrivibile mediante un laser con una tecnologia
simile a quella dei CD di tipo WORM (write once read many, ossia
scrivibile una volta sola e rileggibile infinite volte), su cui caricare
all'atto dell'inizializzazione della carta i dati anagrafici del titolare ivi
compresa la fotografia e facoltativamente l'impronta digitale.
Questa convivenza su un medesimo supporto di tre aree
distinte, relative come si vede a funzionalità diversificate, hanno
innanzitutto reso la CIE un oggetto tecnologicamente complesso e difficile da
costruire: basti pensare che per il suo solo rilascio (trascurando dunque le
fasi di costruzione fisica e di inizializzazione elettrica del microchip) è
necessaria l'azione combinata di un paio di stampanti a tecnologia differente,
di uno speciale scrittore laser, di un'unità di scrittura per microchip, e
questo solo per la realizzazione fisica; per quella logica è inoltre necessario
l'espletamento di un complesso protocollo che prevede l'invio sicuro dei dati
della carta da creare al centro SSCE/SAIA istituito presso il Ministero
dell'interno, la loro validazione mediante un complesso di firme digitali
incrociate, il ritorno dal centro di un "nullaosta all'emissione" e la
registrazione di tutti questi dati sul microprocessore.
Vale la pena di ricordare a questo punto le motivazioni di
fondo che portarono ad includere sulla CIE la banda laser in aggiunta (e in
sovrapposizione) all'area di memoria riservata, all'interno del microchip, ai
dati identificativi del titolare. Si trattava essenzialmente di considerazioni
di sicurezza, intesa sia come antifalsificazione sia come resistenza al
danneggiamento. Innanzitutto la banda laser ha una capacità di circa 1,2 Mbyte
contro i soli 16 Kbyte del microchip utilizzato all'epoca (parliamo del 1999,
oggi è in arrivo la carta da 1 Mbyte.), quindi al suo interno si potevano
ospitare volumi di dati impossibili da memorizzare nel chip stesso: ad esempio
la fotografia del titolare, a colori ed eventualmente in diverse risoluzioni;
l'impronta digitale (opzionale); ed ovviamente i tradizionali dati anagrafici in
formato testuale.
In secondo luogo la difficoltà di scrittura della banda
laser (per scrivervi servono apparecchiature particolari che non si trovano
facilmente sul mercato degli utenti finali) la rende intrinsecamente difficile
da falsificare, e dunque conferisce all'intera carta un'ulteriore forte prova di
autenticità. In terzo luogo il fatto che la banda laser sia interamente
passiva, e la forte ridondanza dei suoi formati di registrazione dei dati, la
rendono molto "robusta" e adatta anche all'impiego in situazioni
ambientali estreme (la tasca dei jeans.) garantendo un'ottima probabilità di
poter rileggere perfettamente i dati anche dopo anni di maltrattamenti,
contrariamente a quanto accade al microprocessore che potrebbe danneggiarsi in
modo irreparabile in seguito a stress di natura termica, meccanica o elettrica
(eventualmente volontari, cosa di cui si deve tener conto in un'applicazione del
genere). La presenza di un supporto resistente alle avversità consentirebbe
dunque alla carta di conservare la sua funzione di documento d'identità anche
qualora il microprocessore dovesse danneggiarsi e risultare illeggibile.
Questa, sinora, la teoria. La pratica purtroppo è ben
diversa. Innanzitutto dal Ministero dell'interno (competente per la parte
"carta d'identità") giunse, a progetto ormai ben avanzato, una
richiesta di "marcia indietro" relativamente all'utilizzo della banda
ottica come supporto ad alta capacità per dati digitali: definendo
"impensabile" l'idea di fornire ad ogni operatore delle forze di
polizia un apposito terminalino portatile con cui decodificare la banda ottica,
lo scopo e la funzione di quest'ultima vennero infatti sminuiti e declassati al
solo ruolo di meccanismo antifalsificazione. Di fatto nella CIE definitiva la
banda ottica è utilizzata solo come surrogato del più tradizionale ologramma
di autenticità che troviamo sulle normali carte di credito: la scrittura
infatti non viene fatta in "modalità dati" ma in "modalità
visuale", ossia disponendo i microfori in modo da formare semplicemente una
minuscola replica della fotografia del titolare leggibile "a vista"
dal poliziotto di turno (a patto che questi abbia un occhio d'aquila.).
Gli svantaggi di questa decisione sono enormi: innanzitutto
la lettura elettronica dei dati, qualora si renda necessaria, viene fatta solo
sulle informazioni presenti nel microprocessore, che sono molte di meno rispetto
a quelle che potenzialmente avrebbe consentito di memorizzare la banda ottica;
inoltre il gioco non vale più la candela, nel senso che la presenza della banda
laser come mero accorgimento antifalsificazione non è più giustificabile in
quanto il suo costo costruttivo è enormemente superiore a quello che avrebbe
avuto una carta tradizionale con apposito ologramma antifalsificazione, senza
offrire nessun vantaggio in cambio.
Da notare, inoltre, che un perfetto meccanismo antifalsificazione già esiste ed
è attivo sulla carta, anche se non viene attualmente utilizzato come tale: è
quello, basato sulla firma digitale, con cui il Ministero dell'interno valida i
dati ricevuti dall'ente emettitore all'atto dell'emissione della CIE e
"firma" il proprio "nullaosta all'emissione", il quale a sua
volta contiene al suo interno la firma digitale dei dati della carta stessa
apposta dall'ente emettitore.
In pratica basta leggere, con un qualsiasi lettore di smart
card, anche su terminale portatile, i dati di emissione della carta e verificare
la correttezza della firma digitale apposta dal SSCE/SAIA (la chiave pubblica
del centro può essere facilmente caricata una tantum sul terminalino)
per essere assolutamente certi che la carta non sia stata falsificata od
alterata: il meccanismo della firma digitale assicura infatti che l'ente
validatore non può che essere il Ministero dell'interno, mentre la struttura di
autorizzazione a firme incrociate assicura la correttezza e l'integrità dei
dati di emissione della carta. Al giorno d'oggi non è impensabile né
antieconomico fornire agli operatori di polizia un palmare dotato di lettore di
smart card, dunque la verifica "elettronica" dal vivo è perfettamente
fattibile: tanto più che non c'è neppure bisogno di un collegamento
"on-line" per farlo, dato che la struttura dei dati di integrità
della carta è stata progettata proprio per poter consentire una verifica
"off line" mediante terminale non connesso in rete.
Tutte queste considerazioni mostrano come la banda laser sia
attualmente inutilizzata ed inutile, e non dia alla CIE alcun reale valore
aggiunto in termini di sicurezza; al contrario, la sua presenza ne complica la
struttura e ne fa inutilmente lievitare i costi di produzione, costringendo ad
esempio ad adottare una carta a due strati ed obbligando ad un complicato
processo di inizializzazione della banda ottica.
Vale la pena di aggiungere, tanto per completare il già desolante quadro, che
anche lo spazio disponibile all'interno del microprocessore per la zona
"servizi", pur se angusto, è comunque ancora largamente
sottoutilizzato: sembrerà strano, ma dopo tanti anni di scervellamenti non si
è ancora giunti a identificare un ragionevole insieme di servizi che risultino
utilmente (e non pretestuosamente) ospitabili sulla carta, col risultato che la
CIE è a tutt'oggi una bellissima soluzione alla disperata ricerca di un
problema da risolvere.
In questo si vede, a mio avviso, il fallimento dell'idea
stessa di carta multiruolo. Innanzitutto credo che non abbia molto senso
raggruppare in un'unica carta tutte le credenziali che dimostrano alla pubblica
amministrazione quali e quanti servizi un dato cittadino ha diritto ad ottenere,
dato che questa informazione è già presente ab initio all'interno della
pubblica amministrazione stessa. In secondo luogo è inutile e sbagliato
accoppiare a questa funzione quella di identificazione personale, che serve ad
altro. Nel mio concetto di pubblica amministrazione, io cittadino dovrei
disporre unicamente di un documento d'identità "forte" (utilizzabile
anche in Rete, e dunque basato su microchip e certificati digitali) col quale
dimostrare chi sono a chi me lo chiede; dopodiché, ma separatamente, potrei
disporre di un set di documenti "leggeri" di autorizzazione
(autorizzazione a condurre veicoli, autorizzazione a portare armi,
autorizzazione a pescare nei torrenti comunali, eccetera) da esibire assieme
al documento di identità per dimostrare il mio diritto ad ottenere quel
servizio; e ciò oltretutto solo ed esclusivamente quando l'autorità che mi
richiede la verifica non sia in grado di ottenere direttamente l'autorizzazione
cercata, cosa che potrebbe fare consultando direttamente la pubblica
amministrazione competente. In una società ideale mi basterebbe semplicemente
poter dimostrare la mia identità per ottenere tutti i servizi cui ho diritto,
dato che è la pubblica amministrazione stessa, nel suo complesso, che sa già
cosa sono e cosa posso o non posso fare!
Il perché poi la carta dei servizi non debba essere anche
carta d'identità mi sembra tanto ovvio da non dover neppure essere spiegato:
innanzitutto la mia identità non cambia molto di frequente mentre il mio status
di cittadino probabilmente sì, ed unificare in un unico documento la gestione
di entrambe le cose significa dover modificare o sostituire il documento globale
con frequenza non necessaria. Inoltre la perdita o la distruzione materiale
dell'unica tessera multiruolo comporta la perdita contemporanea di tutte
le registrazioni che mi riguardano, con ovvia moltiplicazione di disagi e costi
per il loro ripristino.
In definitiva mi sembra che la CIE, com'è attualmente realizzata, soffra di
almeno un errore filosofico di impostazione (due funzioni diverse su un unico
supporto) e di diversi conseguenti errori di implementazione, introdotti
inizialmente o successivamente allo studio iniziale. Il risultato è un oggetto
inutilmente complesso e costoso, che ha inoltre dimostrato di non essere in
grado di poter risolvere le esigenze per le quali era stato pensato. Certo, a
questo punto forse è difficile fare marcia indietro: tuttavia potrebbe valere
la pena, fintantoché le carte effettivamente in circolazione sono ancora poche,
ripensare il progetto ed armonizzarlo con quello della carta nazionale dei
servizi, che al momento sembra un incomprensibile duplicato della CIE. La CIE
dunque, senza banda ottica, potrebbe essere un'ottima carta d'identità ad
esclusivo fine di verifica di polizia, essendo estremamente sicura e consentendo
un'identificazione certa anche in Rete; mentre la CNS, accoppiata alla CIE,
potrebbe essere un efficace strumento per il godimento dei servizi cui abbiamo
diritto. Firma digitale e pagamenti però no, teniamoli al di fuori di tutto
ciò.
|
Pagina stampabile
