Pubblica amministrazione e open socurce

Benzi: i veri problemi della carta d'identità elettronica

17.06.04*

***

D. Professor Benzi, lo scambio di messaggi tra il ministro Stanca e il suo collega Pisanu rivela che il progetto della carta d'identità elettronica non procede come si vorrebbe. I costi sono molto elevati e si discute della possibilità di eliminare la banda ottica e di spostare la fase di preparazione dai Comuni a un numero ridotto di centri di servizio. Come stanno realmente le cose? E, soprattutto, il progetto pubblicato nel 1999 è ancora attuale o può essere utile un aggiornamento?

R. Il punto da cui eravamo partiti nel 1997 era quello del rilascio "a vista" della carta introdotto come vincolo organizzativo non derogabile. Si doveva trovare un metodo per ottenere una sicurezza molto più alta di quella del documento cartaceo, nel quale sostituire la fotografia non è difficile per un abile falsario. Ed è banale anche sostituire la foto stampata sul supporto di PVC. Bisognava trovare un sistema che garantisse che, una volta inserita la foto, non potesse essere cambiata se non distruggendo, di fatto, la carta.
Allora ci vollero due anni di discussione per decidere "cosa" dovesse essere la carta. All'inizio si pensava solo allo strumento di identificazione e non ai servizi in rete. Poi si pensò soltanto ai servizi in rete e quindi si misero le due cose insieme. E si scoprì che, dati i vincoli organizzativi, quelli di sicurezza e quelli politici, era l'unica cosa che si poteva fare.
Il progetto, come progetto, regge ancora, perché altri Paesi che hanno incominciato dopo di noi hanno adottato la stessa struttura. Le variabili in discussione sono due: come si emette la carta e quali sono le garanzie di sicurezza. Laddove la carta è realizzata in una o più strutture all'interno del Paese si scelgono adeguate misure di sicurezza fisica della carta, diverse dalla banda ottica.

D. Ma la banda ottica non era stata inizialmente proposta come supporto di memoria? Non è così nelle regole tecniche?

R. Sì, ma il punto fondamentale è quello di dare garanzie nel riconoscimento a vista. Dal punto di vista tecnico si può anche mettere la foto anche nel microchip, ma c'è un problema: quali strumenti hanno le forze di polizia per riconoscere un soggetto fermato per accertarne l'identità? E cosa faccio se ci trova all'estero? Una soluzione poteva essere quella di dotare la polizia di lettori di microchip, ma era una soluzione molto complessa.

D. Complessa nel '97. Oggi che gli agenti di quartiere hanno il palmare, che tutte le nuove automobili hanno il computer a bordo, collegato via radio con le banche dati, la questione diventa molto semplice.

R. C'era, e c'è, il problema che il microchip è facile da distruggere: basta una banale scarica elettrica. A questo punto se il microchip è distrutto, la polizia che fa, porta il cittadino in Questura?

D. Esattamente come fa oggi con una persona sprovvista di documenti.

R. Giusto. Ma il problema non è banale, perché se il nuovo strumento non funziona allora la gente rivuole la vecchia carta. Allora c'erano tre soluzioni possibili. La prima era molto semplice: per garantire l'autenticità della foto, si può far produrre la carta da uno o più centri tecnici che sono in grado di imprimere la fotografia con tecnologie particolari che la rendono non sostituibile. Ma a questo punto il rilascio non è più a vista, ci vuole una settimana. Questa era una possibilità, possibilità concreta perché mettendo la foto all'interno della struttura di plastica si deve distruggere la plastica per cambiare la foto.
Un'altra possibilità era di dare la carta normale, come quella di adesso, per l'identificazione, e una carta elettronica per i servizi. Ma questo avrebbe significato non avere una carta d'identità più sicura di quella attuale. La terza soluzione era in un marchingegno che potesse dare la garanzia di verificabilità della foto. E l'unica garanzia, e ancora oggi non ce n'è un'altra se si richiede l'emissione a vista, era la banda ottica con l'immagine visibile. Questo è stato l'unico motivo per cui è stata adottata la banda ottica.
In ogni caso qualunque cosa si faccia su una carta d'identità o su qualunque altro documento è necessario metterci sopra qualcosa di esclusiva e totale proprietà della struttura che emette il documento stesso. Che sia un ologramma o uno strato di inchiostri particolari, ci deve essere qualcuno che produce quell'oggetto solo per chi emette quel tipo di documento.

D. E questo aspetto è comunque risolto con la competenza esclusiva del Poligrafico dello Stato per la produzione della carta ibrida. Ma non c'è un accorgimento meno costoso della la banda ottica?

R. Come è stato fatto presente al Ministero dell'interno, ci sono due elementi da considerare: da un lato il costo della carta e dall'altro la complessità organizzativa. Non soltanto si deve produrre l'oggetto, poi si deve organizzare la struttura di emissione on line e a vista in 8.100 comuni, con il cittadino che aspetta davanti allo sportello. Ora, ammettiamo pure di avere i soldi per la banda ottica, il problema è anche come organizzare il processo di emissione. La prospettiva di riuscire a fare l'emissione a vista su tutto il territorio nazionale non è realisticamente praticabile ed è comunque molto onerosa per i comuni.

D. Però oggi non c'è un Comune che non abbia un PC, un lettore-scrittore di smart card costa pochi euro.

R. Ma non basta, perché si devono anche fare un certo numero di operazioni con il sistema centrale.

D. E sembra che sia stato proprio questo, nelle sperimentazioni, a perdere colpi.

R. Qualsiasi sistema informatico, per definizione, quando parte perde colpi. L'idea prospettata è questa: invece di spendere nelle stazioni di emissione dei singoli Comuni e di spendere soldi sulla banda ottica, riformuliamo il progetto. Diciamo che sul territorio ci sarà un certo numero di centri servizio per i Comuni, cui comunque spetta il compito di rilasciare la carta di identità al cittadino, che produrranno le carte su richiesta dei Comuni e provvederanno alla gestione dei certificati digitali all'interno del microchip. La procedura riduce la complessità organizzativa sia per i Comuni che per il Ministero dell'interno. Le carte non verranno più emesse a vista, ma in questo modo si semplificano le cose risparmiando dei soldi. Bisogna avere la garanzia di distribuire le carte in tempi brevi e probabilmente in questo modo possiamo partire su tutto il territorio nazionale senza richiedere ai Comuni uno sforzo organizzativo che non tutti sono il condizioni di compiere. Peraltro questa possibilità è già prevista nel progetto, fin dall'inizio. E in alcuni casi questi centri sono stati fatti.
Ma è chiaro che, dopo tanto lavoro per mettere a punto tutti i dettagli, esiste la paura che cambiare lo schema di produzione ed emissione della carta potrebbe determinare una battuta d'arresto, e potrebbe anche significare la morte del progetto. D'altra parte è vero che per riuscire a portare a termine, e bene, il progetto attuale, servono almeno ottocento milioni di euro. I casi sono due: o li abbiamo o non li abbiamo. Se non li abbiamo, questo costo in un modo o nell'altro finisce per gravare sui cittadini.

D. Che difficilmente lo accetterebbero. Ma allora come si fa?

R. Adesso siamo nella seconda fase della sperimentazione il cui completamento è una questione puramente organizzativa. Ma alla fine dobbiamo capire come passare da 56 a 8.100 Comuni. Anche mantenendo il progetto così com'è, senza alterare la tecnologia, non possiamo affidare la fase di assestamento organizzativo a una specie di moto spontaneo del territorio verso l'aggregazione sui centri di servizio, perché i tempi diventano lunghissimi. Dall'altra parte c'è il problema dei soldi, che alla fine significa decidere se mantenere il progetto nella forma attuale, rispetto a possibili guadagni che si potrebbero avere cambiando alcuni aspetti della tecnologia.

D. Un altro aspetto critico è che tutti vogliono la carta d'identità elettronica permetterci dentro anche qualche altra cosa.

R. Questa, per fortuna, è un'idea che sta morendo. All'inizio abbiamo fatto molta fatica a far capire che nella carta d'identità non ci si deve mettere dentro nulla.

D. Neanche la firma digitale?

R. Solo la firma digitale! E già così si incontrano non poche difficoltà.

D. Ma se la carta d'identità deve essere anche "dispositivo sicuro di firma", come la mettiamo in tutte le occasioni in cui il documento deve essere consegnato a qualcuno, o addirittura depositato con funzioni di garanzia?

R. Comunque il dispositivo di firma è protetto dal PIN.

D. Ma la norma dice che il titolare deve custodirlo con la massima diligenza. In realtà il problema è "culturale": si dovrebbe far capire che il dispositivo di firma non dovrebbe essere affidato a nessuno, a partire dal commercialista.

R. Il discorso è corretto, ma il punto è fondamentalmente un altro. Ricordo che il responsabile dei servizi informativi di un grande Comune chiedeva, nel '99, qualcosa che servisse da dispositivo di firma e sistema di pagamento. Non sembrava molto, ma in realtà è la cosa più complicata che si possa chiedere, come si vede nella sperimentazione che sta avvenendo adesso a Bologna per la CNS. Si dimostra la possibilità di utilizzare questi strumenti di accesso, per esempio per l'identificazione da parte del sistema bancario. Per farlo però c'è voluto che il sistema bancario si attrezzasse in un certo modo, che ci fosse un processo di standardizzazione per i certificati, un marchingegno molto complicato.

D. Qualcuno pensa di usare la CIE o la CNS anche per l'erogazione di servizi comunali, come il pagamento dei trasporti o dei parcheggi.

R. Questi servizi, secondo me, sono assolutamente incompatibili con uno strumento come questo: è lampante che la soluzione per i trasporti non è in una carta per il cui funzionamento si deve digitare un codice. Uno dei sistemi più efficienti di pagamento dei trasporti è quello di Hong Kong: un pezzo di plastica con un'antennina, chiamato Octopus, in cui si caricano i soldi. E funziona benissimo.
Il fatto di mettere altri servizi nella CIE o nella CNS crea più danno che beneficio. Già adesso con la firma digitale abbiamo fatto il massimo di sforzo per mettere insieme due cose, strumento di accesso e firma digitale appunto, che, tutto sommato, sarebbe meglio che restassero separate. Quello che c'è oggi nella CIE basta: i dati anagrafici, la foto, eventualmente l'impronta digitale (sotto forma di stringa di bit, non come immagine).

D. Questa potrebbe essere una cosa molto utile anche per la firma digitale: con il lettore di impronta incorporato nel dispositivo di firma, noi potremmo avere una certezza molto elevata, praticamente assoluta, che la firma è generata proprio dal titolare del certificato.

R. Assolutamente sì. Se nella carta c'è la stringa che rappresenta l'impronta, e se riusciamo a certificare dei dispositivi hardware di lettura dell'impronta che garantiscano la non esportabilità della stringa, sarebbe molto utile, la soluzione ottimale. La tecnologia esiste ma la certificazione di sicurezza non è facile da gestire.

D. Nella risposta del ministro Pisanu si accenna anche a una "commistione" tra la CIE e il passaporto elettronico. Non è chiaro però come si possano fondere due documenti così strutturalmente diversi, visto che gli accordi internazionali prevedono che il passaporto sia costituito dal tradizionale libretto con un chip annegato nella copertina di cartone.

R. Io non credo che si possa mettere insieme il passaporto elettronico con la carta d'identità, dal punto di vista tecnologico. Per un motivo molto banale: il passaporto elettronico sta andando per la sua strada ed è coerente con un processo di standardizzazione in sede internazionale. Se noi seguiamo quel tipo di standard, dobbiamo rifare lo standard della CIE, che non è un'impresa banale.
In teoria basterebbe riprendere la parte relativa alla lettura di prossimità, ma in sostanza si dovrebbe rifare daccapo tutto il progetto.

D. Ci sono altri aspetti critici?

R. Come già detto il vero punto di debolezza del progetto è la complessità organizzativa. Inoltre è necessario ricordarsi che dobbiamo comunque mandare a regime una macchina che avrebbe dovuto funzionare anche senza la carta di identità elettronica. Per dirla con chiarezza: non ci può essere un sistema di identificazione sicuro se prima non c'è l'allineamento delle anagrafi, se non c'è la sicurezza che un soggetto non è residente contemporaneamente in diversi Comuni. Il progetto della carta d'identità elettronica spinge questo passaggio fondamentale.

D. In conclusione, si possono fare previsioni sui tempi dello sviluppo e dell'entrata a regime del sistema?

R. Il Ministero dell'interno dà per certo, e mi sembra che questa aspettativa sia corretta, di portare a compimento il milione e mezzo di carte per la fine dell'anno. A questo punto, chiusa la sperimentazione, se la decisione è di far pagare la carta al cittadino, si potrebbe passare alla fase definitiva. La legge prevede cinque anni perché i Comuni vadano a regime, il che significa che dopo cinque anni non può più essere emesso il documento cartaceo.
Questa è la previsione ufficiale. La previsione ufficiosa è che questa data finale verrà definita alla fine della seconda fase della sperimentazione. E' quindi giusto, prima di effettuare scelte definitive, riflettere se e come possiamo migliorare le cose.
 

* Intervista raccolta da M. Cammarata il 15.06.04