Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Pubblica amministrazione e open socurce

Perché non serve la banda laser

di Corrado Giustozzi - 10.06.04

 

Il progetto della carta d'identità elettronica è ancora una volta oggetto di polemiche e strumentalizzazioni: inevitabile, dato che è in circolazione (limitata) ormai da diversi anni ed ha attraversato fasi politiche e Governi caratterizzati da differenti visioni della cosa. Purtroppo la CIE, nata già come frutto di molteplici compromessi non solo di natura tecnica, nel corso degli anni si è vista di volta in volta attribuire ruoli e funzioni che non era nata per assolvere; e viceversa si è anche vista privare di alcune caratteristiche funzionali che, invece, l'avrebbero resa più valida ed efficace di quanto non sia divenuta oggi. Vediamo dunque come stanno le cose.

Gli obbiettivi originari del progetto CIE miravano a definire una carta che riunisse in sé due funzioni fondamentali e in qualche modo opposte (benché complementari): quella di documento d'identità per il riconoscimento a fini di polizia, al posto della tradizionale ed ormai insicura carta d'identità cartacea, e quella di "carta dei servizi" ai fini dell'erogazione di servizi al portatore da parte della pubblica amministrazione sia centrale che locale.

I requisiti fondamentali della CIE erano: una elevata sicurezza contro le contraffazioni e le falsificazioni; la possibilità di consentire l'identificazione "a vista" del titolare senza ricorrere a strumenti elettronici per la sua lettura; l'utilizzabilità anche per il riconoscimento remoto del titolare tramite servizi automatici; la facilità di rilascio "a vista" come la carta tradizionale; l'interoperabilità garantita nei confronti di tutti i servizi attuali e futuri delle PA. Tassativamente esclusi dal progetto originario erano invece l'utilizzo della CIE come "dispositivo di firma" per l'emissione di firme digitali a valore di legge, e l'utilizzo come mezzo di pagamento ("carta di debito" o portafoglio elettronico); e ciò per le indubbie complicazioni e per gli impatti non trascurabili che queste applicazioni avrebbero avuto nei riguardi di altri settori applicativi o progetti già in essere o in fase di sviluppo.

Gli obiettivi ed i requisiti ora visti, assieme ad ulteriori vincoli di natura tecnico-operativa, portarono a decidere per la carta una struttura piuttosto complessa, formata essenzialmente di tre parti: quella "visiva" tradizionale, consistente nelle generalità e nella fotografia del titolare impressi a stampa sulla superficie di plastica; quella "elettronica", costituita da un microchip polifunzionale dotato di aree di memoria separate per le varie tipologie di servizi previste ed eventualmente di futura introduzione, che consentisse la lettura e la scrittura elettronica dei dati; ed una speciale "banda ottica" ad alta capacità di memorizzazione, leggibile e scrivibile mediante un laser con una tecnologia simile a quella dei CD di tipo WORM (write once read many, ossia scrivibile una volta sola e rileggibile infinite volte), su cui caricare all'atto dell'inizializzazione della carta i dati anagrafici del titolare ivi compresa la fotografia e facoltativamente l'impronta digitale.

Questa convivenza su un medesimo supporto di tre aree distinte, relative come si vede a funzionalità diversificate, hanno innanzitutto reso la CIE un oggetto tecnologicamente complesso e difficile da costruire: basti pensare che per il suo solo rilascio (trascurando dunque le fasi di costruzione fisica e di inizializzazione elettrica del microchip) è necessaria l'azione combinata di un paio di stampanti a tecnologia differente, di uno speciale scrittore laser, di un'unità di scrittura per microchip, e questo solo per la realizzazione fisica; per quella logica è inoltre necessario l'espletamento di un complesso protocollo che prevede l'invio sicuro dei dati della carta da creare al centro SSCE/SAIA istituito presso il Ministero dell'interno, la loro validazione mediante un complesso di firme digitali incrociate, il ritorno dal centro di un "nullaosta all'emissione" e la registrazione di tutti questi dati sul microprocessore.

Vale la pena di ricordare a questo punto le motivazioni di fondo che portarono ad includere sulla CIE la banda laser in aggiunta (e in sovrapposizione) all'area di memoria riservata, all'interno del microchip, ai dati identificativi del titolare. Si trattava essenzialmente di considerazioni di sicurezza, intesa sia come antifalsificazione sia come resistenza al danneggiamento. Innanzitutto la banda laser ha una capacità di circa 1,2 Mbyte contro i soli 16 Kbyte del microchip utilizzato all'epoca (parliamo del 1999, oggi è in arrivo la carta da 1 Mbyte.), quindi al suo interno si potevano ospitare volumi di dati impossibili da memorizzare nel chip stesso: ad esempio la fotografia del titolare, a colori ed eventualmente in diverse risoluzioni; l'impronta digitale (opzionale); ed ovviamente i tradizionali dati anagrafici in formato testuale.

In secondo luogo la difficoltà di scrittura della banda laser (per scrivervi servono apparecchiature particolari che non si trovano facilmente sul mercato degli utenti finali) la rende intrinsecamente difficile da falsificare, e dunque conferisce all'intera carta un'ulteriore forte prova di autenticità. In terzo luogo il fatto che la banda laser sia interamente passiva, e la forte ridondanza dei suoi formati di registrazione dei dati, la rendono molto "robusta" e adatta anche all'impiego in situazioni ambientali estreme (la tasca dei jeans.) garantendo un'ottima probabilità di poter rileggere perfettamente i dati anche dopo anni di maltrattamenti, contrariamente a quanto accade al microprocessore che potrebbe danneggiarsi in modo irreparabile in seguito a stress di natura termica, meccanica o elettrica (eventualmente volontari, cosa di cui si deve tener conto in un'applicazione del genere). La presenza di un supporto resistente alle avversità consentirebbe dunque alla carta di conservare la sua funzione di documento d'identità anche qualora il microprocessore dovesse danneggiarsi e risultare illeggibile.

Questa, sinora, la teoria. La pratica purtroppo è ben diversa. Innanzitutto dal Ministero dell'interno (competente per la parte "carta d'identità") giunse, a progetto ormai ben avanzato, una richiesta di "marcia indietro" relativamente all'utilizzo della banda ottica come supporto ad alta capacità per dati digitali: definendo "impensabile" l'idea di fornire ad ogni operatore delle forze di polizia un apposito terminalino portatile con cui decodificare la banda ottica, lo scopo e la funzione di quest'ultima vennero infatti sminuiti e declassati al solo ruolo di meccanismo antifalsificazione. Di fatto nella CIE definitiva la banda ottica è utilizzata solo come surrogato del più tradizionale ologramma di autenticità che troviamo sulle normali carte di credito: la scrittura infatti non viene fatta in "modalità dati" ma in "modalità visuale", ossia disponendo i microfori in modo da formare semplicemente una minuscola replica della fotografia del titolare leggibile "a vista" dal poliziotto di turno (a patto che questi abbia un occhio d'aquila.).

Gli svantaggi di questa decisione sono enormi: innanzitutto la lettura elettronica dei dati, qualora si renda necessaria, viene fatta solo sulle informazioni presenti nel microprocessore, che sono molte di meno rispetto a quelle che potenzialmente avrebbe consentito di memorizzare la banda ottica; inoltre il gioco non vale più la candela, nel senso che la presenza della banda laser come mero accorgimento antifalsificazione non è più giustificabile in quanto il suo costo costruttivo è enormemente superiore a quello che avrebbe avuto una carta tradizionale con apposito ologramma antifalsificazione, senza offrire nessun vantaggio in cambio.
Da notare, inoltre, che un perfetto meccanismo antifalsificazione già esiste ed è attivo sulla carta, anche se non viene attualmente utilizzato come tale: è quello, basato sulla firma digitale, con cui il Ministero dell'interno valida i dati ricevuti dall'ente emettitore all'atto dell'emissione della CIE e "firma" il proprio "nullaosta all'emissione", il quale a sua volta contiene al suo interno la firma digitale dei dati della carta stessa apposta dall'ente emettitore.

In pratica basta leggere, con un qualsiasi lettore di smart card, anche su terminale portatile, i dati di emissione della carta e verificare la correttezza della firma digitale apposta dal SSCE/SAIA (la chiave pubblica del centro può essere facilmente caricata una tantum sul terminalino) per essere assolutamente certi che la carta non sia stata falsificata od alterata: il meccanismo della firma digitale assicura infatti che l'ente validatore non può che essere il Ministero dell'interno, mentre la struttura di autorizzazione a firme incrociate assicura la correttezza e l'integrità dei dati di emissione della carta. Al giorno d'oggi non è impensabile né antieconomico fornire agli operatori di polizia un palmare dotato di lettore di smart card, dunque la verifica "elettronica" dal vivo è perfettamente fattibile: tanto più che non c'è neppure bisogno di un collegamento "on-line" per farlo, dato che la struttura dei dati di integrità della carta è stata progettata proprio per poter consentire una verifica "off line" mediante terminale non connesso in rete.

Tutte queste considerazioni mostrano come la banda laser sia attualmente inutilizzata ed inutile, e non dia alla CIE alcun reale valore aggiunto in termini di sicurezza; al contrario, la sua presenza ne complica la struttura e ne fa inutilmente lievitare i costi di produzione, costringendo ad esempio ad adottare una carta a due strati ed obbligando ad un complicato processo di inizializzazione della banda ottica.
Vale la pena di aggiungere, tanto per completare il già desolante quadro, che anche lo spazio disponibile all'interno del microprocessore per la zona "servizi", pur se angusto, è comunque ancora largamente sottoutilizzato: sembrerà strano, ma dopo tanti anni di scervellamenti non si è ancora giunti a identificare un ragionevole insieme di servizi che risultino utilmente (e non pretestuosamente) ospitabili sulla carta, col risultato che la CIE è a tutt'oggi una bellissima soluzione alla disperata ricerca di un problema da risolvere.

In questo si vede, a mio avviso, il fallimento dell'idea stessa di carta multiruolo. Innanzitutto credo che non abbia molto senso raggruppare in un'unica carta tutte le credenziali che dimostrano alla pubblica amministrazione quali e quanti servizi un dato cittadino ha diritto ad ottenere, dato che questa informazione è già presente ab initio all'interno della pubblica amministrazione stessa. In secondo luogo è inutile e sbagliato accoppiare a questa funzione quella di identificazione personale, che serve ad altro. Nel mio concetto di pubblica amministrazione, io cittadino dovrei disporre unicamente di un documento d'identità "forte" (utilizzabile anche in Rete, e dunque basato su microchip e certificati digitali) col quale dimostrare chi sono a chi me lo chiede; dopodiché, ma separatamente, potrei disporre di un set di documenti "leggeri" di autorizzazione (autorizzazione a condurre veicoli, autorizzazione a portare armi, autorizzazione a pescare nei torrenti comunali, eccetera) da esibire assieme al documento di identità per dimostrare il mio diritto ad ottenere quel servizio; e ciò oltretutto solo ed esclusivamente quando l'autorità che mi richiede la verifica non sia in grado di ottenere direttamente l'autorizzazione cercata, cosa che potrebbe fare consultando direttamente la pubblica amministrazione competente. In una società ideale mi basterebbe semplicemente poter dimostrare la mia identità per ottenere tutti i servizi cui ho diritto, dato che è la pubblica amministrazione stessa, nel suo complesso, che sa già cosa sono e cosa posso o non posso fare!

Il perché poi la carta dei servizi non debba essere anche carta d'identità mi sembra tanto ovvio da non dover neppure essere spiegato: innanzitutto la mia identità non cambia molto di frequente mentre il mio status di cittadino probabilmente sì, ed unificare in un unico documento la gestione di entrambe le cose significa dover modificare o sostituire il documento globale con frequenza non necessaria. Inoltre la perdita o la distruzione materiale dell'unica tessera multiruolo comporta la perdita contemporanea di tutte le registrazioni che mi riguardano, con ovvia moltiplicazione di disagi e costi per il loro ripristino.

In definitiva mi sembra che la CIE, com'è attualmente realizzata, soffra di almeno un errore filosofico di impostazione (due funzioni diverse su un unico supporto) e di diversi conseguenti errori di implementazione, introdotti inizialmente o successivamente allo studio iniziale. Il risultato è un oggetto inutilmente complesso e costoso, che ha inoltre dimostrato di non essere in grado di poter risolvere le esigenze per le quali era stato pensato. Certo, a questo punto forse è difficile fare marcia indietro: tuttavia potrebbe valere la pena, fintantoché le carte effettivamente in circolazione sono ancora poche, ripensare il progetto ed armonizzarlo con quello della carta nazionale dei servizi, che al momento sembra un incomprensibile duplicato della CIE. La CIE dunque, senza banda ottica, potrebbe essere un'ottima carta d'identità ad esclusivo fine di verifica di polizia, essendo estremamente sicura e consentendo un'identificazione certa anche in Rete; mentre la CNS, accoppiata alla CIE, potrebbe essere un efficace strumento per il godimento dei servizi cui abbiamo diritto. Firma digitale e pagamenti però no, teniamoli al di fuori di tutto ciò.

 

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2004 Informazioni sul copyright