Navigation

Message
Identità elettronica (eID)

Identità elettronica (eID)

I costanti progressi compiuti dallo sviluppo tecnologico comportano uno spostamento sempre più pervasivo dei processi operativi verso il mondo digitale. La conduzione delle transazioni elettroniche richiede un elevato grado di fiducia nell’identità e nell’autenticità della controparte. Con l’identità elettronica (eID) viene creato un login riconosciuto a livello statale che consente alle/agli utenti un’identificazione univoca, sicura e di facile utilizzo su Internet. L’eID costituisce una premessa fondamentale per la sburocratizzazione dei rap-porti con le autorità, per transazioni più efficienti nelle relazioni d’affari e con i clienti, non-ché per l’incremento della sicurezza ai fini dell’identificazione su Internet. A beneficiare di questa innovazione sono, in egual misura, i/le cittadini/e, le autorità e le aziende.

La Svizzera senza eID arranca nelle retrovie dello sviluppo digitale

Numerosi Paesi dispongono già di proprie soluzioni eID riconosciute e verificate a livello statale, le quali consentono di gestire in maniera digitale i rapporti commerciali e con le autorità, con un potenziale immenso in termini di guadagni di efficienza per le rispettive economie. In Svizzera questo potenziale ha tuttavia ancora le polveri bagnate. La Svizzera non dispone infatti ancora di nessuna eID riconosciuta dallo Stato e utilizzata in modo capillare, e sotto questo profilo arranca quindi nelle retrovie dello sviluppo digitale. La creazione di una propria soluzione eID consentirebbe di colmare una lacuna significativa nella gestione delle relazioni digitali di tipo commerciale e/o con le autorità. Un’eID riconosciuta dallo Stato è dunque imprescindibile per la Svizzera e per il suo sviluppo digitale. A tale scopo è tuttavia necessario un quadro giuridico e di standardizzazione solido e sicuro, nella cui instaurazione risiede infatti la finalità ultima della Legge federale sui servizi d’identificazione elettronica (LSIe).

eID – Un login riconosciuto e verificato a livello statale

L’eID è sostanzialmente un login riconosciuto a livello statale che consente l’identificazione univoca di una persona su Internet. Questo strumento permette ad esempio di accertare in modo sicuro che la persona XY è effettivamente colei che dichiara di essere. Ciò rende possibile a sua volta una gestione semplice e al contempo comunque sicura delle transazioni su Internet, come ad es. gli acquisti nei negozi online, l’impiego di servizi bancari o il disbrigo in modalità digitale dei rapporti con le attività che altrimenti richiederebbero la necessità di recarsi fisicamente presso gli appositi sportelli, come l’ordinazione di un estratto del casellario giudiziale.

L’eID non si configura come una digitalizzazione del passaporto. Non si tratta infatti di un documento ufficiale riconosciuto a livello internazionale e non ha niente a che fare con la concessione sovrana di una cittadinanza. Di conseguenza, non sussiste parimenti alcun obbligo o impellenza all’ottenimento di un’eID.

Certificazione e vigilanza da parte dello Stato

Con la LSIe viene creato il quadro giuridico e di standardizzazione per la certificazione di soluzioni eID e di fornitori d’identità privati, vale a dire Identity Provider (IdP). La LSIe prevede che idonei offerenti privati di servizi elettronici di identificazione possano richiedere un riconoscimento statale (ovvero una certificazione) come IdP. Una commissione indipendente appositamente istituita per le attività di verifica e di vigilanza (EIDCOM) garantisce agli offerenti privati la certificazione statale, ovviamente previo esito positivo dell’esame a cui gli stessi vengono sottoposti. Gli IdP sono poi assoggettati alla vigilanza corrente da parte dell’EIDCOM. Oltre ai requisiti tecnici e rilevanti ai fini della sicurezza è necessario un costante rispetto anche della Legge sulla protezione dei dati e delle disposizioni in materia di tutela dei dati definite a titolo aggiuntivo nella LSIe. In caso di violazione contro tali norme, la LSIe prevede la revoca della certificazione.

SBVg_E-ID-Chart_IT.jpg
SBVg_E-ID-Chart_IT.jpg

 

Emissione e impiego – Gli/Le utenti decidono in merito ai propri dati

L’eID ha carattere del tutto volontario. Se una persona desidera un login riconosciuto a livello statale, ovvero una eID, presenta una richiesta in tale senso presso un IdP certificato, il quale inoltra tale domanda allo Stato. Quest’ultimo verifica se la persona ha effettivamente presentato la richiesta ed è d’accordo con le relative condizioni, e provvede poi a inoltrare all’IdP soltanto i dati strettamente necessari per l’identificazione della persona. In questo modo il soggetto in questione rimane assolutamente padrone dei propri dati.

Tale garanzia viene fornita anche in seguito per gli/le utenti di un’eID. In occasione dell’impiego di un’eID si verifica uno scambio di dati soltanto se l’utente fornisce la propria espressa autorizzazione a riguardo. Sono trasmessi soltanto i dati necessari per lo scopo previsto (ad es. per la protezione della gioventù). Se ad esempio un’eID è utilizzata per la verifica dell’età necessaria per l’accesso a un casinò online, non viene comunicata l’età esatta (ad es. 30 anni), bensì viene soltanto confermato che la persona è maggiorenne.

Questo significa che gli IdP non hanno libero accesso ai registri statali. Questi ultimi possono essere consultati soltanto in occasione dell’emissione dell’eID presso lo Stato, e ciò a sua volta avviene soltanto previo assenso della persona interessata. Per contro nella fase di utilizzo dell’eID non sono coinvolte entità statali, alle quali non vengono infatti trasmesse informazioni di sorta circa l’impiego dell’eID stessa. Lo Stato quindi non vede per che quali finalità viene utilizzata l’eID. Peraltro, in caso di un’eID a gestione esclusivamente statale questo livello di protezione dei dati non potrebbe essere garantito, in quanto a seguito dell’assenza della figura degli IdP lo Stato deterrebbe la totalità dei dati degli utenti e di fatto sarebbe anche in grado di allestire profili completi della personalità. Questo scenario è esplicitamente escluso nella ripartizione dei compiti tra Stato e privati prevista nella LSIe, in quanto i dati non vengono conservati e amministrati in modo centralizzato presso una delle parti.

Ripartizione dei compiti tra Stato ed economia privata: una situazione win-win

L’accettazione di un primo intervento parlamentare per un’identità digitale risale a circa 20 anni fa. In seguito sono stati presentati numerosi ulteriori interventi. Durante il pluriennale processo politico sono stati monitorati gli sviluppi in atto all’estero e verificate varie formule. L’avamprogetto del Consiglio federale si basava sul principio di un’elaborata ripartizione dei compiti tra Stato e privati, ed è questo il modello che Consiglio federale e Parlamento hanno portato avanti nella LSIe. Stato ed economia privata si completano a vicenda con i rispettivi punti di forza, dando vita a un’eID di facile impiego e soprattutto sicura.

L’economia privata è infatti più vicina ai mercati e ai propri clienti rispetto allo Stato. Si tratta di un elemento centrale, in quanto il potenziale dell’eID può essere sfruttato appieno soltanto se in tempi rapidi sono disponibili numerose possibilità di utilizzo e l’eID stessa risulta sicura e semplice da usare per gli/le utenti. Inoltre i privati possono reagire con maggiore flessibilità agli sviluppi tecnologici, e questo aspetto è rilevante soprattutto per quanto concerne la sicurezza dei dati. Lo Stato adempie tuttavia ad altri compiti centrali: predispone e garantisce il riconoscimento e il controllo degli IdP e conferma l’identità degli/delle utenti mediante una verifica ufficiale. Questa forma di collaborazione genera un chiaro valore aggiunto per tutti: cittadini/e, autorità e aziende.

LSIe – Una legge equilibrata per rafforzare la piazza economica svizzera

Dopo un esame intenso e accurato, in data 1° giugno 2018 il Consiglio federale ha pubblicato il messaggio sulla LSIe. In seguito la LSIe è stata dibattuta in seno alle Camere federali. Il risultato è una legge equilibrata che nella sessione autunnale 2019 è stata approvata con un’ampia maggioranza dal Consiglio nazionale e dal Consiglio degli Stati.

Con la LSIe vengono gettate basi lungimiranti e innovative per un’eID svizzera sicura e verificata dallo Stato, la quale a sua volta renderà possibile un’ulteriore digitalizzazione del Paese. Si otterrà così un rafforzamento duraturo e sostenibile della piazza economica elvetica.

Posizione dell’ASB

L’Associazione svizzera dei banchieri sostiene appieno la Legge federale sui servizi d’identificazione elettronica (LSIe) varata dal Consiglio federale e dal Parlamento. La legge instaura infatti le condizioni quadro a livello giuridico per un’eID sicura e riconosciuta a livello statale e rende quindi possibile l’ulteriore digitalizzazione della Svizzera, consentendo alla piazza economica elvetica di rafforzarsi in maniera duratura e sostenibile.

L’ASB saluta con favore la ripartizione dei compiti fra Stato e privati sancita nella legge, perfettamente idonea al fine di conseguire gli obiettivi centrali di sicurezza, protezione dei dati e rapida diffusione.

Il coinvolgimento dell’economia privata è essenziale per il successo dell’eID. Le aziende dispongono infatti del know-how tecnologico, dei casi di applicazione e della necessaria vicinanza ai clienti per poter garantire una diffusione rapida e capillare dell’eID, tale da giustificare l’attrattiva economica di un’iniziativa di questa portata. Rendendo possibile un impiego semplice e sicuro dell’eID nelle interazioni con la clientela e con i partner commerciali, le aziende private apportano infatti un contributo fondamentale al successo dell’eID stessa. Una piena affermazione dell’eID risulta peraltro imprescindibile anche per la digitalizzazione dell’economia e quindi per la concorrenzialità del Paese.

La sicurezza dei dati è garantita dallo Stato. La legge prevede infatti che i fornitori di servizi d’identificazione opportunamente qualificati, i cosiddetti identity provider (IdP), debbano ottenere da un ente di riconoscimento ufficiale una certificazione per l’emissione di un’eID. Gli IdP sono sottoposti alla vigilanza della Commissione eID (EIDCOM) appositamente predisposta. Nell’ambito dell’eID trovano quindi applicazione disposizioni ancora più specifiche e stringenti di quelle contemplate nella Legge sulla protezione dei dati, in modo da tutelare le cittadine e i cittadini con la massima efficacia. In particolare, non è consentito cedere i dati raccolti o utilizzarli per finalità commerciali.