L’identità digitale sta guadagnando terreno a livello mondiale. L’UE sta lavorando a un’app di verifica dell’età che collegherà direttamente l’ID elettronico alle attività online dei cittadini. Il prototipo è già in fase di test in Italia, Danimarca, Spagna e Grecia. Parallelamente, si sta sviluppando un portafoglio digitale che in futuro conterrà la patente di guida, i dati sanitari e le carte bancarie.

Anche la Germania sta promuovendo l’identità elettronica: il contratto di coalizione del governo guidato da CDU e SPD prevede un conto civico obbligatorio e un’identità elettronica che sarà collegata al portafoglio digitale dell’UE. Nel Regno Unito, l’identità elettronica è già oggi un requisito indispensabile per lavoro, alloggio e assistenza sanitaria. L’Australia si spinge ancora oltre: in futuro, l’accesso ai motori di ricerca come Google o Bing sarà possibile solo con l’identità elettronica. In Svezia, sebbene sia ufficialmente facoltativa, nella vita quotidiana è praticamente indispensabile – che si tratti di operazioni bancarie, dichiarazioni dei redditi o prestazioni sanitarie. L’Austria, invece, punta sulla pressione: chi rifiuta l’«ID Austria» statale rischia sanzioni. Di recente, un’insegnante ha perso il posto di lavoro perché si è rifiutata di utilizzare l’identità digitale.

Anche in Svizzera la politica spinge per un’identità elettronica – frenata unicamente dalla democrazia diretta. Nel 2021 gli elettori hanno respinto la proposta di allora con un netto 64,4 percento. Invece di accettare questa decisione, il Consiglio federale ha rapidamente presentato una nuova proposta: nel nuovo disegno di legge, il certificato d’identità digitale non sarà più emesso da aziende private, ma dallo Stato. Fortunatamente, anche questa legge sarà sottoposta al voto popolare. Il 28 settembre si deciderà se i cittadini respingeranno nuovamente l’identità elettronica – o se questa volta si lasceranno convincere dalle promesse del Consiglio federale e dei suoi sostenitori.

Tutt’altro che statale

Ufficialmente il Consiglio federale giustifica il suo nuovo tentativo con l’argomento che la prima proposta sarebbe fallita a causa dell’opposizione agli emittenti privati. Tuttavia, uno sguardo all’analisi VOX della votazione del 2021 mostra che a risultare decisivi furono le preoccupazioni sulla protezione dei dati e sul ruolo dello Stato. La questione se l’E-ID dovesse essere emessa da privati o dallo Stato ebbe solo un ruolo secondario. Il Consiglio federale costruisce quindi un pretesto per rimettere in carreggiata il progetto.

Dal 1977 l’istituto di ricerca di mercato gfs.bern realizza con la sua analisi VOX interviste agli aventi diritto di voto dopo le votazioni popolari, per scoprire per quali motivi abbiano votato a favore o contro una proposta di legge. L’analisi sulla votazione della legge E-ID del 2021 mostra che tra i motivi del campo del No, la protezione dei dati e il ruolo dello Stato ebbero un peso centrale. Il tema degli emittenti privati dell’E-ID ebbe invece solo un’importanza marginale. Le preoccupazioni riguardavano quindi in generale la protezione dei dati — non principalmente se l’E-ID dovesse essere emessa da aziende private o dallo Stato. È dunque evidente che il Consiglio federale cercasse solo un pretesto per rilanciare la legge sull’E-ID.

Ma persino l’affermazione secondo cui la nuova E-ID sarebbe interamente statale non regge a un esame attento. L’Ufficio federale di polizia (fedpol) dipende infatti da partner privati. Ha affidato la verifica online dei richiedenti all’azienda informatica losannese ELCA Informatique SA. Inoltre, l’app Bundeswallet — il portafoglio digitale in cui viene memorizzata l’identità — può essere scaricata esclusivamente da Google Play e dall’Apple App Store. I cittadini svizzeri risultano quindi nuovamente dipendenti dalle Big Tech. Quando il Consiglio federale afferma che la nuova E-ID sia ora «statale», non è altro che un’etichetta ingannevole.

Sostienimi via PayPal

Sostienimi su Patreon

Offrimi un caffè

Sostienimi con Bitcoin

Indirizzo: bc1qh46yexw0utwq5kcjnrs4tp6frpkr06w4tjmfxx

Protezione dei dati insufficiente

L’E-ID sarebbe presumibilmente «sicura», e le preoccupazioni sulla protezione dei dati infondate – questo è il mantra del campo del Sì. Ma già un breve sguardo ai fatti solleva dubbi. L’Ufficio federale di polizia (fedpol) è responsabile della memorizzazione e della gestione dei dati. Che proprio questa autorità debba guadagnarsi la fiducia dei cittadini appare discutibile. Solo di recente il fedpol è finito sui titoli dei giornali a causa di un attacco hacker: dati sensibili sono poi comparsi nel darknet.

Anche il processo di emissione, regolato dall’art. 17 della legge, è problematico dal punto di vista della protezione dei dati. Chi richiede un’E-ID deve presentare un video del proprio volto – la cosiddetta «procedura di identificazione video». In questo processo, il documento d’identità mostrato viene confrontato con la persona nel video e verificato per autenticità. Ma la tecnologia ha un punto debole: i video deepfake sono ormai ampiamente diffusi. Con le foto che circolano in rete, che praticamente chiunque condivide sui social media, si possono creare falsificazioni incredibilmente realistiche. Il rischio: le identità digitali potrebbero essere ottenute con relativa facilità tramite inganno.

Un esempio di avvertimento arriva dalla Germania. Lì, il Chaos Computer Club è riuscito ad accedere a migliaia di cartelle cliniche elettroniche attraverso studi medici mal protetti e tessere sanitarie manipolate. Perché la Svizzera dovrebbe essere immune da scenari simili?

Che la Confederazione stessa non escluda il pericolo lo dimostra un passaggio della legge. Secondo l’art. 27, i dati vengono conservati per vent’anni, mentre i dati biometrici vengono cancellati solo cinque anni dopo la scadenza dell’E-ID. Questo lungo periodo porta a un’unica conclusione: la Confederazione si aspetta furti d’identità e vuole permettere la tracciabilità in caso di emergenza. Indirettamente, ammette così che qualcuno potrebbe utilizzare un’E-ID con falsa identità per anni.

Volontarietà ingannevole

I sostenitori sottolineano sempre la volontarietà dell’E-ID. Ma uno sguardo attento alla legge mostra che di vera volontarietà non si può parlare.

L’art. 24 obbliga tutte le autorità e gli enti con compiti pubblici ad accettare l’E-ID. L’art. 25 prevede sì che debba essere accettato anche un passaporto secondo l’art. 14 – ma solo se la persona «si presenta personalmente». Questo sembra offrire una scelta, ma nella pratica è un’illusione. Per i servizi online come Instagram, Netflix o l’e-commerce nessuno può «presentarsi personalmente». Quindi, di fatto, rimane solo l’E-ID. La conseguenza: per quasi tutte le attività digitali l’E-ID diventa obbligatoria. Esempi da Austria, Svezia o Estonia mostrano quanto rapidamente un’identità digitale passi da offerta apparentemente volontaria a obbligo di fatto. Chi non la utilizza riesce a malapena a svolgere le attività fondamentali della vita quotidiana.

Anche in Svizzera l’E-ID diventerà un requisito per servizi essenziali. Ordinare un estratto del casellario giudiziale per posta non sarà più possibile – solo con l’E-ID o presentandosi personalmente allo sportello. Il registro dei donatori di organi sarà in futuro accessibile esclusivamente tramite l’E-ID, così come la cartella clinica elettronica, che diventerà lo standard. Tutte queste sono forme di coercizione indiretta che minano la presunta volontarietà.

In aggiunta, l’art. 31 permette ai cantoni di imporre tasse aggiuntive se i cittadini usufruiscono di servizi di persona anziché digitalmente con l’E-ID. Chi non vuole l’E-ID deve quindi pagare di più. Ciò che viene presentato come «volontario» significa in realtà dipendenza – e una discriminazione strisciante nei confronti di tutti coloro che non vogliono consegnare la propria identità all’accesso elettronico.

Teilen

Einen Kommentar hinterlassen

StrauMedia teilen

Diritti popolari aggirati

Con la legge sull’E-ID si profila un’ulteriore erosione dei diritti popolari. L’art. 30 conferisce al Consiglio federale ampi poteri: può ampliare unilateralmente l’infrastruttura fiduciaria e il sistema informativo dell’E-ID con elementi aggiuntivi – anche con dati personali particolarmente sensibili, come informazioni sanitarie o dettagli sull’attività politica. Solo dopo un periodo che può durare fino a due anni deve chiedere l’approvazione del Parlamento. Se questa non viene concessa, la normativa decade – ma in questo lasso di tempo il Consiglio federale potrebbe già aver creato fatti compiuti. In altre parole: per due anni potrebbe introdurre nell’E-ID, tramite ordinanza, nuovi campi di dati sensibili senza coinvolgere né il popolo né il Parlamento. L’esperienza dimostra che il Consiglio federale utilizza regolarmente questi margini di manovra per introdurre nuove disposizioni. Un esempio evidente sarebbe un passaporto sanitario digitale tramite l’E-ID, che potrebbe essere richiesto su larga scala in caso di crisi. Si tratta di una massiccia delega di competenze che aggira i diritti popolari.

L’art. 32 si spinge ancora oltre: autorizza il Consiglio federale a «concludere autonomamente trattati di diritto internazionale». Ciò significa che potrebbe firmare accordi internazionali sull’E-ID senza alcuna partecipazione del popolo o del Parlamento. Ufficialmente, questo dovrebbe facilitare l’utilizzo e il riconoscimento legale dell’E-ID svizzera all’estero – così come il riconoscimento delle E-ID straniere in Svizzera. Ma la proposta concede al Consiglio federale anche il diritto di emanare unilateralmente tutte le disposizioni per l’attuazione di tali trattati. Al più tardi, quando l’UE avrà completamente stabilito il proprio sistema di E-ID, il Consiglio federale potrebbe recepire direttamente le direttive di Bruxelles in Svizzera – senza che i cittadini aventi diritto di voto possano mai esprimersi in merito.

Mancanza di trasparenza

Il Consiglio federale e i sostenitori assicurano che l’E-ID sia trasparente. Ma questo non corrisponde al vero. Una vera trasparenza presupporrebbe che il codice sorgente del software fosse reso pubblico. Proprio questo, però, è escluso dalla legge sull’E-ID: secondo l’art. 12, il codice sorgente può rimanere segreto per motivi di protezione dei diritti di terzi o di sicurezza. Non si può quindi parlare di open source.

L’art. 12, comma 1, obbliga sì l’UFIT a divulgare il codice sorgente dell’infrastruttura fiduciaria. A prima vista, questo sembra un atto di trasparenza. Ma il comma 2 riduce drasticamente questo obbligo: il codice sorgente o parti di esso non vengono pubblicati quando «diritti di terzi o motivi rilevanti di sicurezza lo escludono o lo limitano». Nella bozza originale si menzionavano solo i motivi di sicurezza – il Parlamento ha aggiunto la clausola sui «diritti di terzi».

Questo offre ai fornitori privati che consegnano software alla Confederazione una facile scappatoia: invocando i diritti di licenza, possono negare l’accesso. Il pubblico non viene così a sapere quali programmi operano in background e come vengono trattati i dati. Un vero controllo diventa quindi impossibile. Chi costruisce un sistema con dati tanto sensibili dovrebbe invece garantire che il pubblico possa comprendere esattamente come funziona la tecnologia.

La Confederazione si affida invece alla «Security by Obscurity» – cioè al tentativo di ottenere sicurezza mantenendo segrete le modalità di funzionamento. Gli esperti criticano questo approccio da anni. Il National Institute for Standards and Technology statunitense lo sconsiglia espressamente.

Sorveglianza totale

Con l’E-ID, lo Stato ottiene uno strumento per monitorare i cittadini in ogni loro passo. I documenti d’identità fisici lasciano a malapena tracce digitali: vengono richiesti raramente e i dati di solito non vengono memorizzati. Con l’E-ID è diverso. Ogni utilizzo del documento elettronico genera dati personali che vengono archiviati. Questo fornisce allo Stato uno strumento di sorveglianza che supera di gran lunga le possibilità di controllo dei sistemi totalitari del XX secolo – e rappresenta una seria minaccia per i diritti fondamentali in Svizzera.

I sostenitori promettono che non verranno creati profili utente e che tutto rimarrà anonimo. Ma già l’art. 10, comma 3, rivela il punto debole: l’Ufficio federale dell’informatica e delle telecomunicazioni (UFIT) non avrà accesso al contenuto dei certificati – tranne che in base ai dati generati dalle richieste. Con ogni richiesta, con ogni login, l’UFIT raccoglie metadati: indirizzi IP, timestamp, numeri di porta e altro. Si crea così un pacchetto completo di informazioni che viene archiviato centralmente.

Gli articoli 2 e 3 della legge disciplinano i registri presso l’UFIT. Anche qui si afferma che non è prevista un’attribuzione diretta alle persone. Ma di nuovo ci sono eccezioni: i dati personali raccolti durante l’interrogazione del registro di base possono infatti essere valutati nominalmente – come consente l’art. 57, comma 1, lett. A e B della Legge sull’organizzazione del governo e dell’amministrazione (LOGA), ad esempio in caso di «concreto sospetto di abuso» o per la «difesa da minacce».

Basta quindi un semplice sospetto per esaminare i dati di accesso. Tramite indirizzi IP e timestamp si possono identificare dispositivi, sistemi operativi e abitudini di utilizzo. Lo Stato potrebbe creare un profilo dettagliato: quando, quanto spesso e a quali orari una persona effettua l’accesso. A ciò si aggiungono possibili richieste ai provider, che possono rivelare persino i domini visitati o i dati geolocalizzati delle celle telefoniche.

Rimane dunque solo un confine sottilissimo tra l’uso presumibilmente anonimo e la tracciabilità effettiva. Anche al minimo sospetto, l’identità può essere rivelata. La possibilità di abuso di potere è quindi insita nella legge – e l’esperienza dimostra: ciò che lo Stato ottiene come facoltà, finisce per utilizzarlo.

Seguimi su 𝕏

Seguimi su Instagram

Seguimi su Telegram

Seguimi su GETTR

Seguimi su LinkedIn

There is no such thing as a free lunch

Un altro mito del campo del Sì è che l’E-ID statale sia gratuita. Ma i servizi pubblici sono sempre finanziati dai contribuenti – e quindi non possono mai essere davvero gratuiti. Il progetto svizzero dell’E-ID, inoltre, è tutt’altro che economico: tra il 2023 e il 2028 sono previsti circa 180 milioni di franchi per lo sviluppo e la gestione dell’infrastruttura. Dal 2029 si aggiungeranno circa 25 milioni di franchi all’anno di costi di esercizio. Queste somme esorbitanti saranno alla fine sostenute da tutti i contribuenti – anche da chi non intende utilizzare l’E-ID.

Non c’è bisogno di un’E-ID

Sorge spontanea una domanda: a cosa serve davvero un documento d’identità digitale? La Confederazione indica due motivi. Primo: l’E-ID dovrebbe essere necessaria per le pratiche amministrative. Ma per questo esiste già un login ufficiale per le autorità – un’E-ID aggiuntiva è superflua. Secondo: dovrebbe servire per la verifica dell’età nella vita quotidiana, ad esempio al supermercato o in edicola. Ma anche qui la carta d’identità fisica è più che sufficiente. Anzi, è la soluzione migliore, perché non lascia tracce digitali e tutela in modo più efficace la privacy. In breve: i documenti d’identità tradizionali sono nettamente superiori all’E-ID, sia in termini di sicurezza che di protezione dei dati.

Campagna referendaria nella fase finale

La campagna per la votazione è entrata nella fase finale. Ho cercato di illustrare in dettaglio perché la legge svizzera sull’E-ID sia pericolosa, superflua e quindi da respingere. Avrei potuto menzionare altri punti, ma ciò avrebbe superato i limiti.

Il movimento per i diritti civili MASS-VOLL!, di cui faccio parte, ha lanciato il referendum a gennaio e, con le firme raccolte, ha contribuito in modo decisivo affinché il popolo svizzero possa votare su questa proposta il 28 settembre. Se voi, cari lettori, siete cittadini svizzeri e volete affondare alle urne questa minacciosa identità digitale, sostenete ora la campagna referendaria di MASS-VOLL!. Ulteriori informazioni sono disponibili qui.

La Svizzera si trova a un bivio: o respinge i piani totalitari del Consiglio federale, o compie un enorme passo verso uno stato di sorveglianza totale. Di fronte all’introduzione dell’E-ID, persino lo scandalo delle schedature sembra una festa di compleanno per bambini. Allora, nel 1989, un’indagine parlamentare rivelò che la polizia federale aveva sorvegliato sistematicamente quasi un milione di persone per decenni – uno scandalo che minò profondamente la fiducia nello Stato. Oggi, invece, gli svizzeri sono l’unico popolo al mondo ad avere il privilegio di decidere personalmente sull’E-ID alle urne e di porre fine all’aggressiva offensiva di sorveglianza dello Stato.

Questo articolo è apparso anche in tedesco su «StrauMedia» ed è stato pubblicato come rubrica sul portale della «Freie Akademie für Medien & Journalismus», curato dallo studioso dei media Prof. Michael Meyen e dalla giornalista Antje Meyen.

Der digitale Fichenstaat

Michael Straumann

·

Sep 16

Weltweit gewinnt die digitale Identität an Boden. Die EU arbeitet an einer Altersverifikations-App, die die E-ID direkt mit den Online-Aktivitäten der Bürger verknüpfen soll. Der Prototyp läuft bereits in Italien, Dänemark, Spanien und Griechenland. Parallel dazu wird eine

Read full story