Un’identità elettronica sicura per il mondo fisico e digitale
Posizione della Posta in merito alla Legge sull’Ie
Sezione Rich Content
La quotidianità e le esigenze delle persone e delle imprese in Svizzera stanno cambiando. I processi delle aziende e della pubblica amministrazione sono sempre più digitalizzati. Nel frattempo molte incombenze quotidiane e servizi si possono svolgere anche o esclusivamente online. Con un’identità elettronica affidabile è possibile sviluppare con efficacia processi commerciali digitali senza passaggi intermedi e perfezionare ulteriormente il business online e le applicazioni nel settore dell’e-government. In tale contesto, l’introduzione di soluzioni per l’identificazione univoca nel mondo digitale tramite un’identità elettronica rappresenta un passo fondamentale per una digitalizzazione continua e sicura in Svizzera. La nuova Legge sull’Ie crea le basi giuridiche per un’identità elettronica statale e altri mezzi di identificazione elettronici.
I sistemi digitali sicuri sono da tempo parte integrante dell’attività postale quotidiana e creano i presupposti affinché la Posta possa mettere in campo la sua competenza chiave: trasportare informazioni sensibili in modo sicuro e affidabile, sia nel core business fisico che nel mondo virtuale. Negli ultimi anni, la Posta ha ampliato le proprie competenze e risorse nel campo delle tecnologie dell’informazione e di codifica e ora offre soluzioni digitali per le autorità e per la clientela commerciale e privata. SwissSign, una società al 100% del gruppo Posta e pertanto di proprietà pubblica, offre tra le altre cose soluzioni di identificazione e autenticazione certificate con il marchio SwissID. SwissID non è utilizzato solo nel settore privato, ma anche da 13 Cantoni, diversi Comuni, città e altri enti statali e conta già un totale di 4.3 milioni di utenti.
Contenuto del progetto di legge
Il nuovo mezzo di identificazione elettronico (Id-e) consente agli utenti di identificarsi in modo sicuro, veloce e semplice. Chiunque sia in possesso di una carta d’identità svizzera, di un passaporto svizzero o di una carta di soggiorno per stranieri rilasciata dalla Svizzera può richiedere un’Id-e. La richiesta e l’impiego dell’Id-e sono gratuiti e su base volontaria. La Confederazione offre un’app per smartphone in cui è possibile gestire l’Id-e in modo sicuro. L’identità elettronica può essere utilizzata sia in internet, ad esempio per ordinare online un estratto del casellario giudiziale, sia in un contesto analogico, ad esempio come riscontro dell’età per l’acquisto di alcolici.
A differenza del primo disegno di legge sull’Ie, che il 7 marzo 2021 il popolo ha nettamente respinto, l’attuale progetto di legge prevede un ruolo centrale dello Stato. L’Id-e si basa su un’infrastruttura gestita dalla Confederazione che tuttavia non sarà utilizzata esclusivamente ai fini dell’emissione dell’Id-e statale, bensì potrà essere messa a disposizione dei servizi pubblici e delle imprese per emettere diversi altri mezzi d’identificazione elettronici, per esempio gli estratti del casellario giudiziale, le licenze di condurre, i diplomi universitari o i certificati medici. L’infrastruttura fiduciaria della Confederazione crea dunque il presupposto per un ecosistema aperto che permette di emettere, utilizzare e presentare mezzi di identificazione elettronici in modo sicuro. L’ecosistema di questi mezzi elettronici potrà essere progressivamente ampliato.
Il progetto persegue un approccio fondato sui principi della protezione dei dati fin dalla progettazione («privacy by design»), della minimizzazione dei dati e della loro archiviazione decentralizzata.
Punti di vista sostenuti dalla Posta
1. Creazione dell’ecosistema
Accogliamo con favore il fatto che il presente disegno di legge e la preannunciata infrastruttura prevedano diversi mezzi di identificazione elettronici in direzione di un ecosistema aperto.
Chiediamo un’azione rapida e risoluta volta alla creazione di questo ecosistema aperto.
2. Regole uguali per l’Id-e statale e per gli identity provider privati
L’Id-e non è un login nel senso di un’autorizzazione di accesso (autenticazione) a un servizio digitale, ma è una certificazione d’identità digitale e quindi l’equivalente digitale di un passaporto o di una carta d’identità. A nostro avviso, nella Legge sull’Ie questa distinzione non è sufficientemente chiara.In particolare perché, con il servizio di autenticazione AGOV, la Confederazione ha creato nel frattempo una propria soluzione di login per le applicazioni dello Stato.
Attraverso AGOV l’identità elettronica statale potrà essere utilizzata, tra l’altro, per l’identificazione nel contesto della cartella informatizzata del paziente (CIP). Dal punto di vista della Posta, la regolamentazione prevista per AGOV e CIP deve essere rivista, soprattutto perché, secondo le disposizioni dell’attuale LCIP, per l’apertura e l’utilizzo della CIP possono essere utilizzati solo gli strumenti d’identificazione elettronici di emittenti certificati. Attualmente esistono tre soluzioni di identificazione e autenticazione private e certificate: SwissID, TrustID e HIN eID. La nuova Legge sull’Ie consentirà di usare l’Id-e statale su AGOV per procedere all’identificazione e accedere alla CIP. Tuttavia, la Confederazione in quanto futuro emittente dell’identità elettronica, non è soggetta all’obbligo di certificazione.
A nostro avviso è incomprensibile che, a differenza degli emittenti di identità digitali ad oggi certificati, alla Confederazione non si applichi alcun obbligo di certificazione. In questo modo, gli attuali identity provider, che hanno completato un dispendioso processo di certificazione specificamente per la CIP, subirebbero un trattamento iniquo e le loro soluzioni, già presenti sul mercato, verrebbero scalzate da altre.
Chiediamo pertanto che la Confederazione, nel rilasciare l’Id-e statale per l’accesso alla CIP, sia soggetta agli stessi requisiti che si applicano, con la procedura di certificazione, agli attuali identity provider privati.
3. Ulteriori misure per rafforzare la fiducia
Per rafforzare ulteriormente la fiducia nelle interazioni nel mondo digitale, il progetto di legge prevede che la Confederazione possa anche confermare l’identità dei verificatori (ad es. aziende) iscrivendoli nel rispettivo registro di fiducia. Ciò consente anche alla clientela privata, quando effettua una transazione digitale, di sapere se il partner commerciale è chi dichiara di essere.
Dal punto di vista della Posta, questo è un altro aspetto fondamentale che promuove in modo significativo la fiducia reciproca tra gli attori nel mondo virtuale.
La Posta propone di identificare i verificatori nell’apposito registro dell’infrastruttura fiduciaria. Contrariamente a quanto proposto dal Consiglio federale, suggeriamo che questo tema sia disciplinato a livello di legge, sottolineandone così l’importanza.
È previsto che lo Stato metta a disposizione un portafoglio elettronico statale (wallet) che potrà contenere l’Ie e gli altri mezzi di identificazione elettronici. Dal nostro punto di vista è positivo che le utenti e gli utenti utilizzino anche altre applicazioni (private) per conservare ed esibire i loro mezzi di identificazione elettronici.
Per motivi legati alla sicurezza, suggeriamo di trasferire i mezzi di identificazione solo su wallet emessi da prestatori di servizi fiduciari riconosciuti.
Sono possibili ulteriori misure per rafforzare la fiducia e la sicurezza: la legislazione dell’Unione Europea prevede, ad esempio, che un Id-e sia accettato secondo eIDAS 2 solo con un livello di sicurezza «elevato» nel quadro del portafoglio EUDI.
Un livello di sicurezza più elevato può contribuire a una rapida diffusione dell’Id-e.
Sezione Rich Content
Identificazione
L’identità elettronica è una forma digitale di certificazione d’identità che consente a una persona di identificarsi online. Consiste in un attributo personale, come il nome o l’indirizzo e-mail, e in un mezzo di autenticazione segreto, come una password o una caratteristica biometrica. Nel mondo fisico l’identificazione avviene attraverso un documento ufficiale, ad es. un passaporto o una carta d’identità.
Autenticazione
In fase di login o nel quadro di un’autenticazione si verifica se una persona è autorizzata ad accedere a una determinata risorsa o a un determinato servizio; si tratta quindi di un’autorizzazione di accesso. Durante il processo di login, in una prima fase si conferma che una persona sia effettivamente in possesso dell’identità elettronica che sta utilizzando e, in una seconda fase, che sia autorizzata ad accedere al servizio richiesto. L’autenticazione è un passaggio che va ripetuto e che di solito avviene prima di ogni utilizzo di un servizio.
AGOV
Oltre a essere il servizio di autenticazione delle autorità svizzere, AGOV è anche un identity provider nonché la Federazione d’identità di Confederazione e Cantoni. Disponibile per l’utilizzo produttivo dall’inizio del 2024, consente ai privati che usano un’identità digitale appartenente alla Federazione d’identità AGOV di registrarsi ai servizi online delle amministrazioni pubbliche attraverso una procedura unificata.
SwissID e Id-e statale: due cose diverse
SwissID è un’identità digitale sicura che può essere utilizzata per accedere ai servizi online che richiedono una certificazione d’identità, come l’accesso alla cartella informatizzata del paziente. Non è tuttavia un documento d’identità digitale statale. L’Id-e è una certificazione d’identità digitale, e quindi l’equivalente digitale di un passaporto o di una carta d’identità; non è un login nel senso di un mezzo di accesso (autenticazione) ai servizi digitali.