Cattive notizie per i diritti civili digitali. [...] Nella trentennale storia della digitalizzazione del nostro paese spiccano ben quattro storie di successo. Alcune addirittura di livello mondiale. Senza scherzi!
In ordine cronologico:
l’istituzione della firma digitale con valore legale parificato a quella autografa, primo paese al mondo;
la creazione della Posta Elettronica Certificata, che permette di inviare messaggi con valore di raccomandata con ricevuta di ritorno, in maniera istantanea e sostanzialmente gratuita, invece che a botte di sette o più Euri;
l’implementazione del Processo Civile Telematico, che solo chi frequenta da operatore i tribunali può apprezzare in tutto il suo valore;
la realizzazione della SPID, un sistema di rilascio di credenziali con valore nazionale (no, non è un sistema di verifica dell’identità, checché se ne dica, e no, non ha nessuna vulnerabilità particolare).
4 casi di successo della informatizzazione delle PP.AA. che decine di milioni di italiani ormai utilizzano quotidianamente, a cui, solo per diffusione, se ne aggiunge un quinto, la CIE, Carta di Identità Elettronica.
C’è da dire che il “successo” della CIE è stato decretato ope legis come adempimento obbligatorio, supportato in maniera efficacissima dall’abolizione dell’alternativa cartacea, e solo dopo una trentennale ed iterativa gestazione sperimentale, che chi l’ha vissuta ancora ricorda nei propri incubi.
Senza altra volontà oltre quella di essere oggettivi, possiamo ricordare che Firma Digitale, CIE, CNS (Carta Nazionale dei Servizi), TSE (Tessera Sanitaria Elettronica) sono tutti tecnicamente in grado di fornire le funzionalità di identificazione, autenticazione e firma elettronica. La sola CIE possiede tuttavia lo status legale di documento di identità, che consente l’utilizzo come formale accertamento di identità.
Ora, potrebbe sembrare una cosa logica “accorpare” in un solo oggetto, la CIE, tutte le altre funzionalità, accentrando e “semplificando” una situazione che oggi, per quanto funzionante e largamente utilizzata, può apparire inutilmente complessa.
Sarebbe un errore; si tratta di una falsa semplificazione che, come tutte le soluzioni semplici di problemi complessi, è sbagliata. Cerchiamo di capire perché.
Chiunque abbia operato professionalmente nell’informatica sa perfettamente che la centralizzazione di qualsiasi cosa, se non fatta con estrema cura e professionalità e senza badare a spese, porta a vulnerabilità pericolose e potenziali, nuovi e gravi disservizi.
La storia recente ed anche meno, dell’informatica nella pubblica amministrazione ci ha insegnato che il collasso di un intero sistema è cosa non potenziale ma reale, ed anche molto frequente.
Sistemi separati, quando cadono, tirano giù “solo” la loro funzionalità, senza compromettere tutti gli altri servizi. Se poi sono stati realizzati ridondati o federati, come la tanto vituperata ma ben progettata SPID, riescono a mantenere la propria funzionalità almeno in parte.
Cosa succederebbe invece se un ipotetico sistema “tuttologico”, che fornisca firma, credenziali, autenticazione ed identità avesse un problema bloccante? E se, in questi tempi di guerra, questo problema bloccante fosse un atto criminale, oppure addirittura ostile?
Questo lungo antefatto ci è servito solo per arrivare finalmente alla cronaca di oggi.
Nel giro di pochi mesi, si è improvvisamente scoperto che la SPID è un sistema bacato e pericoloso, malgrado che 30 milioni di italiani la utilizzino quotidianamente al posto del più famoso e meno sicuro “1234”, e che sia praticamente gratuita per le casse dello stato.
Si tratta anche qui di una notizia errata. Il rilascio di SPID multiple, quindi di credenziali multiple, non rappresenta di per sé un pericolo, anzi può essere utile per compartimentare le attività di una persona, separando ad esempio il privato ed il lavoro.
Il problema del rilascio di SPID ad impersonatori dipende invece dalle procedure di identificazione, che devono essere efficaci, che sono normate puntualmente e su cui lo Stato, per suo stesso regolamento, deve vigilare.
Contemporaneamente si è “scoperto” che la CIE può essere utilizzata, oltre che come documento di identità, anche come firma elettronica di tipo intermedio, e come credenziale di accesso.
Improvvisamente l’esecutivo, con un inusuale atto di decisionismo tecnologico, annunciato pubblicamente e ripetutamente, ha deciso di dismettere quello che è stato realizzato solo pochi anni fa e funziona, sostituendolo con qualcosa di ancora indefinito, di cui sappiamo solo che si appoggerà alla CIE, tutto da realizzare e far adottare, ricominciando da capo un storia dolorosa, ma che era stata finalmente conclusa.
A Cassandra è venuta in mente la storiella dei frati che fecero pipì sulle mele piccole e brutte del loro albero, perché erano certi che ne sarebbero arrivate altre grandi e bellissime, e che quando queste non arrivarono dovettero mangiarsi quelle piccole e brutte.
Ecco, sembra proprio la storia della SPID, che una campagna di stampa poco informata, se non addirittura strumentale, ha definito “troppo complessa e poco sicura”, raccontando che sarà presto sostituita dalla CIE inattaccabile e potente.
In tutto questo, cosa mai potrebbe andare storto?
Ci sono (purtroppo) altre chiavi di lettura che possono spiegare una vicenda apparentemente insensata sia tecnicamente che amministrativamente, riunirla all’improvvisa ed ineludibile necessità del pornocontrollo di stato, anzi a a livello europeo, e spiegare razionalmente tutto quanto.
Bastano due concetti chiave “centralizzazione dei dati” e “tecnocontrollo dei cittadini” per disegnare un panorama, anzi un vero progetto di controllo sociale, in cui la inspiegabile dimissione della SPID in favore della CIE diventa un elemento logico, razionale e necessario.
Infatti, se quello che si vuole ottenere è centralizzare il più possibile la gestione dei dati e degli accessi dei cittadini, con la conseguente possibilità di monitorare il loro operato, ed aprendo a teoriche ma terrificanti possibilità come quella di revocare completamente qualsiasi autorizzazione ad un individuo, allora sostituire un sistema federato e decentralizzato come la SPID con una gestione centralizzata, e dipendente da un documento emesso dallo Stato, è esattamente quello che serve. [...]
Dato il panorama “digitale” di oggi, di cui fa parte sostanziale l’indifferenza del pubblico, non c’è davvero di che essere ottimisti.
Cassandra Crossing 627/ Dal pornocontrollo al tecnocontrollo
L’identificazione della maggiore età dei fruitori del porno inizia a diventare legge senza che questo abbia creato reazioni significative. La SPID è stata dichiarata defunta dall’esecutivo, per essere sostituita dalla CIE. Sono fatti correlati tra loro? Certamente sono cattive notizie per i diritti civili digitali.
L’identificazione della maggiore età dei fruitori del porno inizia a diventare legge senza che questo abbia creato reazioni significative. La SPID è stata dichiarata defunta dall'esecutivo, per essere sostituita dalla CIE.
