Jei - Jus e Internet

Il primo organo di informazione giuridica su internet per gli operatori del diritto - in linea dal 1996

Carta d'identità elettronica e carta nazionale dei servizi

Scritto da Francesca Orlandi

Se volessimo qualificare la nostra epoca potremmo definirla l'era di Internet e della telematica, epoca in cui le lettere sono state soppiantate dalla posta elettronica e la comunicazione telefonica avviene spesso non più oralmente, ma tramite messaggi inviati sul telefono cellulare (SMS).
La parola d'ordine oggi è velocità ed un aiuto in questo senso ci viene dato soprattutto dall'elettronica, che tramite i suoi ingegnosi strumenti è in grado di fornirci non solo comunicazioni tempestive e contatti in tempo reale, ma anche la garanzia che questo scambio quotidiano di informazioni avvenga attraverso canali sicuri, nel rispetto della privacy e della certezza delle comunicazioni. La rapidità della informazione, infatti, deve essere accompagnata dalla sicurezza che l'informazione stessa non possa essere intercettata, creata o manipolata fraudolentemente.
Recentemente, in Italia, abbiamo assistito al sorgere della cd. firma digitale (il risultato di un procedimento matematico di crittografia) e, con essa, del documento elettronico; abbiamo una normativa, in proposito, che riconosce al documento su supporto informatico lo stesso valore giuridico del tradizionale documento cartaceo (Dpr 445/2000, D.Lgs. 10/2002) rivoluzionando, così, non soltanto il mondo dei rapporti giuridici tra privati, ma anche e soprattutto quello della Pubblica Amministrazione e dei suoi rapporti con i cittadini.
In questo panorama di importanti innovazioni si colloca anche la sostituzione della vecchia carta d'identità con un nuovo documento elettronico cui è riconosciuta la stessa validità giuridica: la carta d'identità elettronica, appunto.

La carta d'identità elettronica

Disciplinata nei suoi elementi principali dal DPCM 437/1999 e richiamata nel Testo Unico in materia di documentazione amministrativa (DPR 445/2000), la nuova carta per l'identificazione è definita dal legislatore 'il documento di riconoscimento personale rilasciato dal comune su supporto informatico'.
Data la particolarità del supporto, la carta potrà contenere oltre alla foto e ai dati anagrafici del titolare , anche il codice fiscale, il gruppo sanguigno, le opzioni di carattere sanitario previste dalla legge, i dati desunti dalle liste elettorali, compresi quelli necessari per la certificazione elettorale e tutti gli altri dati utili al fine di razionalizzare e semplificare l'azione amministrativa e i servizi resi al cittadino. Il tutto, naturalmente, nel rispetto della normativa in materia di riservatezza.
La nuova carta d'identità, inoltre, (così come il documento d'identità elettronico, rilasciato ai minori di anni 15) potrà contenere anche le procedure informatiche e le informazioni che possono o debbono essere conosciute dalla pubblica amministrazione e da altri soggetti, necessarie per la firma elettronica (art. 36 del DPR 445/2000, così come modificato dal D.Lgs. 10/2002), consentendo così l'utilizzo della card per firmare 'elettronicamente' i documenti informatici.
Da quanto fin qui illustrato, è chiaro che i vantaggi di questa nuova carta, una volta in circolazione, saranno molti e notevoli: i cittadini potranno dialogare con la P.A. via Internet e sarà possibile inviare domande e svolgere pratiche direttamente da casa o dall'ufficio con il computer, senza fare più code agli sportelli e senza dover allegare certificati: tra le altre novità del Dpr 445/2000, infatti, vi è anche il rafforzamento dell'autocertificazione e, comunque, la carta d'identità elettronica, che contiene notizie circa la nascita, la cittadinanza, la residenza e il codice fiscale del titolare, potrà sostituire i relativi certificati o autocertificazioni. La carta d'identità elettronica potrà poi essere utilizzata anche per il trasferimento elettronico dei pagamenti tra soggetti privati e pubbliche amministrazioni, a seguito di apposite intese tra il comune interessato e l'intermediario incaricato di effettuare il pagamento (art. 36 DPR 445/2000).
In poche parole, una volta terminata la realizzazione della Rete Unitaria della P.A. e, cioè, della rete telematica che collegherà tutte le amministrazioni tra loro, sarà possibile per il cittadino interagire direttamente e velocemente con l'amministrazione pubblica certificando la propria identità con la carta elettronica e utilizzando la stessa per usufruire degli ulteriori servizi cui la carta è abilitata: in alcuni Comuni dove la sperimentazione è già stata avviata, ad esempio, la carta può essere usata per iscrivere i propri bambini a scuola, senza bisogno di spostarsi da casa, semplicemente collegandosi on line.
Il nuovo documento, in definitiva, costituirà uno strumento che oltre a certificare la nostra identità sarà in grado di fornire informazioni ulteriori e servizi accessori importanti nella vita di ogni giorno. Si comprende, di conseguenza, come sia indispensabile garantire un certo grado di sicurezza della carta rendendola difficilmente riproducibile e falsificabile, se non con sofisticate e costose tecnologie.
A questo fine è stato delegato al Ministero dell'Interno il compito di dettare con decreto, sentite l'Autorità per l'informatica nella pubblica amministrazione, il Garante per la protezione dei dati personali e la Conferenza Stato-città ed autonomie locali, le regole tecniche e di sicurezza relative alle tecnologie e ai materiali da utilizzare per la produzione delle carte di identità (e dei documenti di riconoscimento) e si è stabilito che dette regole siano adeguate con cadenza almeno biennale, data la continua evoluzione delle conoscenze scientifiche e tecnologiche.
Con il D.M. 19 luglio 2000 del Ministro dell'Interno si è individuato come supporto fisico della carta una tessera di plastica, stampata con le tecniche tipiche della produzione di carte valori e dotata di elementi fisici di sicurezza (ad es., l'olografia) idonei a consentire un controllo anche visivo dell'autenticità del documento, oltre che per mezzo di strumenti portatili e di laboratorio. E' previsto poi che la carta sia dotata di una banda ottica per la memorizzazione dei dati con modalità informatiche di sicurezza, nonché di un microprocessore per le procedure di identificazione in rete del titolare del documento e per la memorizzazione della carta-servizi (costituita dall'insieme dei dati identificativi del soggetto -con esclusione della fotografia e della firma- e di alcune informazioni amministrative).
Il decreto del Ministero pone al centro della costruzione della carta d'identità elettronica il 'Sistema di sicurezza del circuito di emissione' (SSCE), gestito dalla Polizia scientifica. Fanno parte del circuito di emissione l'Istituto Poligrafico e zecca dello Stato (IPZS) e tutti i comuni che emettono le carte, i quali dialogano con il SSCE attraverso un'altra struttura, il 'Sistema di accesso e interscambio anagrafico' (SAIA). In sostanza, questi sistemi (SSCE e SAIA) gestiranno, nell'ambito della rispettiva competenza, tutti i dati registrati nelle carte, sia per quanto riguarda la parte anagrafica, sia per i servizi aggiuntivi.
Questo aspetto ha fatto sorgere preoccupazioni in chi ha ravvisato in tale disegno il pericolo che, attraverso l'incrocio delle informazioni sulle abilitazioni e sull'uso di ogni singola carta si possa giungere, nel tempo, ad una illegittima 'schedatura' del cittadino .
Infatti, nonostante sia stato previsto, nel citato D.M., un sistema di cifratura delle informazioni nelle banche dati e diverse misure di sicurezza, si possono notare alcuni punti deboli:
1) la stessa struttura (SSCE) svolge la funzione di archivio dei dati e responsabile dell'applicazione delle misure di sicurezza, mentre sarebbe opportuno, per una tutela maggiore, che l'archivio fosse controllato da una struttura 'terza';
2) i Comuni devono ricevere dallo SSCE sia il software di sicurezza, sia la chiave privata per l'accesso ai dati di propria competenza (art. 5.4.6 dell'allegato B). Viene meno, così, il principio base della sicurezza dei sistemi di crittografia a chiave asimmetrica, che impone la generazione della coppia di chiavi da parte dello stesso titolare;
3) è previsto l'accesso ai dati da parte delle questure, poiché i controlli devono poter essere svolti sul campo da migliaia di agenti delle forze dell'ordine, ma ciò comporta evidenti rischi per la sicurezza del sistema.

E' stato proprio su questi aspetti fondamentali che il processo di creazione della carta d'identità elettronica si è arenato: diverse e contrastanti sono state, infatti, le soluzioni proposte per ovviare al problema della sicurezza del nuovo documento e ad oggi, nonostante sia già stata avviata (dal gennaio 2001) la sperimentazione in diversi Comuni italiani, non si è ancora giunti ad una soluzione pacifica della questione.

 

La carta dei servizi

In attesa di una piena operatività della carta d'identità elettronica, è stata introdotta nel nostro sistema una nuova card su iniziativa del ministro per l'Innovazione tecnologica, d'intesa con il ministro della Funzione pubblica: si tratta della carta nazionale dei servizi.
Tale carta è nominata espressamente nel recentissimo D.Lgs. 10/2002 (artt. 8 e 9), il quale modificando alcuni articoli del T.U. sulla documentazione amministrativa (DPR 445/2000), inserisce detto documento accanto alla carta d'identità elettronica di cui anticiperà di fatto alcune delle funzioni.
In particolare, è stato modificato l'art. 36 del T.U. di modo che anche la carta nazionale dei servizi potrà essere utilizzata ai fini dei pagamenti tra soggetti privati e pubbliche amministrazioni, secondo le modalità stabilite con decreto del Presidente del Consiglio dei Ministri o, per sua delega, del Ministro per l'innovazione e le tecnologie, di concerto con il Ministro dell'economia e delle finanze, sentita la Banca d'Italia.
Mentre ha destato perplessità la modifica all'art. 38 del T.U., tramite la quale le istanze e le dichiarazioni inviate per via telematica alla pubblica amministrazione o ai gestori o esercenti di pubblici servizi sono valide oltre che se sottoscritte mediante firma digitale 'forte' (dotata cioè del massimo grado di sicurezza), anche quando l'autore è identificato dal sistema informatico mediante la carta d'identità elettronica o mediante la carta nazionale dei servizi. Sia nel caso della carta d'identità che in quello della carta dei servizi, infatti, se può essere certa l'identificazione del soggetto agente che invia la dichiarazione o l'istanza, manca ogni certezza sull'inalterabilità del contenuto del documento inviato telematicamente: a differenza di quanto avviene con la firma digitale, infatti, non c'è alcuna garanzia, in questo caso, che il testo del documento non sia stato modificato dopo essere stato trasmesso in rete.
Nella comunicazione del Consiglio dei Ministri n. 31 del 21 dicembre 2001, la carta dei servizi è stata presentata come una versione semplificata della carta d'identità elettronica, con il fine di accelerare la diffusione di quest'ultima e consentire ai soggetti privati di dialogare in rete con tutte le pubbliche amministrazioni avvalendosi di un'unica carta elettronica.
Sostanzialmente la carta dei servizi si differenzia da quella d'identità per il fatto di non essere un documento per il riconoscimento personale parificato a tutti gli effetti all'attuale carta d'identità cartacea, ma sarà utilizzabile comunque per usufruire di numerosi servizi pubblici agevolando il dialogo telematico tra cittadini e pubblica amministrazione: distribuita a tutti i cittadini dai comuni, consentirà, infatti, di accedere a quasi tutti i servizi in rete delle strutture burocratiche centrali, di quelle locali e di società ed enti di pubblica utilità.
Naturalmente, anche per questo tipo di carta è stato previsto che siano emanate regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la sua produzione (con decreto del Ministro dell'interno, del Ministro per l'innovazione e le tecnologie e del Ministro dell'economia e delle finanze) sentiti il Garante per la protezione dei dati personali e la Conferenza Stato-città ed autonomie locali (art. 8 del D.Lgs. 10/2002). E' comunque nei programmi del governo iniziarne la distribuzione, per mezzo dei Comuni italiani, già nel dicembre del 2002 e di aumentare contestualmente i servizi pubblici disponibili in rete, mediante incentivi a Regioni, Province e Comuni.
L'obiettivo finale è quello di creare un sistema nel quale la documentazione amministrativa, le banche-dati, la modulistica delle amministrazioni centrali e periferiche, nonché degli enti di pubblica utilità siano accessibili ai cittadini telematicamente (e, dunque, assai più velocemente) attraverso l'uso della carta nazionale.

La carta nazionale dei servizi e, quando sarà operativa, la carta d'identità elettronica consentiranno di compiere un importantissimo passo avanti verso la creazione di una società informatizzata in cui ogni cittadino sarà in grado di operare rapidamente interagendo con essa. E ciò, ovviamente, attraverso una deburocratizzazione della amministrazione pubblica ed un'adeguata informatizzazione della stessa.
Nonostante il fascino di questa prospettiva, comunque, bisogna stare attenti a non commettere errori che possano aprire la strada a violazioni della tutela dei cittadini e, pertanto, non sottovalutare i punti più delicati del sistema.
In proposito si è espressa anche l'Autorità Garante per la privacy, che ha posto l'accento sui seguenti aspetti:
1) la memorizzazione sulla card di dati ulteriori rispetto a quelli necessari per l'identificazione del titolare: tali dati, infatti, possono essere di grande delicatezza (ad es. i dati sensibili, in particolare quelli relativi alla salute) per cui sarà necessario operare in modo da fornire le massime garanzie ai cittadini affinché l'accesso ai medesimi non avvenga in maniera indiscriminata e senza il consenso dell'interessato;
2) l'accesso da parte di un'amministrazione agli archivi dell'altra: tale accesso, che è necessario affinché si realizzi l'interoperabilità delle amministrazioni, con conseguente semplificazione delle procedure e maggiore rapidità dei servizi informativi al cittadino, dovrà essere regolamentato in modo da prevenire eventuali abusi, magari attribuendo a ciascuno codici di accesso personalizzati e di uso esclusivo del cittadino consenziente .

Nel rispetto di alcune cautele, dunque, appare oggi possibile realizzare finalmente una società a misura di cittadino, in cui egli sia effettivamente in grado di dialogare con il 'sistema': l'utopia sembra sempre più vicina.