L’esperienza quotidiana ci indica che la Carta d’Identità Elettronica (CIE) è uno strumento che si sta fisiologicamente diffondendo (alla data dell’8 maggio 2019 sono state emesse 9.232.926 CIE – dato del Ministero dell’Interno) ma ancora è poco conosciuta in alcune sue caratteristiche di base e ancor meno sui possibili utilizzi. Quest’ultimo aspetto è valido anche per le imprese che invece potrebbero offrire al mercato strumenti hardware e software di supporto per favorire l’utilizzo di uno strumento di identità con affidabilità al massimo livello possibile.
E’ emblematico che il Piano triennale per l’informatica nella pubblica amministrazione 2019-2021 dedichi un capitolo anche alla Cie.
Il Piano triennale descrive scenari operativi interni alla pubblica amministrazione con una responsabilità di AgID solo su alcuni aspetti. In particolare AgID ha attivato le procedure comunitarie per il riconoscimento della CIE come strumento di identificazione elettronica. La procedura segue l’attività già completata per lo SPID. Quindi la CIE si affiancherà tra qualche mese allo SPID per garantire l’accesso a servizi in rete erogati dagli Stati membri.
In questo senso è stata sviluppata ed è in arrivo una App per Android (dell’Istituto Poligrafico e Zecca dello Stato) che consente di sfruttare gli smartphone compatibili (sono pochi e datati quelli non compatibili) per utilizzare il telefono come lettore della CIE al fine dell’utilizzo come strumento per il controllo d’accesso ai servizi.
Le caratteristiche “elettroniche” della CIE
Ma la CIE offre numerose possibilità di utilizzo che descriviamo di seguito. Prima è però utile una breve descrizione delle caratteristiche “elettroniche” della CIE, che è una smart card anche se il chip è invisibile in quanto interno al supporto plastico.
L’interfaccia di lettura della CIE è un circuito a radiofrequenza che è funzionalmente identico a quello delle moderne carte di credito e che consente di interagire con i dati contenuti nella memoria del microchip.
La filosofia funzionale e la conseguente architettura di riferimento è la stessa del Passaporto elettronico (che è un MRTD – Machine Readable Travel Document) a parte ovviamente le dimensioni fisiche. La CIE ha le stesse dimensioni di una carta di credito.
Tutti i possibili usi della Cie per servizi pubblici e privati
Abbiamo già detto dell’utilizzo della CIE nell’ambito di schemi comunitari di identificazione elettronica; ma la CIE è uno strumento con numerose potenzialità nella vita quotidiana. Le strutture operative (reception alberghiere, ingressi in aziende, attività finanziarie e assicurative, gioco on line, accesso a servizi per minori, ecc.) possono utilizzare la CIE con lettori a basso costo, con applicativi integrati nelle applicazioni aziendali già presenti per leggere i dati della carta e memorizzarli nel proprio sistema senza rischi di errori.
Il titolare della CIE non deve ricordare il PIN che viene rilasciato insieme ad essa, perché per accedere ai dati “pubblici” del documento di identità è sufficiente disporre del CAN (stampato sulla carta).
Tutto ciò è conforme agli standard internazionali ed è importante ricordare che la lettura dei dati anagrafici e della fotografia è consentita solo a chi può leggere fisicamente quanto stampato sul documento. Questa operazione è consentita solo mediante una chiave d’accesso stampata sulla Carta (nel CAN – Card Access Number, 6 caratteri in formato OCR-B).
Nella CIE sono memorizzate le immagini di due impronte digitali (un dito per ciascuna mano), peraltro l’accesso ad esse è permesso solo a chi può leggere i dati stampati sul supporto plastico ed è anche in possesso di specifiche autorizzazioni rilasciate dal Ministero dell’Interno alla Forze di Polizia.
Per quanto descritto non è possibile che un dispositivo legga i dati personali all’insaputa del titolare.
La tecnologia mediante la quale la CIE opera è tale da garantire che la conversazione tra la Carta e il lettore è cifrata con delle chiavi che vengono cambiate ad ogni sessione in conformità agli standard di riferimento. Questa circostanza rende impossibile intercettare in modo utile la comunicazione per leggere i dati dalla CIE.
L’utilizzo delle impronte memorizzate per identificazione biometrica del titolare non è realizzabile in quanto l’architettura funzionale della CIE non è stata progettata per questo scopo.
La CIE viene rilasciata anche con un PIN che è utilizzabile per le operazioni di identificazione elettronica in rete (per utilizzare le credenziali di autenticazione installate nella CIE).
Già adesso è possibile utilizzare la CIE per l’identificazione da remoto ai fini del rilascio delle credenziali SPID.
Con il rilascio gratuito dell’app per Android sviluppata dall’Istituto Poligrafico e Zecca dello Stato sarà possibile usufruire di servizi in rete (anche comunitari con il completamento delle operazioni di mutuo riconoscimento tra Stati membri come stabilito nel regolamento europeo 910/2014 – eIDAS). In una fase successiva la CIE potrebbe diventare una credenziale di livello 3 nell’ambito dell’architettura di SPID.
Analizzando i dati di emissione della CIE, a fronte di una copertura vicinissima al completamento con 23 comuni mancanti e il 98,7% della popolazione residente, si ha evidenza dell’importanza che questo strumento ha per l’utilizzo da parte dei cittadini dei servizi in rete o di sportello sia pubblici che privati.
Abbiamo già scritto delle necessità di coordinamento tra SPID e CIE, delle incertezze del futuro della Carta Nazionale dei Servizi strettamente collegata alla Tessera Sanitaria (TS-CNS).
L’anello di congiunzione tra cittadino e servizi pubblici e privati
In ogni caso la CIE, che nasce come strumento per l’identificazione a vista della persona, in sostituzione del documento cartaceo, ha tutte le potenzialità per diventare l’anello di congiunzione tra cittadino e servizi pubblici e privati che partono sempre dal riconoscimento del titolare dell’operazione.
Non sarebbe fantascienza utilizzare la CIE anche per il controllo presenze visto che se il badge viene ceduto ai colleghi per le timbrature dei “furbetti del cartellino” con maggiore difficoltà verrebbe ceduta la CIE.
Il legame con lo smartphone può aprire ulteriori scenari in mobilità anche nei settori ad alta innovazione come il cosiddetto fintech (l’innovazione tecnologica per il mondo finanziario) ma anche per la gestione di servizi per i minori come il blocco per il gioco online ma anche per il controllo dei flussi illeciti di denaro che in quest’ultima sede vengono utilizzati.
Concludendo possiamo affermare senza timori che l’identità affidabile, gestita con strumenti ad altissima sicurezza come la CIE è la fondamentale base di partenza per applicare il principio di apertura del regolamento eIDAS
“Instaurare la fiducia negli ambienti online è fondamentale per lo sviluppo economico e sociale. La mancanza di fiducia, dovuta in particolare a una percepita assenza di certezza giuridica, scoraggia i consumatori, le imprese e le autorità pubbliche dall’effettuare transazioni per via elettronica e dall’adottare nuovi servizi” .
La realtà quotidiana poi ci conferma che la password è uno strumento che è troppo debole per il mondo della rete pervasivo, indispensabile e pericoloso anche per i professionisti della sicurezza ICT e quindi da sostituire con strumenti più evoluti e semplici da utilizzare come la CIE.
