La carta d’identità elettronica è una miniera di nuovi rischi per i nostri dati
Di fronte alla rapida ascesa dei sistemi biometrici il Garante ha sempre assunto un atteggiamento particolarmente rigido in quanto spesso le finalità di identificazione, sorveglianza, sicurezza delle transazioni non possono giustificare qualsiasi utilizzazione del corpo umano resa possibile dall’innovazione tecnologica
25 Gennaio 2016
Michele Iaselli, Ministero della Difesa e docente di informatica giuridica presso la LUISS
Come è noto Il Ministero dell’Interno con Decreto del 23 dicembre 2015 pubblicato in G.U. il 30 dicembre 2015 ha disciplinato le modalità tecniche di emissione di una nuova versione della carta d’identità elettronica (CIE). In particolare il provvedimento determina le caratteristiche tecniche della piattaforma e dell’architettura logica dell’infrastruttura, definendo, nello specifico le modalità tecniche di produzione, distribuzione, gestione e supporto all’utilizzo della CIE.
Il supporto fisico della CIE è realizzato con le tecniche tipiche della produzione di carte valori, integrato con un microprocessore per la memorizzazione delle informazioni necessarie per la verifica dell’identità del titolare, inclusi gli elementi biometrici primari e secondari, nonché per l’autenticazione in rete, secondo le caratteristiche tecniche di cui all’allegato B del DM che sono aggiornate con decreto direttoriale del Ministero dell’interno, sentiti l’Agenzia per l’Italia digitale e il Garante per la protezione dei dati personali, e pubblicato sul proprio sito istituzionale.
Il ricorso agli elementi biometrici primari e secondari memorizzati nel microprocessore viene previsto per verificare l’autenticità della CIE e l’identità del titolare attraverso elementi comparativi direttamente disponibili e rappresenta uno degli aspetti di maggiore criticità.
In particolare l’elemento biometrico primario è rappresentato dall’immagine del volto del cittadino richiedente la CIE. Ai fini del rilascio della CIE il Comune o il Consolato esegue una procedura di acquisizione dell’immagine del volto del richiedente a partire da una fotografia cartacea digitalizzata a mezzo scansione elettronica o da un’immagine digitale acquisita secondo le modalità descritte sul Portale. L’immagine digitale ottenuta viene elaborata per consentirne la stampa sul fronte della CIE e la memorizzazione all’interno del microprocessore RF in essa contenuto.
I dati biometrici secondari, da acquisire a mezzo scansione elettronica, sono, invece, costituiti dalle impronte semplici dell’indice destro e dell’indice sinistro del richiedente. In caso di qualità insoddisfacente delle impronte digitali e/o di configurazione alterata degli indici della mano a causa di lesioni, si deve procedere all’acquisizione, di qualità soddisfacente, della prima impronta disponibile del dito medio, anulare o pollice.
L’immagine dell’impronta è:
- raccolta presso il Comune o il Consolato esclusivamente ai fini della sua trasmissione al CP-CIE (centro di produzione della CIE) e quindi non memorizzata in loco;
- inviata al CP-CIE in forma crittografata su canale sicuro cifrando il dato con la chiave pubblica di cifratura del CP-CIE;
- inviata al SSCE attraverso il sistema CIEonLine, in forma crittografata su canale sicuro, cifrando il dato con la chiave pubblica di cifratura del SSCE (sistema di servizi del Centro Nazionale servizi demografici per il circuito di emissione della CIE);
- conservata nella banca dati del CP-CIE e di SSCE solamente per il tempo strettamente necessario alla produzione della CIE;
- memorizzata esclusivamente sul microprocessore RF ai soli fini della verifica dell’identità del titolare della CIE secondo le vigenti disposizioni di legge.
A questo punto ci si domanda quali siano le ragioni che giustifichino l’inserimento di tante criticità dal punto di vista della sicurezza. Si ricorda, difatti, che di fronte alla rapida ascesa dei sistemi biometrici il Garante ha sempre assunto un atteggiamento particolarmente rigido in quanto spesso le finalità di identificazione, sorveglianza, sicurezza delle transazioni non possono giustificare qualsiasi utilizzazione del corpo umano resa possibile dall’innovazione tecnologica.
Vanno garantiti sempre il rispetto della dignità della persona, il rispetto dell’identità personale, il rispetto dei principi di finalità e di proporzionalità ed infine la necessaria attenzione per gli effetti cosiddetti imprevisti o indesiderati e che, invece, spesso sono conseguenze determinate da analisi incomplete o troppo interessate delle tecnologie alle quali si intende ricorrere.
Anche nell’ultimo provvedimento generale in tema di biometria del 12 novembre 2014 di cui fanno parte integrante “Le linee guida in materia di riconoscimento biometrico e firma grafometrica“ il Garante ha inteso fornire un quadro di riferimento unitario sulla cui base i titolari possano orientare le proprie scelte tecnologiche, conformare i trattamenti ai principi di legittimità stabiliti dal Codice, rispettare elevati standard di sicurezza.
L’Autorità ha confermato il principio che l’utilizzo di sistemi biometrici rientra tra i trattamenti che presentano rischi specifici per i diritti e le libertà fondamentali e dovrà essere svolto previa richiesta di verifica preliminare al Garante ai sensi dell’art. 17 del Codice. Attraverso la verifica preliminare, che deve essere presentata dal titolare prima dell’inizio del trattamento, il Garante ha il compito di prescrivere, ove necessario, misure e accorgimenti specifici per consentire il corretto utilizzo di dati così delicati nel contesto del trattamento prospettato.
La stessa Autorità, però, al fine di semplificare il ricorso alla biometria ha individuato nel menzionato provvedimento generale del 12 novembre 2014 alcune specifiche tipologie di trattamenti in relazione alle quali non ritiene necessaria la presentazione della predetta richiesta di verifica preliminare, a condizione che vengano rispettati i presupposti di legittimità contenuti nel Codice e nelle linee-guida e che vengano adottate tutte le misure e gli accorgimenti tecnici descritti nel medesimo provvedimento.
I trattamenti in questione sono:
- autenticazione informatica;
- controllo di accesso fisico ad aree “sensibili” dei soggetti addetti e utilizzo di apparati e macchinari pericolosi;
- uso delle impronte digitali o della topografia della mano a scopi facilitativi;
- sottoscrizione di documenti informatici.
Non si può comunque negare che l’uso generalizzato della biometria, in virtù della delicatezza dei dati oggetto di trattamento, può presentare rischi per gli interessati, con potenziali gravi ripercussioni sulla loro sfera personale, in caso di impropria utilizzazione. E’ necessario pertanto prevedere sempre un’accurata analisi dei rischi.
Sul presupposto, quindi, di quanto sopra affermato, nel caso specifico della carta d’identità elettronica si rimane piuttosto perplessi sulla necessità del ricorso alle tecnologie biometriche (art. 3 del Codice in materia di protezione dei dati personali) in considerazione delle finalità che si intendono raggiungere. Difatti la carta oltre ad essere uno strumento di riconoscimento del cittadino alla stessa stregua di quella cartacea (e su questo è da escludere l’indispensabilità della biometria) vuole essere principalmente uno strumento di identificazione in rete del cittadino al fine di consentire allo stesso di usufruire di determinati servizi on line messi a disposizione dagli enti locali e tale identificazione avviene grazie al certificato personale di sicurezza (di autenticazione e di identificazione) presente all’interno della CIE ed alla digitazione dei relativi codici segreti (PIN, PUK, ecc.). Ergo, in considerazione dei notevoli rischi legati all’uso ed alla conservazione del dato biometrico (anche se a cura del cittadino) rimane, nel caso specifico, il dubbio sollevato a suo tempo da Stefano Rodotà circa le cd. “derive tecnologiche” dovute ad un uso generalizzato e non giustificato di nuove tecnologie particolarmente invasive della sfera privata dell’individuo.