Italia
“Su internet nessuno sa che sei un cane“. Questa vecchia vignetta rappresenta la migliore illustrazione di uno dei limiti del web, l’impossibilità di associare con certezza una “identità” (insomma una persona) ad un utente internet.
La certezza di un (relativo) anonimato rappresenta una delle ragioni dello straordinario sviluppo del web come mezzo di espressione, ma è anche il perchè tutta una serie di attività non “migrano” al mondo virtuale, ma rimangono coriacemente ancorate al mondo reale, con una enorme perdita di potenziali benefici.
O almeno questa è l’idea che da anni mantiene in vita, nonostante costi (almeno 20 moltiplicato per il numero di cittadini…) e ripetuti fallimenti, l’idea della carta di identità elettronica.
La carta di identità elettronica permette di operare su internet significando alla controparte la nostra vera identità in modo certo.
In pratica, il mio user “è sicuramente me” e quindi può fare sulla rete (in modo riconosciuto dalla legge) quello che io posso fare nel mondo reale – ad esempio firmare contratti o prendere obbligazioni importanti.
L'”identità” dello user è molto diversa dalla sua “autenticazione”, anche se le due cose vengono a volte confuse perchè entrambe possono avere a che fare con i concetti di “certificato” e di “chiave”.
Il metodo di autenticazione è semplicemente il meccanismo con il quale si fa in modo che solo chi è in possesso di una certa credenziale può accedere a determinati servizi ma, di per sé, non dice nulla sulla identità della persona che sta dietro alla credenziale.
Io posso scaricare (in generale gratuitamente) un certificato, associarlo ad uno user di fantasia ed utilizzare il certificato per autenticarmi ai (pochi) servizi che accettano questo metodo di accesso. Ma non potrò effettuare transazioni per le quali la controparte ha bisogno di essere certa che “io sono io”.
La mia banca, per la quale il problema della certezza dell’identità dell’utente è primordiale, magari mi lascerà accedere al mio conto con una semplice password (un metodo di autenticazione teoricamente più “debole” ma molto più pratico del certificato) ma farà in modo da consegnarmi la password “brevi manu” (o tramite raccomandata) per essere certa che “proprio io” acceda al conto.
Nonostante la letteratura copiosa di senso contrario, raggiungere un adeguato livello di sicurezza nel metodo di autenticazione è cosa (relativamente) facile e poco costosa.
La prova sta nei 20 miliardi di dollari di fatturato di Amazon, nel successo di eBay, di Paypal, di Easyjet, e di tutti gli infiniti business che non esisterebbero se il pagamento online non funzionasse il 99% delle volte. L’1% circa di tasso di frode, tra l’altro in netto miglioramento nel corso degli ultimi anni, è un “cost of doing business” e non cambia significativamente i termini della questione.
Raggiungere un livello ragionevolmente elevato di certezza della identità dell’utente è invece cosa estremamente complessa. Per ora gli unici ad esserci riusciti sono le banche.
In Finlandia dopo aver provato, con scarso successo, a lanciare una carta di identità elettronica, hanno deciso che era meglio “riutilizzare” il sistema di identità delle banche per fornire anche altri servizi “identity-based“.
Ad esempio, le Poste finlandesi hanno appena lanciato un servizio gratuito che consente di ricevere per via elettronica tutta una serie di lettere (bollette, cedolini, comunicazioni amministrative,…) che altrimenti arriverebbero per posta.
Per chi riceve, il vantaggio è di rendere più semplice e sicura l’archiviazione (e eventualmente la distruzione) di questi documenti. È anche possibile utilizzare il servizio per inviare comunicazioni amministrative alle pubbliche autorità. Niente più raccomandate o code agli uffici!
Chi invia spende meno di spese di spedizione. Le Poste finlandesi ci guadagnano in termini di margini.
Per accedere al servizio, l’utente deve utilizzare l’ID del proprio conto bancario online. Poiché oltre il 75% dei finlandesi ha un conto online, il servizio da subito ha un grande bacino di utenti potenziali.
Offrire lo stesso servizio utilizzando la carta di identità elettronica (o, perchè no, un bel conto di Poste Elettronica Certificata…) per identificare il ricevente, oltre ad essere molto più costoso, creerebbe una situazione di “uovo e gallina” difficile da risolvere.
Finché non ci sono servizi, nessuno si prende la briga di richiedere (e imparare a usare) la carta di identità elettronica. Finché nessuno ha la carta di identità elettronica, nessuno si prende la briga di realizzare nuovi servizi.
È vero che la carta di identità elettronica ha il vantaggio che l’identità dello user è certificata dallo Stato (esattamente come una carta di identità di tradizionale) e non “solamente” da una banca.
Ma sarebbe bello se il nuovo Governo, quando prenderà il mano il dossier “riproviamo ancora una volta la carta di identità elettronica”, valuti i meriti di un approccio più pragmatico.
