Oramai tutti abbiamo avuto a che fare con lo SPID, il Sistema Pubblico di Identità Digitale, o con la propria carta d’identita CIE 3.0, per accedere ai servizi online della Pubblica Amministrazione; nel caso non sapessi ancora di cosa siano questi strumenti, non preoccuparti, qui puoi trovare un articolo dedicato per stare al passo.
Quando è nato il sistema SPID erano già emersi dubbi e criticità relativi a sicurezza e sorveglianza; le vecchie e classiche credenziali con nome utente e password sono scomparse senza che ce ne accorgessimo per lasciargli spazio. Ed oggi più che mai queste problematiche si ripresentano, in modo ancor più serio, poiché con il 2025 ci stiamo preparando al superamento dello SPID che, a poco a poco, verrà totalmente rimpiazzato dal già preeistente IT Wallet come già era accaduto con il sistema più obsoleto.
L’idea di questa transizione, che ovviamente avverrà gradualmente, è quella di centralizzare all’interno di un portafoglio digitale tutte le identità digitali (Carta dei Servizi Nazionali o CNS, Carta d’Identità elettronica o CIE, Tessera Sanitaria, patente) ed i documenti personali e professionali in un unico spazio snellendo e, apparentemente, migliorando l’accesso ai servizi pubblici.
Per quanto riguarda la sicurezza di IT Wallet il suo accesso sarà sicuramente comodo e snello utilizzando la crittografia biometrica (impronte digitali, analisi del volto) ed hardware e l’autenticazione multi-fattore (con il potenziale uso di un PIN per esempio).
È importante sottolineare come il tema dell’identità digitale sia il nucleo di attivazione di profondi e sostanziali cambiamenti influenzati da fattori normativi, tecnologici e geopolitici.
Ci stiamo, quindi, lentamente spostando verso un nuovo scenario che non solo ci porterà ad utilizzare l’IT Wallet italiano, ma aprirà la via all’EUDI Wallet europeo, un portafoglio digitale europeo (già introdotto dal nuovo regolamento dell’Unione Europea sull’identità digitale eIDAS 2.0), che ci permetterà di accedere a tutti i servizi all’interno dell’UE. Questo utilizzerà, per il periodo di transizione, l’eIDAS Bridge, i protocolli Verifiable Credentials (VC) e Decentralized Identifiers (DID) che gli permetteranno di accedere e garantire l’interoperabilità tra sé ed il sistema SPID/CIE 3.0 destinato, poi, a dileguarsi.
| Fase | Descrizione | Periodo previsto |
| Fase 1 | Adozione volontaria del Wallet in parallelo a SPID | 2025-2026 |
| Fase 2 | Integrazione SPID e CIE con EUDI Wallet (via eIDAS Bridge) | 2026-2027 |
| Fase 3 | Disattivazione progressiva di SPID, solo Wallet attivo | Dopo il 2027 |
Il rischio sostanziale introdotto da questo panorama è la stessa centralizzazione dell’identità digitale e delle informazioni personali che ora andremo ad approfondire.
Oggi siamo abituati alla sorveglianza come lo stesso uso quotidiano degli smartphone e delle applicazioni, le carte di pagamento accessibili direttamente dal cellulare, ci hanno fatto abbassare la guardia, film come “The Truman Show” o libri come “1984” di George Orwell ci sembrano quasi scontati e noiosi, sappiamo che siamo diretti verso quella strada e poco ci importa: l’uomo è pigro e se gli si crea la possibilità di esserlo ulteriormente, anche a costo della propria libertà, non ci pensa due volte. Ne abbiamo avuto già un assaggio ed una prova generale con il Green Pass, dopotutto. Posso anche scommettere che, almeno una volta nella tua vita, alzando le spalle, tu abbia risposto a qualcuno “Sì, vabbeh, ma tanto già ci controllano in tutto”. Così il monitoraggio continuo dei nostri spostamenti (geolocalizzazione), la registrazione dei nostri contatti ed i controlli digitali sono stati nel tempo normalizzati dal sistema, e stanno diventando “invisibili” ai nostri occhi. Anzi, siamo arrivati a pensare che la percezione, non effettivamente reale, di una sicurezza e di una convenienza siano più importanti della nostra libertà e della nostra privacy.
Quindi il rischio lo sappiamo tutti, lo stiamo correndo e ci andrà bene così perché, purtroppo, se la maggioranza di noi inizia ad utilizzare il servizio e se lo stesso viene permesso solo attraverso tale tipo di applicazione, tutti alla fine saremo costretti a farlo e non potremo più tornare indietro.
La nostra profilazione comportamentale e dei servizi che utilizziamo, che essi siano pubblici o privati, sarà accessibile anche all’estero e senza adeguate normative gli stessi governi potranno approfittarne per implementare un controllo sociale molto più mirato e soffocante.
Ma non solo, ricordiamoci che creando una rete dati in un dato senso centralizzata e bella cicciotta, con l’accesso ai documenti personali della popolazione, non di una sola nazione, ma di più governi, la fuga di informazione e gli attacchi hacker sono dietro l’angolo: diventerà quasi un divertimento ed una sfida cercare di entrare e rubare tutti quei grassi e sfiziosi dati. E quindi assisteremo a continui attacchi hacker su larga scala, data breach che comprometteranno l’identità di milioni di persone (non solo quelle disattente o poco avezze all’uso dei nuovi strumenti digitali), attacchi ransomware sui sistemi pubblici, e chi ne ha più ne metta. Possiamo fare un esempio pratico della dimostrazione di un attacco hacker effettuato dal gruppo hacker LulzSec all’Ospedale San Raffaele di Milano, risalente ancora a maggio 2020, (ne sono e ne continuano ad avvenire altri nel mondo) in cui pare sia stato possibile, per il gruppo hacker, accedere alle cartelle cliniche, complete di analisi e referti, dei pazienti; pensa se con il nuovo sistema avessero potuto accedere a tutto il resto come conti bancari, identità, spostamenti.
| Scenario | Caratteristiche | Rischi |
| Centralizzazione UE | EUDI Wallet obbligatorio, standard comuni europei | Sorveglianza, perdita di autonomia nazionale |
| Modello federato | Attuale SPID, diverse identità digitali interoperabili, ma indipendenti | Complessità tecnica |
| Decentralizzazione radicale | Identità basata su blockchain gestita dall’individuo | Anarchia del sistema, scarsa governance |
QUALI SONO I VERI RISCHI LEGATI ALL’USO DI IT ED EUDI WALLET?
Se ti soffermi sulla domanda che ci stiamo ponendo attualmente, devi pensare alle conseguenze di una profilazione comportamentale estesa: ogni interazione online potrà essere registrata ed associata ad un singolo individuo.
Ciò significa che avrai in una rete dati unica e decentralizzata (cioè in cui tu stesso puoi gestire i tuoi dati direttamente scegliendo con chi condividerli, ma anche centralizzata poiché tutti i servizi che possono vedere i tuoi dati sono collegati al sistema) tutto il tuo storico medico, l’accesso ai servizi sanitari, l’uso dei trasporti digitalizzati, il tracciamento dei tuo spostamenti, i tuoi pagamenti elettronici, le tue abitudini di consumo. Al momento questa situazione è presente, ma non a livello così esteso: i dati si trovano in diverse piattaforme non comunicanti e che, quindi, non possono scambiarsi facilmente le informazioni. Non è ancora presente un nostro profilo dettagliato che permetta al nostro governo, o a più governi di generare una discriminazione algoritmica o una sorveglianza predittiva assegnando un punteggio sociale in larga scala. Ti faccio un esempio pratico: un comune decide di mettere i bidoni per l’immondizia utilizzabili solamente con la tessera sanitaria (sono già stati attivati degli esperimenti, in questo senso, in alcune aree comunali italiane giudicate critiche), ad ogni utilizzo i bidoni calcolano e monitorano quali e quanti rifiuti butti assegnandoti un punteggio che, eventualmente, andrà ad incidere sulla tassa annuale da pagare; oppure possiamo ipotizzare che in futuro non ti permetterà di buttare più rifiuti perché avrai superato il limite a te concesso, oppure ancora ti toglierà la possibilità di accedere ad altri servizi; ma questo ora è attuabile solo all’interno di un comune, pensa se tutti i dati fossero messi in una rete dati unica e potessero essere visti facilmente da tutti i comuni italiani e persino esteri, se questo tipo di controllo permettesse qualsiasi tipo di discriminazione a seconda di chi si trova in quel momento al potere, quale sarebbe la conseguenza?
Questo potrebbe essere usato anche per il controllo delle opinioni politiche, per limitare manifestazioni, spostamenti da una città all’altra, attività online facendoci perdere – paradossalmente senza una nostra resistenza – i nostri diritti civili e la democrazia liberale che, sebbene ce ne lamentiamo per la limitatezza, in qualche modo è ancora presente. La censura, già silenziosa e presente, diventerebbe un problema ulteriormente serio in Europa in nome della falsa sicurezza che ci promettono.
Inoltre, potrebbero prospettarsi dei meccanismi di consenso poco trasparenti, una reale difficoltà a revocare l’accesso od a sapere chi ha consultato i nostri dati; l’obbligo di condividere informazioni personali per accedere a servizi essenziali (come accade già con i cookie di alcuni siti che non contemplano l’opzione di rifiuto).
L’individuo in questo modo rischierebbe di trasformarsi un oggetto passivo dell’infrastruttura digitale perdendo il suo status di soggetto attivo dal potere decisionale.
CONCLUSIONI
Questo panorama sottolinea ancora una volta il delicato e sottile equilibrio tra diritti digitali, innovazione e sorveglianza. Vi è quindi la necessità della partecipazione attiva dei cittadini stessi, delle aziende e delle istituzioni al dibattito ed alla ricerca per l’ottenimento di maggiore trasparenza, anonimato selettivo (come per esempio garantire la rivelazione dei soli dati strettamente necessari come “over 18” anziché la data di nascita completa) e la richiesta di implementare un completo controllo da parte dell’utente sui propri dati, ovvero il Self-Sovereign Identity (SSI) dove l’utente è colui che controlla direttamente le proprie credenziali, e già pianificato dall’Unione Europea, senza però la necessità di un archivio centralizzato.
Ma infine, dobbiamo ancora e nuovamente sforzarci e chiederci fino a che punto possiamo ritenere accettabile il sacrificio della nostra privacy in nome della sicurezza e dell’efficienza?
Lascia un commento