Frutto di un’ubriacatura per la tecnologia e di una scelta in linea con i processi di compressione delle prerogative dello Stato e dei cittadini a favore di BigTech, SPID e firma digitale dovrebbero essere cancellati, perlomeno nella loro forma attuale. Le polemiche suscitate dall’annuncio del governo di voler cancellare il (modo in cui è attualmente gestito) il sistema pubblico di identità digitale non tengono conto di alcuni “trascurabili” aspetti giuridici che riguardano l’essenza stessa del funzionamento di uno Stato liberale e democratico: l’attestazione dell’identità il potere di identificazione. Questi aspetti sono strettamente collegati al tema della libertà nel manifestare la volontà individuale e dunque anche alle scelte normative in materia di firma digitale. Non è politicamente accettabile né desiderabile trasferire al settore privato queste funzioni essenziali di Andrea Monti – Inizialmente pubblicato su Strategikon – un blog di Italian Tech
Perché SPID va eliminato
Semplificando all’estremo, dal punto di vista giuridico, “identità” significa “chi sono” mentre “identificazione” significa “dimostrare che sono chi dico di essere”. La differenza può apparire sottile, ma è sostanziale. L’identità giuridica si acquisisce con l’iscrizione del neonato all’anagrafe, come atto conclusivo di un processo di controllo continuo che inizia con il parto, segue con l’identificazione del bambino con un braccialetto e continua con il certificato di assistenza al parto. Questa serie continua di eventi garantisce, in linea di principio, la veridicità della dichiarazione dei genitori sull’identità del figlio e dunque l’attribuzione al figlio di una identità univoca giuridicamente rilevante ad ogni effetto di legge.
L’identificazione, invece, passa in primo luogo per l’attribuzione da parte dello Stato di un documento di identità (carta d’identità, passaporto, licenza di porto d’armi). Il documento di identità è una “scorciatoia” che consente alle autorità pubbliche di verificare la corrispondenza fra identità dichiarata e identità giuridica. Chiunque abbia mai stipulato un atto davanti a un notaio lo avrà sentito esordire con la classica frase “sono presenti i signori tizio e caio, della cui identità personale io notaio sono certo”. Tuttavia, come insegnano il Testo unico delle leggi di pubblica sicurezza e il Codice di procedura penale, l’identificazione è un concetto più esteso perché in alcuni casi —tipicamente, appunto l’assenza di documenti di identità— è ammesso il ricorso a metodi antropometrici (impronte digitali, arco dentale) o alla profilazione genetica come nel caso della banca dati nazionale del DNA. È chiaro, quindi, che identità e identificazione sono compiti che possono essere assolti solo ed esclusivamente dallo Stato e che non è —o non sarebbe— concepibile delegare o coinvolgere soggetti privati in un processo di questo genere. È vero che, per esempio, in materia di antiriciclaggio banche, Poste Italiane e professionisti sono tenuti a verificare l’identità del cliente, ma questo accade nell’ambito di un rapporto individuale che produce effetti in un preciso e ristretto ambito.
Viceversa, nel caso dello SPID, i soggetti privati diventano i garanti dell’identificazione personale con effetti giuridici identici a quelli che si ottengono con l’esibizione di un documento di identità rilasciato dallo Stato. Questo, molto semplicemente, non dovrebbe essere possibile perché non significa ricorrere al supporto del settore privato per esercitare una funzione pubblica, ma trasferirla integralmente. Se, dunque, si cancella non il concetto di identificazione remota ma soltanto lo strumento con il quale la si realizza non c’è nulla di strano. Anzi, l’anomalia è proprio avere inizialmente anche solo concepito l’idea di realizzare lo SPID così come lo si è costruito. Ben venga dunque la carta di identità potenziata informaticamente: la CIE, appunto.
Perché cancellare la firma digitale
Un tema analogo, e forse ancora più grave, riguarda la firma digitale e il caso clamoroso della scelta delle autorità francesi di revocare, a partire dal 1 gennaio 2023, l’utilizzabilità di due smart-card causando il rischio che milioni di documenti perdano valore giuridico per via di una errata interpretazione delle norme previste dal Codice dell’amministrazione digitale. L’Organismo di certificazione della sicurezza informatica (OCSI) dell’Agenzia per la cibersicurezza nazionale italiana ha cercato di rimediare all’improvvida scelta delle autorità transalpine comunicando alla Commissione Europea che in Italia le due smart-card francesi sono ritenute valide (ma allora ci si dovrebbe chiedere se erano fondate le preoccupazioni inizialmente espresse sulla sicurezza dei dispositivi in questione).
Se l’intervento dell’OCSI, tuttavia, risolve il problema nell’immediato non cambia i difetti di impianto della normativa sulla firma digitale che, ancora una volta, dipendono dalla scelta politica compiuta una ventina di anni fa di trasferire ai privati non solo il potere di identificazione, ma anche quello di attribuire valore giuridico alla manifestazioni individuali di volontà. Tradotto dal legalese all’Italiano, questo significa che si è passati da un regime nel quale la firma serve soltanto per “collegare” una dichiarazione di volontà al soggetto che la esprime, a una situazione per la quale se chi decide che lo strumento per firmare non va più bene, la volontà del soggetto rischia di diventare irrilevante.
Facciamo un esempio: stipulo un contratto di affitto e lo firmo con una tradizionalissima penna su un altrettanto poco moderno foglio di carta. La firma scolorisce o il documento degrada, ma la volontà delle parti rimane valida: il contratto inteso come accordo fra le parti rimane in piede. Sarà, semmai, una questione di provarne il contenuto se fra proprietario e inquilino sorge un contenzioso, ma è un altro discorso. Il “vetusto” Codice civile stabilisce regole molto moderne e liberali: nella stragrande maggioranza dei casi, le parti regolano i propri rapporti come vogliono, anche con i segnali di fumo. In alcuni casi serve un supporto fisico nel quale “cristallizzare” l’accordo, in altri (l’acquisto di una casa, per esempio) serve anche la presenza del notaio.
Ora, stipuliamo lo stesso contratto con la firma digitale utilizzando i dispositivi di firma gestiti integralmente dai certificatori privati. La prima cosa che balza all’occhio è che con la firma digitale sono necessari un computer, del software, un dispositivo di firma e una connessione internet. Dunque, la possibilità di gestire i propri diritti è condizionata dalla disponibilità (economica, ancora prima che materiale) di strumenti tecnologici controllati da terze parti. Come nel caso della spinta verso l’obbligo di utilizzo di strumenti di pagamento elettronici (invece di creare una valuta elettronica avente corso legale), questo significa privare un soggetto della libertà di esercitare i propri diritti individuali come garantito dalla legge, metterlo “sotto tutela” per ogni singolo atto, e per di più affidando la tutela a entità non statali.
Sintetizzando, siamo passati da una sistema nel quale il perno è la volontà della persona, a un sistema nel quale la volontà della persona è sottoposta alle decisioni di chi controlla le infrastrutture tecnologiche che consentono di manifestarla. Questa condizione, già grave di per sé, peggiorerebbe se si affermasse la bizzarra interpretazione della normativa che circola da un po’ in base alla quale se scade un certificato digitale usato per firmare, la firma perde valore retroattivamente. Saremmo infatti arrivati all’assurdo che lo strumento (il dispositivo di firma) condiziona l’esercizio di un diritto. Questo equivarrebbe ad autorizzare per legge l’uso di un inchiostro autocancellante e stabilire che una volta scomparsa la firma, anche il documento al quale era stata apposta non vale più niente. Il Codice dell’amministrazione digitale non dice una cosa del genere, ma questo non ha impedito il propagarsi di una narrativa basata, per l’ennesima volta, su un principio di precauzione costruito sulla irrazionale fascinazione tecnologica che oggi porta a parlare di “diritto del metaverso”, di “leggi della robotica” e “regolamentazione dell’AI”.
Superare SPID e firma digitale
Invece di ostinarci a tenere in vita uno strumento, la firma digitale, superata dai tempi, dovremmo porci il problema di come liberarcene il più in fretta possibile per dare spazio a quello che oggi abbiamo a disposizione grazie alla oramai ubiqua presenza di servizi pubblici e privati che funzionano usando database.
Carta e penna sono stati a lungo gli strumenti tecnologici più efficaci per documentare la manifestazione di volontà e per attribuirla ad un individuo. La depersonalizzazione dei rapporti (nel senso di stipulazione di contratti tramite gli eredi dei distributori automatici —le piattaforme) e la loro decontestualizzazione spazio-temporale (nel senso di conclusione di accordi a distanza e in modo asincrono) rendono necessario superare il concetto stesso di “documento” e di “firma”.
Sempre più spesso, da un acquisto in e-commerce, alla disposizione di un pagamento all’interazione con i servizi pubblici il “documento” e la “firma” non esistono oppure sono soltanto un epifenomeno —una pagina web di conferma della transazione o, nella migliore delle ipotesi, una email di conferma. Tutto si riduce, infatti, nel compilare campi di database i cui record vengono fenomenicamente presentati in forma di documento, ma che non lo sono. In termini sostanziali, dunque, ciò che conta è identificare con valore giuridico pieno il soggetto (e a questo ci pensa la CIE) ed essere sicuri che i dati che inserisce nel sistema di turno siano corretti e trattati correttamente (e a questo ci pensa il regolamento sulla protezione dei dati personali che, con buona pace di chi lo immagina “a tutela della privacy”, impone di garantire attendibilità e integrità dei dati).
In questo ecosistema, operativo già ora, perde anche senso tutto il costrutto teorico basato sul concetto di “documento”, “forma scritta” e “scrittura privata” che la normativa sulla firma digitale, pensata con lo sguardo rivolto verso il secolo scorso, ha cercato grossolanamente di applicare. Se, dunque, oltre a far rientrare l’identificazione individuale nell’alveo del controllo pubblico si eliminasse in radice il concetto di “documento informatico” e tutto quello che implica, si potrebbe realmente compiere un altro piccolo passo verso maggiori livelli di efficienza.
Rimane, tuttavia, un nodo da sciogliere ma che, con buona probabilità, rimarrà intatto: l’ingombrante presenza delle tecnologie dell’informazione che diventano lo strumento indispensabile per l’esercizio di qualsiasi diritto. Da un lato, è sempre più inaccettabile che siano nelle mani di soggetti privati. Dall’altro, è drammaticamente urgente che lo Stato impedisca il progressivo soggiogamento dei cittadini alla schiavitù elettronica.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte