Originariamente pubblicato da Infosec.News
Una pagina pubblicata nel blog di Instagram annuncia l’avvio di un programma per la verifica dell’identità dei titolari di account “sospetti” basata anche sulla richiesta di copie di documenti di identità. Il programma, rassicurano da Instagram (cioè da Facebook), riguarderà un numero limitato di persone e i documenti richiesti agli utenti saranno distrutti dopo trenta giorni senza essere condivisi con nessuno.
L’idea è corretta e, al netto delle preoccupazioni degli esperti di marketing, dovrebbe essere in realtà estesa a chiunque utilizza un servizio a distanza. Potrà anche sembrare antistorico, ma il codice civile ancora prevede che solo i maggiorenni possono compiere atti con valore giuridico. E non basta, come pure si vede spesso, chiedere di “dichiarare di essere maggiorenni” perchè online è necessaria una verifica attiva dell’identità della controparte contrattuale (si, per quanto possa essere uno chock per tanti, usare un social network implica firmare un contratto) a un livello di affidabilità non inferiore a quello che il tabaccaio deve garantire (per legge) quando un “forse minorenne” gli chiede un pacchetto di “bionde”.
Oltre venticinque anni fa – e ne sono testimone diretto – MC-link già chiedeva il documento di identità ai suoi abbonati, per evitare che Dino Sauro potesse utilizzarne abusivamente i servizi, come invece faceva con l’allora Telecom Italia Net.
La scelta di legalità compiuta da MC-link – e anche di questo sono testimone diretto – costò tensioni interne perchè era più difficile, per i reparti commerciali, competere con aziende che non andavano troppo per il sottile. Va ad onore del management dell’epoca avere tenuto duro, anche se rimane l’amaro in bocca nell’avere assistito all’inerzia delle autorità di controllo che per tanto tempo erano voltate da un’altra parte. Il punto, dunque, non è il fatto che molte aziende avevano clienti come Dino Sauro, ma che nessuno dei controllori abbia mai mosso un dito su questo tema. Non si può pretendere per legge l’onestà, ma si deve esigere che le autorità perseguano chi non rispetta le regole.
Torniamo, facendo avanzare velocemente la pellicola, ai tempi di oggi: ha senso chiedere delle copie di “pezzi di carta” molto più facilmente falsificabili di quanto fosse venticinque anni fa, oppure sarebbe più corretto (e funzionale) utilizzare dei documenti di identità digitali (CNS, SPID) standardizzati che risolvono il problema alla base?
La risposta ha due corni. Il primo, riguarda il tema del controllo sull’identità: nessun social network rinuncerà mai al proprio ruolo di identity gateway verso altri servizi tramite le API di social login. Quindi un sistema di garanzia dell’identità gestito da quelle fastidiose e inutili entità chiamate Stati non sarebbe accettabile.
Il secondo corno della risposta (collegato logicamente alla precedente) è il tema della sovranità statale su dati e identità personale. Nessuno mette in discussione che il Comune rilasci la carta di identità e che la carta di identità abbia la funzione legale di certificare che siamo chi diciamo di essere.
Non si capisce, dunque, perché, quando si passa ai servizi a distanza, si ricorre a metodi meno affidabili e più farraginosi, piuttosto che all’equivalente digitale della carta di identità.
O meglio, si capisce benissimo: usare SPID (con tutte le sue limitazioni) o strumenti analoghi priva i “signori dei dati” di una parte consistentissima delle informazioni che quotidianamente ammassano su ciascuno di noi, e questo non è tollerabile.
Sembra che la questione del cloud di Stato il governo abbia “scoperto” il tema dell’identità digitale e della schiavitù elettronica, che peraltro gli era stato segnalato già dal 1999 .
C’è da sperare che, seppur con venti anni di ritardo, questa sia la volta buona per affermare il principio della sovranità dello Stato sulla certificazione dell’identità individuale. Non vorrei mai, in caso di controlli, dover esibire alle autorità (ma quali?) il mio account su un social network invece del passaporto.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte