La Carta d’identità elettronica: un ultimo miglio senza backbone (aka, circa la verifica dell’identità)

So che darò qualche dispiacere a qualche amico… discutiamone…

Non voglio argomentare che la carta d’identità elettronica non sia da fare. Dico che adesso forse è meglio fare qualcos’altro…

 

Carte di identificazione

Iniziamo dall’inizio. La carta d’ìdentità elettronica, come noto, è una carta a microprocessore, prevista regolatoriamente dal 2000, già emessa sperimentalmente da un certo numero di comuni e in mano a circa il 5% della popolazione (ordine di grandezza).

Così come la Carta Nazionale dei Servizi (che tipicamente è carta sanitaria, emessa da molte regioni e in mano decine di milioni di persone), oltre a presentare tutti i dati della tradizionale carta d’identita, include un certificato digitale che consente di autenticare gli utenti e firmare i documenti, secondo procedure armonizzate da specifici organismi internazionali.

Avremo benefici da un uso diffuso ? certo. Alcuni, quelli sanitari, sono già evidenti con risparmi diretti ed indiretti grazie all’auditing di processi. centinaia di milioni risparmiati annualmente dall’amministrazione sanitaria.

Ma è un obiettivo sufficiente ?

 

Così fan (o faranno) tutti

2012-03-03_produttività_italia

Penso che un problema non sia tanto la riduzione del PIL ma soprattutto il calo di produttività per persona occupata; a fronte di una struttura demografica con componente produttiva in riduzione (vedere questi post di 4 anni fa, drammaticamente attuali oggi) dobbiamo aumentare la produttività individuale rispetto ai nostri mercati di sbocco.

Penso che se facciamo le cose come fanno tutti gli altri paesi, al massimo miglioriamo poco più di loro.

A noi servirebbe un saltino, un quantum leap che ci consenta di affrontare il gioco con regole diverse.

 

Sono possibili regole diverse

Mi dicono che in Estonia che la autenticazione degli utenti (in realtà [quasi] tutto si riduce a ciò) per l’accesso a servizi è fatta grazie ad un sistema di strong authentication con dei token emessi dalle banche (ogni cittadino ne ha uno, come portachiavi) che interoperano per cui la richiesta di un atto da una amministrazione viene fatta delegando l’operatività della autenticazione alla banca che ha fatto l’enrollment degli utenti secondo norme sufficientemente forti, stabiliti dall’amministrazione.

Qualcuno può storcere il naso per il fatto che l’operatore bancario non è un funzionario dello Stato, ma è sufficiente essere un funzionario dello Stato per essere onesto e garantire l’assenza di frodi nell’enrollment ? E comunque, non è meglio della situazione attuale ? (non parliamo della falsicabilità dei documenti cartacei o della loro procedura di enrollment).

Comunque in Estonia lo hanno fatto. E così hanno abilitato che tutto si faccia online e, come dice Alfonso, una ciliegia tira l’altra e convivendo ed imparando cosa si può fare in digitale, vengono altre idee ed i servizi proliferano e i costi si riducono.

 

Un ultimo miglio senza backbone

E’ chiaro a tutti noi che se nel pezzo di silicio ci sono scritte dentro le informazioni, piuttosto che esso contiene solo un meccanismo di autenticazione e le informazioni stanno nella nuvola, piuttosto che variazioni tra i due estremi, gli effetti applicativi sono gli stessi.

Adesso diamo la Carta d’identità elettronica che, quando la avremo tutti, quando tutti i servizi pubblici saranno acceduti grazie ad essa, quando tutti i privati la useranno per i loro rapporti, sarà bellissimo e guadagneremo un sacco di efficienza. Come tutti gli stati nostri peer..

però, intanto, facciamo un oggetto ex novo, che investiamo per dare a tutti e che non useremo da nessuna parte, o quasi.

come se facessimo un investimento per costruire un bellissimo ultimo miglio, che però non possiamo usare perchè non c’è il backbone.

 

Alternative ovvie ?

<solita battuta maschilista> meglio una donna bella intelligente e ricca o l’opposto ? </solita battuta maschilista>

meglio fare un nuovo oggetto da distribuire a tutti, che però non abbiamo dove infilare (*), che per funzionare richiede un terminale specifico, che è un portatore di informazione senza interfaccia di rete e per il quale occorre costruire infrastruttura applicativa ad hoc …

o sarebbe meglio usare un oggetto che già hanno tutti, che è un nodo di rete, perennemente connesso, integrato di un sacco di sensoristica ed interfacce, che parla tutti gli standard del mondo ?

non dimentichiamo che oggi c’è una distinzione tra featurephone e smartphone, ma è solo questione di prezzo. Tra un anno questa distinzione non ci sarà più (grazie Gordon Moore) e saranno solo smartphone.

meglio un oggetto isolato con ambiti applicativi da costruirsi come isole fisiche da integrare o meglio usare un oggetto già parte della rete sul quale si possono aggiungere i livelli di sicurezza che si vuole e le procedure di enrollment che si vogliono, dato che il substrato tecnologico (smartcard) è lo stesso, ma solo “on steroids” ?

e non dimentichiamo inoltre che il “numero di telefono” non è un “numero di telefono” ma un “numero di una persona”, grazie ai terminali mobili (personali!, non più attaccati a un muro!) e che può seguire la persona, grazie alla  number portability.

 

Non fiori, ma opere di bene

Allora, facendo 1+1, viene naturale pensare che forse anzichè investire in nuovi fiori come la cara d’identità elettronica si potrebbe fare un’opera di bene usando meglio ciò che già c’è e funzionalmente è più ricco.

Ovvero che un identificativo E164 possa essere attribuito univocamente ad una persona, mediante una procedura di enrollment rafforzata quanto si vuole (vogliamo mandare la gente in municipio a fare il pairing ? madiamocela.. (anche se io mi accontenterei della posta o di un meccanismo a rete)) e che diventi elemento abilitante della sua identificazione.

Non arrivo a sostenere che debba sostituire il numero del documento di identità, ma come abbiamo il codice fiscale, il numero di passaporto, ecc. perchè non decidere che

il codice E164

  • è personale
  • viene collegato ad una identità di un cittadino mediante procedura di enrollment XY
  • il codice E164 così collegato è inserito nell’anagrafe dei codici abilitati, ove si gestiscono le revoce
  • l’anagrafe espone una API per la verifica della validità
  • se presente nell’anagrafe dei codici abilitati può essere utilizzato come riconoscimento ed autenticazione assistito da fede privilegiata

Faremo la carta d’identità elettronica e costruiremo tutta l’infrastruttura necessaria e firmeremo in modo inoppugnabile ogni nostro contratto; però penso che convenga farlo dopo…

18 thoughts on “La Carta d’identità elettronica: un ultimo miglio senza backbone (aka, circa la verifica dell’identità)”

  1. mmm… interessante, ma voglio essere sicuro di aver capito di che parli.
    – stai parlando delle smartcard telefoniche
    – vorresti conferire a tali carte un valore similare alla carta d’identità (o solo permetterne “l’upgradabilità” a tale ruolo?)
    – vorresti far aggiungere informazioni sulla smartcard ? (o semplicemente istituire un DB online che lega le informazioni alla carta? ovvero l’unione dei DB degli operatori?)
    – quali sarebbero le modalità di autenticazione che immagini?
    – in che modo si evita l’uso di “banali” apps per simulare l’identità di un altro? (si triangola sull’operatore? su internet?)
    Esistono già sistemi similari / sperimentazioni?
    Sarebbe bello se l’italia innovasse! Ma sperare di passare dall’inseguimento del penultimo al fare l’apripista forse è un po’ troppo da sognatori….

  2. si, parlo di usare le SIM in uso nei cellulari per funzioni di autenticazione diffusa
    il numero E164 è distinto dalla SIM; la SIM ha un secure element dove ci puoi mettere dentro info, tra cui uno o piu’ numeri E164
    non vorrei conferire uno status di carta di identità, ma di strumento di autenticazione a fede privilegiata, ovvero che tuteli in sede civile e faccia fede sempre, fino a querela di falso, ovvero a meno che non si riesca a dimostrarne la falsificazione.
    il dettaglio implementativo va approfondito. certamente una parte e’ online, potrebbe anche esserci una parte sulla SIM; rileggi bene l’ultima sezione, per ciò che propongo non occorre unire i DB degli operatori ne’ estenderlo a tutti
    il tema della falsificabilità esiste, ma costa di piu’, e’ piu’ difficile ed alla portata di meno persone che non falsificare la carta d’identita’ di carta che abbiamo oggi. si puo’ anche mitigare perche’ se e’ facile che una originazione da un handset simuli un numero (spoofing), la comunicazione originata dalla rete è praticamente impossibile che sia diverted ad un soggetto diverso.
    una cosa simile, come scrivo, esiste in estonia, con un sistema piu’ rudimentale, fatto decenni fa, quando la rete mobile non era ubiqua.
    e no, non e’ da sognatori, negli usi innovativi del mobile l’italia e’ stata molto spesso leading edge..

  3. Come al solito le idee di Quintarelli sono interessanti e stimolano alla riflessione. L’idea di “fare un nuovo oggetto da distribuire a tutti” implica una seria e costosa attività di informazione e formazione all’uso dell’oggetto. Come non si può guidare un automobile senza patente (per garantire l’incolumità propria e degli altri), così non si potrà affidare quell’oggetto a tutti i cittadini. Ci saranno cittadini informati che sapranno utilizzarlo correttamente e ne trarranno beneficio, ma ci sarà una moltitudine di soggetti (come già accade per gli smartphone) che provocherà “incidenti” per sé ed anche per altri; questi ultimi, incolpevoli, si troveranno a subire – loro malgrado – effetti nella propria sfera giuridica per aver contrattato o comunque essere venuti in contatto con l’utilizzatore sprovveduto. Poi, non so perchè, ma ho la strana sensazione che aumenterebbero le denunce di smarrimento e di furto degli oggetti in questione…
    Per quanto riguarda la supposta equiparazione del “numero di telefono” ad un “numero di una persona”, molta strada è ancora da farsi e la tanto decantata “number portability” pare più una leggenda metropolitana in Italia.
    L’attribuzione di funzioni che non sono nate per il codice E164 mostra la fragilità (oltre che la pericolosità) del progetto suggerito, sia perchè si incontrerebbero difficoltà di natura tecnica e giuridica ad attribuire (contro la volontà dei cittadini) un numero univoco per le comunicazioni, sia perchè, in definitiva, si tratterebbe di duplicare un codice identificativo che già esiste nella società: il codice fiscale. E’ su quel codice, a mio avviso, che devono convergere tutti i futuri servizi innovativi a favore dei cittadini (anche quelli di comunicazione).

  4. eh no.. il codice fiscale ha una funzione, questa e' un'altra.
    la fragilita' non c'e', anzi. i sistemi antifrode che ci sono in questo mondo, gli altri se li sognano.
    "pericolosit" e' apodittico. perche' ?
    (mica deve essere lo stesso numero usato per parlare…mai detto cio')
    il fatto che la portabilita' del numero ci metta 3 giorni piuttosto che 1 ora non e' una issue.
    quanto ci mette la emissione di una nuova carta di identita' se si cambia residenza ?

  5. Peccato che questo pezzo rischi di rimanere confinato nel Blog e letto comunque da troppe poche persone rispetto alla sua portata, perché entra nel merito ed è paradigmatico di due problemi tutti italiani:
    1) sperimentare, sperimentare, sperimentare, senza mai arrivare a massa critica
    2) sottovalutare il problema della produttività (nostra croce) e dei benefici diretti dell’ICT (nostra delizia mancata)
    Citi il problema della CIE, ma lo stesso incubo lo viviamo sulla privacy e dintorni (sono pronto ad esibire i miei dati… se questo potesse aiutare ad accelerare).
    La metafora delle nostre debolezze è proprio quella della chiave senza porta (produciamo duplicati di chiavi che non portano da nessuna parte).
    La partita dell’innovazione si vince solo se si è rapidamente pervasivi a costo di qualche rinuncia (nessuna vera innovazione è stata perfetta).
    Il cellulare è la chiave, la rete di comunicazioni è la porta. Questa porta è tra l’altro sufficientemente blindata, ma anche “aperta” (chiedete agli OTT per conferma…), a maggior ragione rispetto ad altri sistemi “proprietari”, per il semplice motivo che è l’unico comparto che è nativamente orientato a mettere in contatto tutti con tutti e tutto con tutto (la leadership non è basata sul mezzo, ma sul servizio).
    Sono tutte rose (o mimose visto il giorno)? Qualche spina rimane naturalmente (la proprietà del cellulare è nota, ma l’utilizzatore in un dato momento non sempre è univoco), ma il problema è risolvibile in attesa di poter dare tutte le garanzie del caso.
    PS
    Da quando frequento con più assiduità questo tipo di Blog e Twitter la mia produttività è aumentata considerevolmente… #buonodasapersi

  6. Il codice E164 è nato per identificare la chiamata da una utenza telefonica. Sarebbe un vero azzardo attribuirgli “una identità di un cittadino mediante procedura di enrollment XY” proprio perchè verrebbe implementata tale funzione su terminali “che già hanno tutti” ma le cui potenzialità invero non tutti comprendono appieno. Un po’ quello che dicevo qui: http://blog.quintarelli.it/blog/2010/04/la-pec-come-strumento-di-identificazione-di-individui.html#comment-6a00d8341c55f253ef0133ed15ee66970b
    Quando parlo di fragilità del progetto non intendo la fragilità dell’architettura e dello strumento tecnologico in sè (per il quale sono d’accordo nel ritenerlo più sicuro del documento di identità cartaceo), bensì la fragilità dell’assunto teorico per il quale quel codice E164 (nato per identificare un caller ID univoco, dunque un soggetto che chiama da un telefono) possa essere utilizzato con superficialità ed improvvisazione per locare un appartamento o stipulare un contratto di appalto.
    La differenza tra CIE e CNS da un lato e questo nuovo “oggetto” dall’altro sta proprio nel fatto che le prime vengono richieste solo da chi saprà utilizzarle e custodirle con la dovuta cura ed attenzione, il secondo verrebbe implementato “d’ufficio” e senza richiesta dei cittadini su SIM (intestate a maggiorenni) che vengono utilizzate anche da figli infraquattordicenni…
    Credo con questo di aver spiegato anche il mio riferimento alla pericolosità del progetto.
    L’idea, ripeto. è interessante ma andrebbe realizzata attraverso un contenitore diverso (ed “ufficiale”).
    Infine, quando esprimo perplessità sull’effettiva “number portability” non mi riferisco ai tempi della portabilità, ma alla concreta possibilità di mantenere un numero identificativo di una persona (basti pensare a quello che accade con i numeri lasciati scadere dagli utenti per le mancate ricariche annuali, per i quali è una impresa non sempre realizzabile recuperarli in quanto nel frattempo vengono riassegnati ad altri utenti). E’ una questione che merita i dovuti approfondimenti.

  7. ricordo ancora la fine che ha fatto il progetto ENUM partorito da VOIPEX che altro non è che l’applicazione dell’identificativo E.164 in ambito DNS e la fine non fu determinata da errori tecnici o insostenibilità economica ma solo perchè contrastava gli interessi delle TELCO e cioè dell’incumbent (e degli aspiranti tali).
    Non c’e’ modo di fare NULLA di intelligente in questo paese fino a quando non si rimuovono le rendite di posizione di alcuni grandi voraci parassiti.
    E contrariamente alle continue dichiarazioni su liberalizzazioni e semplificazione non ne ho vista finora nemmeno mezza realmente degna di questo nome.
    Per quanto riguarda gli OTT la cosa funziona solo FUORI da questo paese perchè in questo paese vi sono MILLE modi per ammazzare nella culla (e cioè prima che raggiunga la massa critica) qualsiasi progetto che abbia come bacino di utenze i cittadini italiani.
    Un esempio? la PEC che per una norma (unica nel panorama mondiale) obbliga il soggetto gestore ad avere un capitale sociale di UN MILIONE DI EURO.
    Oppure vogliamo parlare della stesura di fibra ottica che in ROMANIA si fa sull’intera nazione con contributo amministrativo di 500 euro mentre in Italia il contributo amministrativo è 111 MILA EURO.
    In Italia l’unica innovazione che va bene è quella che mantiene il controllo economico nelle mani dell’oligarchia.

  8. Più lo leggo e più mi incuriosisce e mi vengono domande… (forse dovrei studiare il ruolo dell’attuale numero di telefono nel meccanismo GSM/SIM per capire meglio?)
    Quindi aggiungeresti un E164 aggiuntivo che non sarebbe un numero di telefono ma piuttosto numero “personale”.
    Se capisco bene non aggiungeresti solamente l’E164 aggiuntivo ma anche un certificato personale associato a quella chiave (da usare in fase di pairing, facendo che l’amministrazione accoppia l’E164 a te e al tuo certificato/chiavepubblica).
    I telefoni possono già accedere a questi dati? Solo alcuni? Solo tramite sviluppo di applicazioni? Oppure necessiterebbero di firmware ad-hoc?
    Gli operatori riceverebbero in qualche modo questo E164 “slegato” dal numero di telefono?
    I costi di un tale sistema sembrano effettivamente relativamente bassi: chi ci rimetterebbe dalla diffusione di un sistema del genere?

  9. non è detto che debba essere aggiuntivo, dico che non e’ escluso che possa esserlo. (se qualcuno ci tiene..)
    no, non penso ad un certificato personale che si, si potrebbe mettere ma no, non penso alla firma ma solo all’autenticazione perche’ la firma e’ un altro ordine di problemi e quando saranno risolti sara’ bellissimo e vivremo tutti in un mondo ideale.
    il numero sarebbe assegnato per tramite degli operatori e paired con l’identita della persona (documento) mediante procedura da definirsi. es.: vai in comune (ci devi andare anche per la carta di identita’ elettronica, non e’ uno svantaggio), mostri la tua carta d’identita’, chiedi di fare il pairing, l’operatore a sportello compila un form, ti arriva un sms con un codice, fornisci il codice all’operatore che lo verifica e voila’.
    non ci rimetterebbe nessuno. questo e’ il bello.

  10. beh, in estonia lo hanno fatto su un token di strong authentication qualunque, molto piu’ limitato e meno sicuro. e funziona.
    perche’ le sim devono essere intestate a maggiorenni ? intendo, lo so che esiste questa norma, ma dato che e’ un dato di fatto che i telefoni li usano anche i minori (come i documenti di identita) abbassiamo quel limite da 18 a 14 (e magari spieghiamo che per i cervelli in formazione “forse” “potrebbe” essere meglio di non dargli il telefono che gli scalda la testa) ed ecco fatto.
    Il fatto che i numeri scadano perche’ non ricaricati e’ un’altra scelta regolamentare. basta cambiare questa regolina ed i numeri non scadono piu’.

  11. Grazie Cristoforo. Attenzione, anche una smartcard con un PIN associato potrebbe essere usata da chiunque… quindi, il sistema proposto non e’ meno sicuro ma certamente piu’ potente. MOLTO.
    in merito alla diffusione, contro sulla tua collaborazione istituzionale…

  12. Il problema di Enum@Voipex era proprio quello che dici tu, dato che andava ad occuparsi di traffico voce intersecava e (potenzialmente) minacciava posizione di rendita costituite. (basti pensare ai numeri nomadici ed alle regole di interoperabilità VoIP che un provvedimento AGCOM del marzo 2006 (sei anni fa) ha approvato http://www.agcom.it/default.aspx?DocID=1627 stabilendo in 120 il numero di giorni per stabilire le condizioni tecniche, che ad oggi non ci sono.
    Però qui non andiamo ad occuparci di traffico, quindi non c’e’ minaccia al business. Anzi !

  13. 1) Quasi tutti i cittadini posseggono un telefono cellulare, ma non tutti e non mi pare sensato renderne obbligatorio il possesso.
    Deve perciò esistere un’alternativa (CIE, CI cartacea etc) per i refrattari alla tecnologia e per i minorenni, just in case.
    2) Molti posseggono più dispositivi mobili, cioè più SIM.
    Si potrebbe registrare l’E164 “identificativo” sulla/e SIM, in aggiunta al E164 usato per il traffico vero e proprio.
    Solo l’E164 a scopo di identificazione deve essere autenticato, “seguire” il cliente e non “scadere”.
    Ma se la Carta d’Identità include un elemento biometrico che è la foto (sebbene facilmente falsificabile), non ho capito come funzionerebbe la proposta di Stefano: basta il possesso del dispositivo per garantire l’indentificazione o serve qualche forma ulteriore di sicurezza tipo PIN, password etc?

  14. ho detto esplicitamente che non deve essere un documento di identità ma strumento di autenticazione, con beneficio della fede privilegiata.
    quindi non serve la foto … 🙂 (anche se la potresti mettere su un server hardened accessibile autenticandosi…)
    proprio perché non è un documento di identità, vi può essere qualcuno che non è interessato…

  15. C’è un qualcosa di molto pericoloso nella tua idea che potrebbe azzerare interi business “storici” e quindi mi piace distruggendone per sempre il loro finto valore 😉 Temo che piaccia molto, ma molto meno a ITU e ai suoi rappresentati 😉

Leave a Reply

Your email address will not be published. Required fields are marked *