I sostenitori e gli oppositori dell'e-ID si presentano come combattenti per la privacy. Chi ha le argomentazioni migliori?

Internet ha gradualmente eroso la privacy di miliardi di persone. Sono finiti i tempi in cui nessuno sapeva cosa stessimo facendo una volta chiusa la porta di casa. Oggi, aziende come Google, Facebook e LinkedIn archiviano dettagli intimi sui propri utenti: interessi, tempi di utilizzo e luoghi. Ci sono ripetute segnalazioni che questi dati personali vengono venduti o , a seguito di attacchi informatici, finiscono nel dark web .

La tutela della privacy non funziona più nell'era digitale . Ed è proprio questo l'argomento utilizzato sia dai sostenitori che dagli oppositori dell'identificazione elettronica.

Il Comitato No scrive : "La legge sull'E-ID non fornisce standard sicuri di protezione dei dati". E: "Le aziende possono utilizzare l'E-ID per raccogliere, collegare e analizzare dati a piacimento e utilizzarli per creare profili comportamentali dei cittadini".

I sostenitori del disegno di legge la pensano diversamente. Ritengono che la legge sull'identificazione elettronica rappresenti un progresso per la privacy perché garantisce che né le aziende né il governo possano registrare chi utilizza l'identificazione elettronica e come. Pertanto, le opinioni dei sostenitori sulla protezione dei dati sono diametralmente opposte a quelle dei loro oppositori. Com'è possibile?

I sostenitori della proposta si basano su due parole chiave: secondo la proposta, le aziende possono richiedere l'e-ID solo se "assolutamente necessario". Un esempio tratto dallo shopping online illustra nel dettaglio cosa ciò significhi.

In futuro, chiunque voglia ordinare un nuovo telo mare da Galaxus non dovrà più presentare un documento d'identità elettronico. Tuttavia, se un cliente Galaxus ordina una cassa di birra, dovrà dimostrare di avere più di 16 anni. Tuttavia, secondo la legge sui documenti d'identità elettronici, sarebbe illegale per Galaxus richiedere l'intero documento d'identità elettronico, poiché quasi tutte le informazioni contenute in esso non sono "assolutamente necessarie" per l'acquisto: Galaxus non ha bisogno di conoscere il nome legale o l'immagine del volto del cliente, né tantomeno il suo numero AVS, per consegnare la birra.

L'unica informazione che il negozio online può richiedere è l'età. Tuttavia, non è consentita nemmeno la data di nascita completa, ma solo l'informazione che l'utente appartenga effettivamente alla fascia d'età dichiarata. In crittografia, questo è chiamato "prova a conoscenza zero": il negozio online apprende che la persona ha più di 16 anni, ma senza ricevere ulteriori informazioni su di lei.

L'utente deve fornire tutte le informazioni nell'app e-ID. Questo gli consente di verificare se il negozio online richiede altri dati identificativi oltre all'età. In questo modo, può decidere quali informazioni condividere con quale sito web. Questi esempi di utilizzo dell'e-ID sono confermati da Rolf Rauschenbach, responsabile dell'informazione per l'e-ID presso l'Ufficio federale di giustizia.

Gli oppositori ritengono insufficienti queste dichiarazioni dell'amministrazione e chiedono che l'uso dell'e-ID sia rigorosamente limitato ai casi previsti dalla legge.

Ad esempio, la legge prevede che i clienti bancari si identifichino con un documento d'identità ufficiale all'apertura di un nuovo conto. Questo serve a contrastare il riciclaggio di denaro. Anche le compagnie di telecomunicazioni devono registrare l'identità dei propri clienti al momento della sottoscrizione di un abbonamento di telefonia mobile, in modo che la polizia possa stabilire chi ha comunicato con chi in caso di reati gravi. In alcuni cantoni, anche gli hotel sono tenuti a chiedere agli ospiti i loro documenti d'identità per identificare le persone ricercate. Questo è un obbligo di legge.

Molti oppositori della proposta sull'identificazione elettronica non sono contrari alla possibilità di utilizzarla in tali casi. Tuttavia, temono che l'identificazione elettronica diventi lo standard anche in altri casi. La legge sull'identificazione elettronica lascia spazio all'interpretazione per i casi che vanno oltre. Secondo la proposta , l'identificazione elettronica può essere richiesta anche se "assolutamente necessaria per l'affidabilità della transazione, in particolare per prevenire abusi e furti di identità".

Gli oppositori vedono questo paragrafo come una sorta di accesso facilitato alla sorveglianza. Monica Amgwerd, Segretaria Generale del partito Digital Integrity Switzerland, spiega: "Con il pretesto di prevenire abusi e furti d'identità, potrebbe essere giustificato richiedere l'e-ID per ogni acquisto e ogni modulo online".

Questo timore sembra esagerato ai sostenitori della legge sull'identificazione elettronica. Erik Schönenberger, direttore dell'associazione per la protezione dei dati Digitale Gesellschaft, fa riferimento al comunicato sulla legge sull'identificazione elettronica . In esso, il governo federale elenca i casi a cui dovrebbe applicarsi il paragrafo controverso. Tra gli esempi figurano un esame online condotto da un'università. O quando un servizio di consegna vuole verificare se il destinatario di un ordine online è effettivamente chi dichiara di essere. Il comunicato esclude esplicitamente l'uso dell'identificazione elettronica per gli ordini online quotidiani.

Se Galaxus insistesse affinché i clienti presentino la propria carta d'identità elettronica per acquistare un telo da mare in futuro, i clienti potrebbero citare in giudizio l'azienda. Il tribunale dovrebbe quindi interpretare la legge sulla carta d'identità elettronica, a favore degli attuali sostenitori e condannare Galaxus, oppure a favore degli oppositori e consentire a Galaxus di raccogliere i dati della carta d'identità elettronica.

Nel giungere a questa decisione, la Corte dovrebbe anche considerare il dibattito parlamentare e il messaggio. Dovrebbe inoltre ricordare che una proposta iniziale di identificazione elettronica è stata respinta dal popolo nel 2021 e che la proposta di identificazione elettronica ora in discussione è presentata esplicitamente come una legge a tutela della privacy.

Un altro problema spesso sollevato dagli oppositori della protezione dei dati è il rischio di attacchi informatici. Temono che i dati di identità elettronica finiscano nel dark web.

Un caso recente in Italia ha dimostrato quanto poco alcune aziende proteggano i dati identificativi. Secondo il portale tecnologico tedesco "Heise", quest'estate diversi hotel italiani sono stati hackerati. Di conseguenza, 160.000 scansioni di passaporti e carte d'identità sono finite sul dark web, dove ora vengono messe in vendita. Questo nonostante gli hotel avrebbero dovuto cancellare la maggior parte delle scansioni molto tempo fa, in base all'attuale normativa sulla protezione dei dati.

Ciò dimostra che molte aziende stanno trascurando le normative sulla protezione dei dati. Se l'E-ID Act venisse approvato, le aziende hackerate dovrebbero segnalare al governo federale quali dati E-ID sono stati colpiti. Ogni attacco deve essere segnalato. Finora, solo i gestori di infrastrutture critiche avevano un obbligo di segnalazione così rigoroso. Schönenberger, un sostenitore, vede questo obbligo di segnalazione ampliato come un incentivo per le aziende a proteggere meglio i dati identificativi in ​​futuro.

Per l'oppositore Amgwerd, questo non è sufficiente. Teme che la legge non funzioni. Gli obblighi di segnalazione sono già previsti dalla legge sulla protezione dei dati. Tuttavia, le aziende non sono soggette a sanzioni per le violazioni. "È quindi solo questione di tempo prima che i dati di identità elettronica sui server delle aziende vengano hackerati e finiscano nel dark web".

Per i sostenitori del disegno di legge, il rischio di attacchi informatici e fughe di dati è accettabile. Questo è dovuto in parte al fatto che l'E-ID Act limita fortemente le informazioni che le aziende possono richiedere tramite l'E-ID.

Nell'esempio dell'ordinazione di birra tramite Galaxus, se il server aziendale venisse hackerato, solo un'informazione presente sulla carta d'identità elettronica raggiungerebbe gli hacker: l'informazione che il cliente ha più di 16 anni. Le informazioni che gli hacker otterrebbero dalla carta d'identità elettronica sarebbero quindi inesistenti. Dopotutto, Galaxus verifica già l'età dei suoi clienti quando ordinano alcolici inserendo i numeri sul retro della carta d'identità analogica.

Non è ancora chiaro come verrà effettivamente implementata l'e-ID se il popolo voterà a favore. Il 28 settembre, il popolo voterà esclusivamente per decidere se introdurre o meno l'e-ID.

In particolare, non è ancora chiaro come le aziende con sede all'estero implementeranno la normativa svizzera. Ciò rende in gran parte imprevedibile uno degli utilizzi potenzialmente più comuni dell'e-ID: la verifica dell'età sui siti web pornografici. Finora, i giovani utenti potevano accedere ai siti web con un semplice clic su "Ho più di 18 anni", nonostante la legge svizzera sulla protezione dei minori vieti l'accesso alla pornografia ai minori di 16 anni.

Se la proposta sull'identificazione elettronica venisse approvata, i politici probabilmente chiederebbero rapidamente ai gestori di siti web pornografici di applicare le restrizioni di età in modo più coerente. Dopotutto, con l'identificazione elettronica, avrebbero a disposizione un sistema che consentirebbe la verifica dell'età senza limitare eccessivamente la privacy degli utenti.

Tuttavia, provider come Pornhub dovrebbero prima creare i prerequisiti tecnici per utilizzare l'e-ID svizzera. Resta da vedere se lo faranno. I sostenitori dell'e-ID ritengono che una buona soluzione possa essere trovata con le aziende internazionali, anche perché le aziende possono essere obbligate a collaborare per legge, se necessario. Gli oppositori, nel frattempo, avvertono che stiamo navigando in un mondo in cui in futuro dovremo identificarci a ogni passo.

Se lo scenario degli oppositori dovesse concretizzarsi, potrebbe avere profonde ripercussioni sulla cultura politica svizzera. Lo afferma Carmela Troncoso, docente di informatica che insegna e ricerca presso l'EPFL e il Max Planck Institute for Security and Privacy. "Oggi possiamo accedere a un forum di discussione come Topolino e persino esprimere opinioni impopolari", afferma Troncoso. Se le barriere di identificazione venissero sempre più elevate su Internet, ciò potrebbe cambiare il discorso democratico.

Cita come esempio le colonne di commento dei giornali: "Un'identificazione obbligatoria probabilmente ci farebbe avere meno troll, ma forse alcune persone non oseranno più esprimere il loro punto di vista".

I sostenitori della proposta considerano questo allarmismo. Ritengono che, anche se la popolazione accettasse la proposta sull'identità elettronica, la Svizzera sarebbe ancora lontana dall'avere un'internet in stile cinese, dove non si può postare sui social media senza essere monitorati dallo Stato. Dopotutto, l'identità elettronica è già tecnicamente progettata in modo tale che né lo Stato né le aziende possano tracciare l'utilizzo di un singolo documento. La soluzione proposta rende quindi tecnicamente impossibile creare profili di personalità dei singoli utenti.

E il governo federale vuole istituire un altro sistema per limitare il rischio di sorveglianza: un registro delle aziende che richiedono informazioni eccessive per l'identificazione elettronica. Se, ad esempio, un sito web pornografico volesse registrare i nomi o le date di nascita complete dei suoi utenti, gli utenti potrebbero segnalare il sito web. Il governo federale contrassegnerebbe quindi l'azienda come "non affidabile" nel cosiddetto registro fiduciario e l'app per l'identificazione elettronica avviserebbe gli altri titolari di documenti d'identità elettronici del sito web.

Tuttavia, al momento si tratta ancora di considerazioni puramente teoriche. Resta da vedere se aziende internazionali come Pornhub modificheranno l'accesso ai loro servizi semplicemente perché potrebbero essere segnalate come "non affidabili" nell'app svizzera per l'identificazione elettronica.

Carmela Troncoso ci ricorda il pessimo stato della protezione dei dati su Internet: "La legge sulla protezione dei dati prevede già che possano essere raccolti solo i dati personali necessari per fornire il servizio. Tuttavia, i cookie tracciano ogni singolo utente su Internet. Molte aziende nel settore digitale stanno già ignorando le leggi applicabili".

Da questa prospettiva, non è impossibile che Internet si evolva in uno spazio in cui sempre più utenti operano con i loro veri nomi e con identità verificate dal governo. Gli oppositori dell'identificazione elettronica mettono in guardia da questo scenario. Temono che ci trasformerà in cittadini e consumatori ancora più trasparenti.

Tuttavia, il possibile cambiamento culturale su Internet può anche essere visto come un'opportunità. Attualmente ci troviamo in un mondo in cui è meno chiaro che mai cosa sia reale e cosa sia falso. Sui social network, agenti russi si spacciano per cittadini occidentali e i truffatori per celebrità . In questo contesto, potrebbe anche essere un segno di credibilità se gli utenti appaiono visibilmente come "verificati con un documento d'identità elettronico".

Una cosa è chiara, tuttavia: il dibattito svizzero deve sempre rimanere aperto a Topolino. Su questo concordano sia gli oppositori che i sostenitori della proposta.