Identità Digitale e Biometria

Partiamo dalle basi, che scopo ha un sistema di identificazione? Per es. le forchette non ne han uno, le compriamo in genere in più esemplari uguali e le portiamo a casa, non han matricole individuali che le identifichino, non sono specialmente "assegnate a noi", semplicemente le compriamo e "sono nostre" e se ad es. qualcuno ce le ruba non sono più nostre perché non abbiamo modo di dimostrare che quella o quelle forchette (tolto alcuni casi) sono nostre davvero. Non lo facciamo perché le forchette oggi costano poco. Il costo di tracciarle non vale il vantaggio che potrebbe darci poterlo fare. Qual'è questo vantaggio? Per es. per un'auto abbiamo la targa, l'identità pubblica del mezzo, serve perché l'auto può far danni in giro e serve visivamente vedere "chi ha fatto il danno" e da questo trovare il proprietario e andarlo a cercare. Ha anche un VIN (Vehicle Identification Number, o numero di telaio un tempo) che serve più che altro al costruttore per sapere che parti di ricambio servono, perché la stessa marca, modello possono aver piccole variazioni nel corso del tempo, esser prodotte in stabilimenti diversi con parti parzialmente diverse e via dicendo, è anche lei un'altra identità. La targa come il VIN poi servono anche a dire "l'auto è mia" ad es. in caso di furto. A questo serve l'identità, a "tracciare" se vogliamo usare questo termine il "chi fa cosa, chi possiede cosa".

Tracciare ha sia usi negativi che positivi, i punti importanti sono cosa si traccia, come e quando… Es. è cosa buona aver una carta d'identità digitale per operare con una banca: vogliamo aprire un conto e con una sola passata della smart-card sul lettore, inserendo il pin, abbiamo dato un tot di dati personali, magari resi visibili dal middlewire¹ che mostra ciò che viene richiesto dalla controparte e permette di selezionare cosa dare e cosa no. Dal nostro lato abbiamo "autocompilato" i dati necessari, dall'altro lato essendo questi forniti da un sistema "fidato" (una carta di identità rilasciata dal pubblico, che è colui che si occupa di assegnare le identità, ovvero la fonte di verità sul tema) non c'è bisogno di ulteriori controlli. Abbiamo aperto una posizione al volo.

Non è male manco per accedere poi alla nostra banca: lei sa chi siamo, è inutile aver una sua identità interna separata, non diamo nessuna informazione che già non è stata data.

Però lo scenario di cui sopra prevede un'identità digitale fatta bene, la card contiene l'identità, questa è firmata digitalmente dal pubblico che la emessa la cui chiave pubblica per verificare la firma tutti hanno, non c'è il passaggio dai server del ministero per trasmettere le informazioni come ad es. c'è con la CIE (o con le recenti proposte sul tema di controllo di accesso ai siti porno) quindi il "tracciamento" che il Cittadino medio teme non c'è nello scenario tecnicamente opportuno e possibile da decenni e dai più ignorato quando fu proposto (qualcuno ricorderà le prime CNS/CRS) qualche DECENNIO fa… Così la "nuova versione" si sceglie "sbagliata" col concetto paternalistico che il popolo bove ha mostrato di non capire, quindi il buon padre-padrone deve metterlo sulla retta via e già che c'è sorvegliarlo bene che quella via tenga. Questo è il problema.

Ecco che arriviamo all'intreccio perverso con la biometria. Abbiamo, noi singoli umani, elementi misurabili che ci differenziano da ogni altro e che non possiamo granché falsare, il DNA, se escludiamo i gemelli omozigoti, l'impronta digitale, … questi sono elementi che da una parte permettono un'identificazione quasi certa, dall'altra proprio per il fatto di non poter cambiare sono PESSIMI per usi IT in cui possiamo aver delle compromissioni.

Le impronte digitali le lasciamo in giro normalmente, un attore ostile può rubare l'impronta di un attivista e lasciarla riprodotta sulla scena di un crimine, idem dicasi il DNA. Immaginatevi qualcuno che ruba preservativi usati e inietta il contenuto in un bambino ucciso, poi vi accusa di stupro pedofilo e omicidio. L'identità è qualcosa che deve permetter di dire che abbiamo un certo titolo ma non oltre. Per es. un provider di posta ha ben bisogno di un'identità per dar l'accesso alla giusta caselle di posta, ma non ha bisogno davvero di sapere che siamo figure politicamente/socialmente esposte per cui le mail coll'amante possono esser usate per ricattarci.

Se usiamo la biometria come identità siamo fregati. Non c'è la flessibilità che separi "la chiave" dalla persona. Se poi affidiamo la gestione dell'identità a privati finisce anche peggio, sinché ognuno gestisce la sua il problema è limitato all'ambito in cui l'identità esiste, oltre è un disastro.

• WISeKey provider privato di identità digitale si espande in Africa
• la Cambogia introduce l'identità digitale
• l'UE segue la Cina tendendo al controllo biometrico alle frontiere
• Pakistan Computerized National Identity Card (CNIC)
• critiche alla digitalizzazione dell'Identità in Pakistan
• India UIDAI/Aadhaar e critiche varie;
• mappa carina sui paesi con ID digitali;