Documenti sul cellulare. Facciamoci le domande giuste
Tempo di lettura: 10 minuti. Ma la parte utile è alla fine.
(Lo so, sono malefico)
In questi giorni è iniziata la fase di test dell'integrazione di IO, l'app di PAGO-PA che integra la funzione di IT-WALLET digitale per i documenti di identità, patente, ecc. In parallelo si sono scatenati i NO-TUTTO che, puntualmente, hanno individuato rischi e minacce immaginarie, di ogni forma e colore.
Come di consueto, in molti hanno pubblicato piccate proteste per un presunto trasferimento di dati personali all'estero, in particolare verso gli Stati Uniti, lamentando traffico non cifrato e stramberie assortite e prive di fondamento.
Che dire a riguardo? Poco, in realtà. Ovviamente le pseudo analisi dell'app vanno qualificate per quello che sono e ignorate. Conosco e stimo il DPO di PAGO-PA che presidia lo sviluppo dell'app IO e ho piena fiducia nelle sue capacità, sia come esperto della materia che come mediatore e comunicatore: è capace di promuovere e integrare le proprie istanze all'interno della organizzazione e del progetto. La sua capacità relazionale è un arte che padroneggia da maestro. È un elemento di garanzia per tutti.
Il profilo tecnico mi rasserena: la app risponde alle buone prassi applicabili, non vedo problemi e, anche se ci fossero, sarebbero noti e in gestione.
L'unico aspetto tecnico di rilievo è la necessità di un backup. Oggi, proprio mentre scrivo, è andato a gambe all'aria la piattaforma per le ricette elettroniche bloccando centinaia di farmacie, migliaia di persone in molte regioni d'Italia. Non mi immagino cosa accadrebbe se si bloccasse l'uso dei documenti di identità... avere in tasca la versione tradizionale sarà sempre necessario, almeno finché non si troverà il modo di garantire continuità ai sistemi complessi.
Il profilo della compliance rispetto ai trasferimenti internazionali è solo un falso problema. I provider di tecnologia sono tutti auanagana (statunitensi). Non è nemmeno pensabile realizzare e gestire un'infrastruttura così complessa senza il supporto dei grandi provider GAFAM e, volenti o nolenti, non abbiamo alternative. Non si tratta di punti di vista, è un fatto. Duole rilevare che sarebbe molto bello se l'UE e l'Italia avessero la lungimiranza e il coraggio necessari per promuovere soluzioni autoctone che, tuttavia, sono ben lontane dal poter diventare alternative papabili. La sovranità digitale e tecnologica è un tema centrale e noi abbiamo perso il treno... un TGV partito già da molto tempo che ha accumulato troppo vantaggio rispetto ai nostri postali con motrice FS D.341, su binario unico. Allo stato attuale, il vero errore sarebbe proprio affidare i dati personali di questo sistema a provider domestici, magari in gestione a qualche ministero o a qualche improbabile agenzia retta da amici dei parenti, piuttosto che affidarli a fornitori americani.
Sotto il profilo sistematico, IT-Wallet che contiene i documenti non mi sconvolge e non mi stupisce: è una evoluzione naturale, coerente con un sentiero ben visibile e tracciato da lungo tempo.
IMHO (i.e. a mio parere) ci sono altre considerazioni interessanti e altre domande che ciascuno dovrebbe porsi.
1) Siamo pronti?
Mi chiedo se abbiamo la maturità per accettare evoluzione che richiede non solo persone disposte ad utilizzare il Wallet, ma anche interlocutori capaci di gestirlo. Se IT-Wallet è operativo, mi aspetto di poter andare al seggio elettorale e mostrare lo smartphone anziché il documento. Il carabiniere e il controllore dei mezzi pubblici devono essere attrezzati per gestire la mia legittima pretesa e farsi bastare il mio it-Wallet, non solo a Milano ma anche ad Isernia sulla linea 5 celeste per Salietto. La reception dell'hotel non può chiedermi nulla di più di quello che io gli sto mostrando, anche se il wifi non funziona... e anche la portineria dell'azienda che mi controlla i documenti all'ingresso non potrà più pretendere un documento fisico in cambio del badge per gli ospiti. In altre parole, It-Wallet può funzionare bene per i soggetti attivi, i possessori di documenti di identificazione, patente ecc, ma devono essere altrettanto pronti anche i soggetti passivi, quelli che i documenti normalmente li chiedono. Siamo sulla buona strada? Saranno pronti i vari funzionari (pubblici e privati) a distinguere un vero documento generato da It-Wallet rispetto ad una banale immagine di un "falsino" (gergo giovanile con cui si indica un documento contraffatto per entrare in discoteca)? Siamo pronti oppure stiamo attivando un sistema immaturo in un contesto acerbo, una buona idea che rischia di deludere a causa della inadeguatezza del mondo circostante? Ho l'impressione che su questo fronte la strada sia ancora lunga.
2) Siamo tutti pronti?
Siamo pronti a portare avanti un doppio binario che permetta di fare tutto anche a chi non vuole o non può adottare IT-Wallet? Penso coloro che hanno un Brondi con pochi tasti giganteschi, a chi è affezionato al suo indistruttibile Nokia camaleonte, a chi ha uno smartphone con la batteria che dura 2 ore, a chi non desidera mettere i propri documenti su uno strumento del demonio, a chi condivide il cellulare con altre 3 persone, a chi ha un abbonamento che non prevede dati e traffico, ecc.
È particolarmente importante evitare che il divario digitale possa generare discriminazioni, cittadini di serie A e di serie B, persone che saltano la fila e altre che in fila ci passano l'esistenza, persone alle quali certi diritti sono preclusi, ecc.
Siamo in un paese con scarse infrastrutture e non darei per scontata la presenza di una rete dati. Anche questo aspetto non può generare discriminazioni di alcun tipo.
Sotto un profilo analogo, sarà importante curare e garantire con attenzione l'interoperabilità, sia perché il Wallet digitale non può essere vincolato ad un'unica APP, sia perché la proliferazione delle App e dei Wallet dovrà garantire il medesimo livello di sicurezza e dovranno funzionare tutte nello stesso modo (neutrale) rispetto ad ogni interlocutore passivo (colui che chiede e verifica i documenti).
3) Siamo veramente pronti?
Dal mio punto di vista, si è pronti per un cambiamento quando si decide coscientemente di affrontarlo, pur non avendo alcuna impellente necessità di farlo. Se così non fosse, il cambiamento è imposto, è subito dalle persone e, spesso, non è gradito. Sul piano personale ed individuale, cosa ci spinge all'adozione di IT-Wallet e al cambiamento che comporta? Temo che il motore più diffuso sia semplicemente il tecnoentusiasmo: la dopamina dovuta allo stupore e all'emozione di vedere una cosa nuova che funziona. Un po' come accade quando viene rilasciato un nuovo set ti emoticons... non certamente necessarie ma sufficienti per far acquistare il nuovo smartphone, appena uscito. Per la maggior parte delle persone, una novità tecnologica è affascinante quanto una magia.
La mia domanda è: siamo in grado di capire se stiamo facendo una cosa perché fa figo oppure perché ci serve?
Avere diverse alternative è un privilegio ma spesso ci manca la capacità di scegliere l'opzione corretta o la più razionale. Spesso ci manca una vera ragione e ci lasciamo guidare da suggestioni o condizionamenti. Il rischio è accorgersi di aver fatto scelte inappropriate e rimanere delusi dalle conseguenze.
4) Siamo pronti alle conseguenze?
Usare IT-Wallet non implica che la CIA possa attivare il 5G nel sangue di chi ha respirato scie chimiche idrometeoriche. Peraltro, lo sanno tutti che questo funziona solo con l'erroneo modello di pianeta sferico e non su quello, assai più realistico, che descrive la terra com'è: piatta e posata sul dorso di una tartaruga gigantesca.
Le conseguenze a cui penso sono altre. L'uso del IT-Wallet implica la generazione di dati di log.
Fare acquisti in un negozio di liquori, in un sexy-shop o in farmacia, acquistare delle sigarette o un machete: sono tutti comportamenti ordinari e leciti, ma il fatto di averlo registrato in un log ha delle implicazioni. Chi ha accesso alle registrazione? Per quali scopi possono essere utilizzati i dati? Chi ha accesso? Come sono monitorati gli utilizzi non leciti o fuori contesto? Quanto sono protetti i dati? Tutte domande che hanno senso dal momento in cui si iniziano a registrare gli utilizzi dei documenti sul Wallet. Per ogni comportamento ci sono implicazioni importanti in termini reputazionali, assicurativi, sanitari e di altro genere. L'utilizzo necessita della piena consapevolezza sul trattamento dei dati, sia attuale che futuro.
Ciascuno deve riflettere e rispondere a queste domande. Solo così le preoccupazioni possono dirsi legittime. Il resto è solo paura dell'ignoto.
Ecco cosa preoccupa me.
Concludo con alcune mie personali paure che, spero, possano diventare oggetto di riflessione anche per altri.
Un giorno, fermato da una pattuglia per un normalissimo controllo, mi chiesero patente e libretto. Libretto ok, al volo, ma la patente era in borsa.
"Un attimo, la prendo da dietro"
Un istante dopo, accanto a me c'era un carabiniere molto interessato a sbirciare nel bagagliaio, talmente curioso che andò oltre, questionando so tutto ciò che riusciva a vedere.
"Perché ha il triangolo montato?"
"Mi fa vedere cosa c'è nella borsa nera?"
"Perché tiene una bresaola nel bagagliaio?"
Se è vero che è l'occasione a fare l'uomo ladro, si può dire che è sempre l'occasione a fare il buon poliziotto... a volte, pure troppo.
Ora, se uso un Wallet per custodire i miei documenti, la cosa peggiore che potrebbe capitare è che, per un controllo, io consegni il mio cellulare sbloccato nelle mani di un poliziotto, un carabiniere o un UPG in generale.
"I bravi ragazzi non hanno nulla da temere" lo lasciamo dire ai deficienti e ai nazisti.
Le foto della varicella di mia figlia o i ricordi del bagnetto con le paperelle possono essere scambiate per materiale illegale;
le strane app dai nomi preoccupanti e l'icona minacciosa possono essere scambiate per materiale illegale;
la cronologia del navigatore potrebbe, ai suoi occhi, collocarmi in certi posti e sembrare sospetta;
un contatto in rubrica chiamato IL PADRINO, anche se non è mai stato in Sicilia, praticamente già affiliato;
un wallpaper con la foglia stilizzata della pianta di marijuana, vietatissimo;
un amico che manda un messaggio e la notifica che mostra l'ultimo meme sul politico deficiente... e stiamo pensando tutti alla stessa persona ma non si può dire.
Praticamente ogni cosa può diventare oggetto di approfondimento per un sospetto.
Un esempio personale: amo cucinare con il barbecue e aver acquistato un machete non è affatto una stranezza nel mio contesto, ma agli occhi del carabiniere potrebbe essere una cosa difficile da spiegare e ciò mi potrebbe complicare molto la vita.
Questa dunque è una delle mie paure: che i sistemi non siano sufficientemente raffinati da funzionare senza richiedere lo sblocco del dispositivo, oppure che, per errore, un utente sblocchi il dispositivo anche se non tecnicamente necessario e lo consegni sbloccato a chi è abituato a diffidare, a sospettare ed è obbligato a indagare ogni elemento su cui abbia anche solo il sospetto che possa avere rilevanza penale.
Sono preoccupato anche dal fatto che in molti casi, pur bastando un sottoinsieme di informazioni, la verifica del Wallet porti a condividerne molte di più. Per esempio, se per entrare in discoteca basta avere 16 anni, le uniche informazione che il mio cellulare deve condividere sono il numero del documento, la foto e l'eta anagrafica.
Il resto no: residenza, codice fiscale, luogo di nascita, nome, cognome... nemmeno la data di nascita è necessaria: basta sapere quanti anni ho in questo preciso momento.
Se l'ostensione del documento è finalizzata unicamente a dimostrare una certa età, ogni altro dato è irrilevante e deve essere invisibile. Temo che sarà difficile educare i sistemi e gli utilizzatori (sia attivi che passivi) ad un uso corretto di questa funzione di "parziale" identificazione.
Per entrambe le mie paure, l'elemento ricorrente è l'errore. Normalmente le persone sbagliano per distrazione, stanchezza o fretta. Durante un controllo dei documenti da parte di un ufficiale in divisa si aggiunge la pressione e l'ansia del controllo stesso. Gli errori quindi si moltiplicano e, con essi, i rischi. Trovare sistemi per limitare gli errori o prevenirne le conseguenze sarà una vera e propria sfida per i programmatori.
Prosit.
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili per la tua vita, prendi in considerazione l'idea di ringraziarmi. Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.
👇 👇 Clicca qui 👇 👇