Lexipedia

01.3242 · Interpellanza urgente · 2001-05-08

Dipartimento dell'ambiente, dei trasporti, dell'energia e delle comunicazioni

Liquidato

Stellungnahme des Bundesrates

1. Da quando le autorità federali sono al corrente della decisione presa dalla Swisskey, una società dominata dalle banche?

Il DFF è stato informato dell'eventuale cessazione delle attività della Swisskey AG una settima prima dell'annuncio ufficiale fatto dal direttore.

2. Dalla decisione della società Swisskey si può dedurre che l'economia non s'interessa più al commercio elettronico? Come spiega il Consiglio federale l'atteggiamento di Telekurs, vista la pressione esercitata dalle banche per l'ottenimento di una legislazione sulla firma digitale?

Dalla decisione della società Swisskey non si può dedurre che l'economia non s'interessa più al commercio elettronico. Infatti, esso è già da tempo estremamente importante per l'economia politica svizzera nei rapporti tra le diverse aziende e a medio termine assumerà ancora maggiore importanza nelle relazioni tra aziende e privati.

Tuttavia, poiché oggigiorno la maggior parte dei contratti può già essere elaborata e conclusa in modo giuridicamente vincolante per via elettronica, è probabile che l'economia installerà infrastrutture a chiave pubblica solo per "affari particolarmente qualificati" e per scopi propri soprattutto sulla base di legami tra clienti all'interno di gruppi d'utenti chiusi (ad es. banche, assicurazioni, società di carte di credito) utilizzando sistemi adattati ai propri specifici bisogni di sicurezza.

La pressione esercitata dall'economia per ottenere una regolamentazione giuridica completa sulla firma digitale è dovuta innanzitutto alla necessità di rendere consapevole e infondere fiducia nella popolazione in materia di transazioni e di contratti elettronici. Le nuove forme di commercio riescono ad affermarsi nella vita quotidiana solo se regna sicurezza e fiducia. Una legislazione adeguata e una PKI funzionante vi contribuiranno in maniera determinante.

3. La decisione della società Swisskey implica che i fornitori privati non possono utilizzare una PKI a livello nazionale?

Il riconoscimento di una società quale fornitrice di servizi di certificazione comporta un investimento relativamente elevato, poiché gli organismi di certificazione devono essere assolutamente degni di fiducia. Conformemente all'ordinanza sui servizi di certificazione in vigore e alle relative prescrizioni tecniche e amministrative come pure in virtù del disegno di legge federale sulla firma digitale, tali organismi sono tenuti a garantire il rilascio, il rinnovo e il ritiro di certificati e a compilarne un elenco, utilizzando a tale scopo sistemi sicuri e personale appositamente formato. Ciò significa che sia l'infrastruttura di sicurezza fisica (ad es. protezione dell'accesso) sia elettronica devono soddisfare esigenze elevate. Inoltre, occorre fornire garanzie finanziarie e attestati assicurativi per poter far fronte ad eventuali regressi di terzi. Si rivelano onerosi in particolare l'installazione e l'esercizio di una rete d'organismi d'identificazione e di registrazione a livello nazionale. Inoltre, in Svizzera il mercato dei certificati qualificati è ancora relativamente ridotto e le applicazioni corrispondenti non sono ancora abbastanza sviluppate. L'utilizzo di una PKI comporta pertanto considerevoli rischi commerciali.

Tuttavia, visto che le esigenze in materia di sicurezza sopraccitate devono essere soddisfatte anche per l'utilizzo di una PKI seria per scopi interni e che in Svizzera esistono già diverse società fornitrici di prestazioni dotate di una rete su scala nazionale per la registrazione, a medio termine dovrebbe essere possibile gestire con successo una PKI. D'altro canto, parte dell'attività della Swisskey verrà ripresa dalla Payserv, una filiale della Telekurs. Inoltre, si è annunciato almeno un nuovo fornitore di servizi di certificazione. A ciò si aggiunge il fatto che presso il Servizio d'accreditamento svizzero sono attualmente pendenti diverse procedure d'accreditamento d'imprese quali organismi di riconoscimento per sistemi informatici sicuri e per futuri fornitori di servizi di certificazione. Infine, in collaborazione con rappresentanti dell'Amministrazione cantonale e federale, diverse imprese del settore finanziario, delle telecomunicazioni e della sanità stanno attualmente verificando se i servizi di certificazione possono essere messi a disposizione del pubblico con il beneficio di un ampio sostegno (IG TOP, cfr. qui di seguito la domanda 8).

4. È consapevole che la decisione della Swisskey ha fortemente scosso la fiducia nella firma digitale. Ora migliaia di firme già riconosciute non sono più valide, poiché l'identità digitale dei clienti finora affiliati alla Swisskey è stata distrutta dopo la decisione della società di cessare le proprie attività.

La fiducia riposta nella firma digitale è stata effettivamente scossa dal ritiro e dalla soppressione d'identità digitali da parte della Swisskey.

Per contro, i timori espressi dall'autore dell'interpellanza sono infondati in quanto non si può dire che dopo l'annullamento di un certificato tutte le firme create quando il certificato era ancora valido perdono automaticamente il loro valore.

5. Con quali disposizioni legislative intende evitare che in futuro un fornitore di certificazioni possa comportarsi in questo modo?

Analogamente a quanto accade in altri settori dell'economia, non è possibile evitare che un servizio di certificazione cessi la sua attività. Tuttavia, nell'ordinanza sui servizi di certificazione e le prescrizioni tecniche e amministrative in vigore ("business continuity management"), esistono a questo proposito regole ferree per i fornitori di servizi di certificazione riconosciuti, il cui principio è stato ripreso nel disegno di legge federale sulla firma elettronica. Il disegno di legge sancisce che le previste cessazioni d'attività e la comminatoria di fallimento devono essere immediatamente annunciate all'organismo d'accreditamento. Quest'ultimo designa allora un altro fornitore di servizi di certificazione che dovrà riprendere i compiti del fornitore che cessa la sua attività. Le spese sono a carico di quest'ultimo. Se però non dispone di sufficienti mezzi finanziari, può ricorrere all'assicurazione obbligatoria.

6. È forse stato informato del ritiro della Swisscom dalla cerchia degli azionisti della Swisskey? Quali sono stati i motivi della Swisscom?

Sì. A suo tempo, il DFF ha perfino esaminato la possibilità di riprendere la partecipazione della Swisscom. Non sono invece stati analizzati più in dettaglio i motivi del ritiro della Swisscom, visti i risultati decisamente negativi della Swisskey.

7. Quali misure adotterà per introdurre il più rapidamente possibile il commercio elettronico?

Nella misura in cui per "commercio elettronico" s'intende il cosiddetto eCommerce tra privati, il margine di manovra del Consiglio federale è limitato. Spetta all'economia privata assumere un ruolo attivo e svolgere sempre più le sue attività per via elettronica. Con la preparazione di una legge federale sulla firma elettronica e di una legge federale sul commercio elettronico sono stati presi i provvedimenti necessari a rendere ottimale le condizioni quadro in questo settore. Inoltre, nell'ambito dell'attuazione della strategia del Consiglio federale per una società dell'informazione in Svizzera del 18 febbraio 1998, è stato elaborato un piano d'azione volto a promuovere l'eCommerce e la piazza economica svizzera. L'efficacia di queste misure viene costantemente verificata.

8. La Confederazione prevede di sviluppare e d'utilizzare una propria PKI su scala nazionale? In questo caso la carta d'identità fungerà da base come in Finlandia? Quali sono i costi che ne deriveranno?

Prima della cessazione dell'attività da parte della Swisskey, il Consiglio federale non riteneva necessario un suo intervento. Tuttavia, data la nuova situazione sul mercato e i progetti nel settore dell'e-government, il Consiglio federale ritiene che ora occorra almeno esaminare in quali settori è opportuno un intervento statale.

Su incarico del Consiglio federale, il DFGP sta attualmente esaminando se lo Stato debba attribuire ad ogni cittadino, o addirittura ad ogni abitante, "un'identità digitale" sotto forma di paia di chiavi certificate su una SmartCard o su un altro supporto. L'esame riguarda in particolare la volontà politica e la fattibilità giuridica e organizzativa. Si sta inoltre verificando quale dei documenti statali esistenti possa essere legato a una simile "carta d'identità digitale" nonché alla sua realizzazione tecnica, tenuto conto della normalizzazione internazionale. Si sta pure esaminando se sia opportuno che la Confederazione fornisca servizi di certificazione elettronica a determinate condizioni. Infine, diversi servizi federali sono in contatto con privati che hanno proposto soluzioni basate sulla PKI, come ad esempio l'IG TOP ("Trägerschaft öffentliche PKI").

9. Quali sono le conseguenze per i progetti eGovernment dell'Amministrazione federale? Le scadenze potranno essere rispettate?

Per quanto concerne le relazioni elettroniche tra l'Amministrazione e i privati, i due grandi progetti "Guichet Virtuel" e "e-Government" procedono come previsto e non sono messi in discussione. In una prima fase, il progetto "Guichet virtuel" si occupa della messa a disposizione d'informazioni. Si tratta innanzitutto di fornire e di mettere in rete contenuti provenienti dalla Confederazione, dai Cantoni e dai Comuni. Le funzioni del guichet virtuel che necessitano una firma digitale verranno sviluppate solo a partire dall'anno prossimo. È comunque possibile effettuare diverse transazioni senza una firma digitale.

Per quanto concerne il progetto e-voting, è attualmente in corso a Ginevra un progetto pilota mediante un sistema in cui il numero d'identificazione appare grattando l'apposito riquadro. Anche in questo caso non è per ora necessaria una firma digitale. Tuttavia, già nel corso di quest'anno verranno svolte analisi preliminari in vista del lancio nel Cantone di Neuchâtel di un secondo progetto pilota, che prevede l'utilizzo di una firma digitale. Queste analisi preliminari si basano sui lavori svolti dal DFGP in relazione all'identità digitale. La realizzazione della prova pilota è prevista per più tardi (data ancora da determinare).

Non sono neppure in pericolo i numerosi progetti sull'eGovernment lanciati da singoli servizi dell'Amministrazione federale (registrazione elettronica di marche, attribuzione elettronica di numeri telefonici, tenuta dei registri per via elettronica, calcolo elettronico delle imposte, ecc.). Per questi progetti, l'impiego di una PKI non è obbligatorio oppure è previsto in una fase ulteriore. Tuttavia, non appena si dovranno effettuare transazioni sicure o emettere decisioni, diverrà indispensabile disporre di una PKI funzionante. Questo al più tardi dopo l'entrata in vigore della nuova organizzazione giudiziaria che, tra l'altro, renderà possibile emettere decisioni elettroniche. È invece urgente adottare misure volte a rendere sicuro lo scambio di e-mail. Per quanto riguarda le relazioni tra i servizi dell'Amministrazione, l'Ufficio federale dell'informatica e della telecomunicazione (UFIT) sta attualmente valutando soluzioni transitorie per i contratti conclusi con la Swsskey nell'ambito della realizzazione di una messaggeria elettronica sicura (Secure Messaging). A dipendenza dell'offerta, occorrerà esaminare la possibilità di una collaborazione tra la Confederazione, i Cantoni e l'economia per la realizzazione di una PKI.

Risposta del Consiglio federale.