18.4169 · Interpellanza · 2018-12-11
Dipartimento di giustizia e polizia
Liquidato
Wortlaut
Attualmente in Consiglio nazionale è discussa una nuova legge federale sull'identità elettronica. Il nuovo approccio, che mira principalmente a delegare a fornitori privati la responsabilità di un'e-ID funzionante, non è adeguato. Se deve essere utilizzata per quasi tutte le operazioni di governo elettronico, incluso il voto elettronico completamente dematerializzato, l'identità elettronica deve avere un carattere sovrano e restare una prerogativa dello Stato. Uno strumento di identificazione unitario per servizi privati (p. es. e-Banking, Swiss Pass, ecc.) non sarà mai sufficientemente affidabile per operazioni di governo elettronico. Pongo pertanto al Consiglio federale le domande seguenti:
1. Quali strategie e benchmark impiega il Consiglio federale per recuperare il ritardo accumulato nel settore del governo elettronico?
2. Lo Stato vuole veramente delegare uno dei suoi compiti fondamentali, ossia l'identificazione dei suoi cittadini e dei suoi abitanti? Se no, non deve assumersi la responsabilità in materia di identità elettronica esercitando il ruolo di un fornitore d'identità (emissione e autenticazione di dati personali) e mettendo a disposizione piattaforme elettroniche, interfacce e applicazioni adeguate?
3. Come giudica il Consiglio federale i rischi in materia di protezione dei dati che sussisterebbero se l'identità elettronica ufficiale fosse fornita da fornitori d'identità privati?
4. Nel caso in cui il Consiglio federale continui a privilegiare l'attuale candidato per lo sviluppo dell'identità elettronica ufficiale (Swiss ID): come giudica i rischi di governanza che sussistono nel conferire la responsabilità a questo complesso consorzio? In proposito occorre attirare l'attenzione sul fatto che attualmente varie grandi banche sono membri del consorzio e in questa funzione svolgono il ruolo di fornitore d'identità, ma nel contempo non accettano che SwissID sostituisca integralmente i loro strumenti di identificazione.
5. La legge prevede tre diversi livelli di sicurezza, ma non specifica a quale campo d'applicazione corrispondano i diversi livelli. Quali requisiti sono previsti in materia di governo elettronico e di sanità elettronica nelle relazioni tra cittadini e Stato (C2G, Citizens to Government), imprese e Stato (B2G, Business to Government) e tra i diversi attori statali (G2G, Government to Government)? Quali requisiti sono previsti in caso di voto elettronico completamente dematerializzato?
Stellungnahme des Bundesrates
Il 1° giugno 2018 il Consiglio federale ha adottato il messaggio concernente la legge sui servizi d'identificazione elettronica (cfr. FF 2018 3305). Questo affare è attualmente discusso in Parlamento.
1. Dal 2008 la Confederazione, i Cantoni e i Comuni perseguono una strategia di governo elettronico comune. Stanno pertanto tra l'altro elaborando, nel quadro dell'attuale pertinente strategia (2016-2019), le basi giuridiche di un'identità elettronica riconosciuta dallo Stato. Rispetto ai Paesi in cui è già oggi disponibile un'ampia offerta di governo elettronico, la Svizzera non dispone ancora né dell'eID né di altri servizi di base quali l'utilizzo comune dei registri. Secondo studi internazionali, è questo uno dei principali motivi del suo ritardo in questo settore. È quindi importante proseguire lo sviluppo dei servizi di base nel quadro della strategia di governo elettronico 2020-2023, in corso di elaborazione.
2. Come rilevato dal Consiglio federale nel messaggio del 1° giugno 2018, soltanto lo Stato deve restare incaricato di verificare e confermare ufficialmente l'esistenza di una persona e i suoi elementi identificativi quali nome, sesso, data di nascita.
Considerati i mutamenti tecnologici e la molteplicità delle possibili soluzioni tecniche, il Consiglio federale non ritiene adeguato optare già oggi per una determinata tecnologia, con il rischio che altre tecnologie si impongano sul mercato e che il sistema regolamentato dalla Confederazione resti inutilizzato. La soluzione proposta - riconoscere e sorvegliare, a determinate condizioni, le applicazioni che funzionano e in tal modo garantire che siano sicure - è più promettente. Propone pertanto una cooperazione tra Stato e privati, che crea le condizioni migliori per un utilizzo semplice e accessibile dell'eID da parte dell'amministrazione, dei privati e delle imprese.
3. Il disegno del Consiglio federale tiene conto della protezione dei dati e garantisce che i rischi in materia siano ridotti al minimo. In diversi punti è più severo della legge sulla protezione dei dati.
4. Il Consiglio federale non privilegia un unico candidato di fatto; il disegno di legge si fonda sull'ipotesi di più fornitori d'identità. Tuttavia non si sa ancora quanti fornitori d'identità cercheranno di ottenere il riconoscimento per offrire una eID. In linea di massima sono i fornitori d'identità a determinare la loro organizzazione interna, rispettando le prescrizioni legali, per esempio la regola secondo cui i dati d'identificazione personale devono essere conservati separatamente da quelli concernenti l'utilizzo dell'eID (art. 9 cpv. 3 lett. a e b del disegno di legge).
5. Secondo il disegno del Consiglio federale, la nuova legge e le sue disposizioni esecutive non devono prescrivere il livello di sicurezza richiesto per un determinato settore d'applicazione. Detto livello va definito in atti normativi speciali o dai gestori privati di servizi che utilizzano l'eID. Il messaggio illustra, nel punto 1.2.5 (cfr. FF 2018 3316 segg.), lo scopo e i requisiti di ogni livello di sicurezza: prestazioni statali quali la domanda di estratti di registro o l'apertura on line di un conto bancario richiederanno probabilmente il livello di sicurezza "significativo".
Per l'accesso alla cartella informatizzata del paziente, la pertinente legge federale esige un'autenticazione forte, il che corrisponde in ampia misura al livello di sicurezza "significativo".
Non è possibile (perlomeno al momento) affermare quali esigenze dovrebbe adempiere un voto elettronico completamente dematerializzato.
Risposta del Consiglio federale.