Lexipedia

23.1017 · Interrogazione · 2023-03-16

Dipartimento di giustizia e polizia

Liquidato

Wortlaut

La legge federale sui servizi d'identificazione elettronica (Legge sull'Ie) è stata respinta in votazione popolare il 7 marzo 2021. Rappresentanti di tutti i gruppi parlamentari hanno successivamente presentato varie mozioni che chiedevano l'implementazione di un'identità elettronica affidabile da parte dello Stato. Il Consiglio federale ha quindi fatto elaborare una bozza di soluzione, discussa in un'indagine conoscitiva pubblica, una consultazione pubblica e una procedura di consultazione. Il relativo messaggio è previsto entro l'estate 2023. Come reso noto dal Consiglio federale a fine 2022, devono ancora essere approfonditi alcuni aspetti emersi dalla consultazione. Si tratta in particolare dei temi seguenti: cerchia degli aventi diritto a un mezzo d'identificazione elettronico (Id-e), procedura di emissione, aspetti concernenti la protezione dei dati, facilità di utilizzo e servizi cantonali di supporto agli utenti. In questo contesto invito il Consiglio federale a rispondere alle domande seguenti:

1. Per quanto riguarda la cerchia degli aventi diritto a un'Id-e, la procedura di emissione e la protezione dei dati, quali aspetti devono ancora essere chiariti?

2. L'architettura del futuro sistema Id-e è già stata definita?

3. Come sarà garantita l'attuazione delle richieste avanzate sia nella campagna di votazione sia nelle mozioni presentate in Consiglio nazionale, ossia che saranno raccolti soltanto i dati necessari e che essi saranno registrati in maniera decentralizzata?

4. Come sarà impostata l'architettura? Sono previsti sistemi differenti per i diversi livelli di sicurezza oppure si è pensato a una soluzione Id-e per tutti i livelli di autorizzazione?

5. Per quali applicazioni servirà la futura Id-e? Cosa succederà con i sistemi esistenti quali Swiss ID?

6. L'Id-e sarà utilizzata per applicazioni di imprese parastatali?

Stellungnahme des Bundesrates

1. Non resta da chiarire nulla di fondamentale, ma soltanto questioni cui possono essere fornite risposte differenti a seconda delle considerazioni politiche o tecniche sulle quali ci si basa. Tali questioni saranno integrate nel messaggio che il Consiglio federale prevede di adottare nell'autunno 2023.

2. La decisione di principio del Consiglio federale del 17 dicembre 2021 ("self sovereign identity", "privacy by design", principio della minimizzazione dei dati) si fonda su determinate scelte in materia di architettura del sistema che devono essere disciplinate a livello di legge e sono già contenute nell'avamprogetto. Tuttavia, sistemi complessi esigono sempre decisioni architetturali a diversi gradi di astrazione. L'obiettivo è quindi emanare disposizioni legali essenzialmente neutre dal punto di vista architetturale e tecnologico.

3./4. Per rispondere alla domanda concernente l'architettura del futuro sistema, prendiamo ad esempio l'Id-e, poiché le altre prove elettroniche sono rette da principi simili. L'emittente (fedpol) emette l'Id-e nei suoi sistemi e la trasmette al titolare tramite un canale di comunicazione sicuro. Il titolare conserva la sua Id-e nel suo portafoglio elettronico, verosimilmente in un'applicazione per smartphone. Un'applicazione idonea dovrebbe essere fornita gratuitamente dalla Confederazione. Quando si presenta un'Id-e, le autorità o i privati possono verificarne l'autenticità e la validità presso un registro gestito dalla Confederazione. Questo registro non contiene nessun dato dell'Id-e e non permette di dedurre chi è il suo titolare, qual è il suo contenuto o come è utilizzata.

Come già previsto nell'avamprogetto inviato in consultazione, la memorizzazione decentralizzata dei dati sarà assicurata dalla conservazione dell'Id-e in portafogli elettronici individuali. La minimizzazione dei dati sarà garantita in quanto l'emittente dell'Id-e non riceverà alcuna informazione sulla modalità di utilizzo. Sarà inoltre possibile presentare, invece dell'Id-e completa, soltanto alcuni attributi o una semplice informazione dedotta logicamente da questi attributi (p. es. "ha più di 18 anni").

L'Id-e dovrà raggiungere un livello di sicurezza "sostanziale" per poter essere riconosciuta all'estero, in particolare nell'UE, o utilizzata nel quadro di applicazioni quali la cartella informatizzata del paziente. Dovrà inoltre menzionare il documento d'identità a partire dal quale è emessa. Le autorità o i privati potranno accordare autorizzazioni diverse a seconda del documento di cui si tratta. È ad esempio ipotizzabile che le banche rifiutino l'Id-e come documento per l'apertura di un conto se si fonda su una determinata categoria di permessi per stranieri.

5. In linea di principio, è il titolare che decide quando vuole utilizzare l'Id-e ("self sovereign identity"). Con il messaggio saranno tuttavia proposte disposizioni volte a prevenire il rischio di un eccesso di identificazione (richiesta di presentare un'Id-e senza motivo legittimo o più degli attributi dell'Id-e strettamente necessari).

Il Consiglio federale non si esprime in merito alle strategie commerciali di fornitori privati.

6. Se un'impresa parastatale deve identificare una persona in una procedura disciplinata dalla legge e offre la possibilità di identificarsi per via elettronica, dovrà riconoscere (anche) l'Id-e.

Per tutte le altre offerte, questo tipo d'impresa sarà libera di permettere l'utilizzo dell'Id-e, fintanto che ciò non comporti un eccesso di identificazione.

Risposta del Consiglio federale.