Ormai da qualche tempo è entrato nel vivere quotidiano degli italiani l’uso della carta d’identità in formato elettronico. Se ne decantano sommamente pregi, sicurezza e innumerevoli vantaggi.
Molte persone, in possesso di una carta d’identità in formato cartaceo ancora valida, hanno preferito richiedere il formato elettronico anche se ciò comporta degli oneri finanziari maggiori nel momento in cui questa richiesta viene effettuata prima della normale scadenza.
Per ottenere il formato elettronico di tale carta, come è risaputo, viene richiesto anche il rilascio delle impronte digitali al cittadino che la riceve. Questo passaggio, per tutti obbligatorio, ci viene detto garantisca il riconoscimento fisico di una persona.
La carta d’identità in formato elettronico è stata introdotta dall’art. 10, comma 3, del decreto-legge 19 giugno 2015, n.78, recante “Disposizioni urgenti in materia di enti territoriali”, convertito, con modificazioni, dalla legge del 6 agosto 2015, n.125.
Ma per comprendere meglio come si sia arrivati alla richiesta rivolta a tutti i cittadini italiani di rilasciare le proprie impronte digitali, al fine di ottenere la carta d’identità in formato elettronico, dobbiamo ritornare all’inizio del ventunesimo secolo.
Ce ne parla Piero Casciani in un articolo datato ottobre 2002: “Le impronte digitali per una schedatura di massa?”.
«Sulla Gazzetta Ufficiale n. 240 del 12 ottobre 2002 è stata pubblicata la legge 9 ottobre 2002, n. 222 “Conversione in legge, con modificazioni, del decreto-legge 9 settembre 2002, n. 195, recante disposizioni urgenti in materia di legalizzazione del lavoro irregolare di extracomunitari”. Il provvedimento provvede tra l’altro ad estendere ai cittadini italiani i rilievi dattiloscopici già previsti dalla legge Bossi-Fini per i cittadini stranieri richiedenti il permesso di soggiorno o il suo rinnovo.
Questa estensione è stata inserita nel tentativo di superare potenziali censure di legittimità costituzionale sulla legge Bossi-Fini, benché risulti comunque difficile capire come l’obbligo dei rilievi dattiloscopici per gli italiani possa essere contenuto in un decreto legge recante “Disposizioni urgenti in materia di legalizzazione del lavoro irregolare di extracomunitari”.
L’obbligo dei rilievi dattiloscopici per i cittadini italiani è contenuto nel comma 7 dell’articolo 2 del decreto legge 195/2002: “All’atto della consegna della carta d’identità elettronica… i cittadini italiani sono sottoposti a rilievi dattiloscopici”, parzialmente modificato dalla legge di conversione con il rinvio a “modalità stabilite, anche per quanto riguarda l’utilizzazione e la conservazione dei dati e l’accesso alle informazioni raccolte, con il decreto di cui al comma 1 del medesimo articolo 36 del citato decreto del Presidente della Repubblica n. 445 del 2000″.
Si pongono così alcune questioni di non poco conto.
La prima questione è quella appena richiamata delle garanzie sulla protezione dei dati personali. In realtà il rinvio operato dalla legge di conversione ad un successivo DPCM è finalizzato esclusivamente a non affrontare nella legge la questione della privacy. Nei fatti, l’introduzione dei rilievi dattiloscopici per gli stranieri nasce apertamente sulla base dell’equazione xenofoba straniero = potenziale criminale: in questa direzione, la relazione tecnica al disegno di legge di conversione chiarisce subito che le impronte digitali degli immigrati finiranno nel sistema centrale AFIS (Automatic Fingerprint Identification System), assieme alle impronte di tutti i pregiudicati.
Non c’è dubbio sulle finalità repressive della norma, anche se non sono espresse, perché i problemi di mera identificazione erano già stati risolti dalla legge Turco-Napolitano, che già prevedeva i rilievi nei casi di dubbio sull’identità dello straniero. Conseguentemente non ci sono dubbi neppure sulle garanzie: non ci sono e basta, come chiarito dal riferimento, operato dall’articolo 2, comma 6 del decreto legge 195/2002, all’articolo 4, comma 2, della legge 31 dicembre 1996, n. 675.
Nel momento in cui l’obbligo viene esteso ai cittadini italiani, sembra difficile sostenere la medesima equazione, ed allora si rinvia ad un momento successivo il problema della “utilizzazione” e “conservazione dei dati” e dell’accesso alle informazioni raccolte, ossia della tutela della privacy, lasciando indefinite le finalità dell’operazione.
Sostanzialmente, anche nel dibattito in Parlamento, si è tentato di lasciare aperto il dubbio se l’acquisizione delle impronte per i cittadini italiani sia finalizzata alla certezza di identificazione o alla schedatura di massa con finalità di repressione del crimine. Va peraltro ricordato che già in passato il Garante della protezione dei dati personali aveva espresso il parere che l’acquisizione delle impronte fosse inutile ai fini della identificazione, in quanto la carta d’identità elettronica viene già definita come non falsificabile (vedi “Il Garante: i rischi della carta d’identità elettronica“).
Se quindi l’acquisizione delle impronte non è giustificata dalle esigenze di identificazione, può essere giustificata solo da esigenze di sicurezza. Ma anche sulle esigenze di sicurezza si era già espresso il Garante, che aveva definito la rilevazione delle impronte digitali come “un sacrificio sproporzionato della sfera della libertà di tutte le persone che possono legittimamente lamentare anche una considerazione non adeguata e un rilevante pregiudizio della propria dignità personale”.
Del resto, delle due l’una: o l’acquisizione delle impronte digitali ai cittadini italiani non serve a niente, oppure, se serve ai fini della sicurezza, non c’è parere che tenga, e si tratta della stessa sospensione delle garanzie previste dalla legge 675/1996 già affermata per i cittadini stranieri. In realtà la formulazione della norma, lasciando indefinita la questione delle finalità dei rilievi dattiloscopici, introduce un ulteriore elemento di difficoltà e di potenziale illegittimità costituzionale, in quanto è la legge stessa che dovrebbe definire le finalità di interesse pubblico che giustificano una restrizione delle libertà personali e delle garanzie di protezione dei dati personali.
Peraltro una vera discussione sulle finalità del prelievo delle impronte digitali a più di 50 milioni di italiani di età superiore ai 14 anni avrebbe inevitabilmente portato a far emergere l’inutilità di fondo dell’operazione, per le motivazioni già esposte da Manlio Cammarata in “Tra la lotta al crimine e lo spazio della libertà“.
Una seconda questione è quella della copertura finanziaria. Con una prassi legislativa a dir poco stravagante, il decreto legge provvede a dare copertura finanziaria alle spese per l’acquisizione delle impronte digitali ai cittadini stranieri, già prevista dalla legge Bossi-Fini, mentre non considera affatto la spesa conseguente all’estensione dell’obbligo dei rilievi dattiloscopici ai cittadini italiani, prevista dal decreto legge stesso. E non si tratta di questione di poco conto, visto che la Ragioneria generale dello Stato ha quantificato in circa 35 euro pro capite il costo del rilevamento delle impronte digitali. L’assenza di una qualsiasi copertura finanziaria, seppur rapportata alla fase sperimentale tuttora in corso, negli anni 2002 e 2003, fa sorgere dubbi, oltre che sulla legittimità costituzionale della norma, sulla sorte della carta d’identità elettronica, che sembrerebbe avviata su un binario morto, se dovesse essere confermato l’attuale quadro normativo.
E veniamo all’ultima questione, che è quella appunto delle prospettive stesse della carta d’identità elettronica, al di là delle questioni sulla copertura finanziaria. Già prima il quadro del trattamento dei dati relativi alla carta d’identità elettronica, descritto da Manlio Cammarata in “Se il controllore controlla se stesso” non era niente affatto rassicurante. Ora che la carta d’identità elettronica diventa il pretesto per immagazzinare le impronte digitali, c’è da chiedersi quale potrà essere il futuro di un progetto che assume i caratteri di una gigantesca schedatura di massa di tutti i cittadini italiani e stranieri, che fa già balenare rischi di casi giudiziari che non è difficile prevedere e che, secondo noi, non bisogna stare ad aspettare prima di mettere in discussione il progetto stesso».
Queste le giuste preoccupazioni e i fondati dubbi che il redattore dell’articolo si poneva già nel lontano 2002.
In particolare su un punto intendo soffermarmi in questa sede. Ne accennava, già nel 2001, l’articolo citato sopra: “Il Garante: i rischi della carta d’identità elettronica”.
«[…] L’introduzione, nella carta di identità elettronica, di altri dati diversi da quelli anagrafici e non essenziali per la identificazione personale. Tali dati possono infatti essere di grande delicatezza (per es. le impronte digitali) per cui è necessaria una normativa chiara che dia le massime garanzie per i cittadini affinché l’accesso ad elementi di questo genere, così come a dati di natura sensibile (in particolare di tipo biometrico, ma anche dati delicati sulla salute) non avvenga in maniera indiscriminata e senza consenso dell’interessato».
Il corsivo sopra è mio: il consenso dell’interessato sembra che negli anni successivi si sia perso per strada. Naturalmente si continua a parlare diffusamente di sicurezza, delle massime garanzie che ci verrebbero fornite, per cui i nostri dati personali vengono conservati e rimarrebbero inaccessibili a terzi.
Ma che fine ha fatto il consenso?
Esso viene sacrificato totalmente alle esigenze di sicurezza.
D’altronde, dopo l’undici settembre, ogni richiesta ai cittadini da parte delle autorità sembra essere diventata non solo possibile ma anche da doversi accettare in modo supino e indiscriminato. La privacy, i dati personalissimi e unici appartenenti a ogni persona, quali le impronte digitali e gli altri dati biometrici, vengono sacrificati per le esigenze di quello che viene chiamato bene comune.
Ma era già stato sottolineato dal Garante della protezione dei dati personali come non sia possibile falsificare la carta d’identità elettronica, anche se questa dovesse risultare sprovvista delle impronte digitali. E comunque, quante falsificazioni del suddetto documento in formato cartaceo si sono verificate nella storia della Repubblica Italiana a partire dalla sua istituzione, mi chiedo?
“Sicurezza” e “bene comune” sono due parole destinate ormai a ricorrere sempre più spesso allo scopo di giustificare trattamenti sempre più invasivi ai danni della riservatezza dei cittadini.
Altro dato che induce a riflettere è il fatto che la CIE, la carta d’identità elettronica, possa venir rilasciata fin dalla nascita. Anzi è persino raccomandata. E ormai i bimbi non possono più viaggiare senza esserne in possesso.
Ma che se ne faranno mai i neonati di un documento del genere?
O forse, come scriveva già Piero Casciani, si potrebbe trattare infine di una gigantesca schedatura di massa di tutti i cittadini italiani e stranieri?
«La proposta di inserire un dato biometrico nella carta d’identità appare quindi come un’intollerabile misura di polizia, per schedare tutti gli italiani come “persone pericolose o sospette”», affermava Manlio Cammarata, nel suo già citato “Se il controllore controlla se stesso“.
Senza contare il fatto che lasciare i propri dati biometrici, e oggi si parla di parametri che riguardano anche il volto come la scansione dell’iride, potrebbe sempre esporre chi li rilascia al pericolo che terzi malintenzionati possano carpirli.
Si dibatteva già anni fa sull’argomento negli Stati Uniti. E si faceva rilevare come chi possieda i dati biometrici di una persona, possa ritrovarla ovunque essa vada. È impossibile sfuggire o nascondersi.
Da quanto risulta, è divenuto molto difficile oggi, per chi debba rinnovare la sua vecchia carta d’identità in scadenza, ottenerne il formato cartaceo, poiché gli impiegati comunali hanno disposizioni dal ministero dell’Interno di rilasciare solo il formato digitale, con relativa richiesta di impronte digitali appartenenti alla persona.
A quanto pare qualcuno, dopo estenuanti proteste e svariate controversie, è riuscito ad ottenere il formato cartaceo, che, ricordo, non è mai stato abolito e rimane valido sul territorio della Repubblica Italiana.
Perché le normative in vigore permettono infatti di chiedere e ottenere ancora il formato cartaceo. Inoltre vale la pena di informare che, in caso di avvenuto smarrimento della carta, e nel caso in cui si avesse in mano un biglietto di aereo con partenza imminente per qualunque destinazione, si ha diritto assoluto ad ottenere il formato cartaceo della carta d’identità, in quanto per il rilascio del formato elettronico occorrerebbero dei giorni.
Per il resto, ci rimangono degli interrogativi inquietanti.
Lo stesso Cammarata informava già nel 2000:
«In realtà tutto il sistema appare alquanto insicuro, per tre ordini di motivi:
1. La stessa struttura (SSCE, ovvero “Sistema di sicurezza del circuito di emissione”, n. d. r.) svolge la funzione di archivio dei dati e responsabile dell’applicazione delle misure di sicurezza. In questo modo il controllore controlla se stesso, con un problema strategico di insicurezza sul lungo termine. Infatti così si proteggono i dati da attacchi esterni, ma non da possibili azioni di insider. Sarebbe invece necessario che l’archivio fosse controllato da una struttura “terza”.
2. Lo stesso tipo di problema si riscontra nei rapporti con gli enti emettitori della CIE, i comuni. Questi devono ricevere dallo SSCE sia il software di sicurezza, sia la chiave privata per l’accesso ai dati di propria competenza (art. 5.4.6 dell’allegato B). Viene meno il principio fondamentale della sicurezza dei sistemi di crittografia a chiave asimmetrica, che impone la generazione della coppia di chiavi da parte dello stesso titolare. Anche qui si dirà che ci sono le misure opportune affinché nel sistema non resti traccia della chiave privata e del PIN di attivazione, ma chi può garantire che prima o poi qualcuno non ci metta uno zampino e catturi le informazioni?
3. Ancora più preoccupante si rivela l’accesso ai dati da parte delle questure, perché i controlli devono poter essere svolti sul campo da migliaia di agenti delle forze dell’ordine. L’allegato non dice nulla sulle procedure di sicurezza, sicché non è difficile immaginare la circolazione di migliaia di password, con tutti i rischi che questo comporta. L’unico sistema abbastanza sicuro è la strong authentication di ogni operatore, che si può ottenere assegnando ad ogni agente una smart card personale. Ma la misura non è prevista nel documento ministeriale, che si limita a determinare le modalità di accesso per le questure e per i comuni, ma non per i singoli operatori dei due settori».
Quand’ero ancora ragazzina l’acquisizione della carta d’identità era considerata un dovere da espletare al compimento del diciottesimo anno di età. Al termine del liceo faceva sentire i giovani oramai “grandi”. Erano gli anni della scuola fondata sulla riforma Gentile e qualcuno dei miei docenti ricordava molto bene gli anni della guerra e come gli americani ci avessero imposto, tra le tante, anche la Coca Cola.
Eravamo speranzosi, tuttavia, che la lezione del conflitto mondiale avesse maturato per sempre le coscienze e che orrori, ingiustizie e prevaricazioni non avrebbero potuto più accadere tra i cittadini dell’evoluto Occidente.
Ma eravamo ancora dei ragazzi. A scuola avevamo imparato la civiltà.
Non potevamo immaginare un prossimo futuro distopico dove avrebbero imposto il siero per lavorare o la maschera per entrare. Dove avrebbero “schedato” perfino i bambini, per “ragioni di sicurezza”.
Non potevamo immaginare che qualcuno avrebbe potuto chiedere un giorno, a noi, proprio a noi, le impronte digitali: quelle, era ovvio, avevano il dovere di rilasciarle solo i delinquenti. Persone che sulle loro spalle avevano gravi reati.
Ma noi eravamo gente perbene.