Gli strumenti di accesso ai servizi on-line

Gli strumenti di accesso ai servizi on-line

Descrizione degli strumenti per l'accesso sicuro ai servizi erogati tramite rete

La trasformazione dei servizi della pubblica amministrazione in servizi on-line, che è l'obiettivo principale dei progetti di e-government avviati, richiede modalità di accesso sicure, facili e utilizzabili per i servizi di tutte le amministrazioni.

L'evoluzione degli stili di vita e l'ampliamento dei mercati anche per le piccole imprese implica che cittadini e imprese siano utenti potenziali dei servizi di una pluralità di pubbliche amministrazioni, e richiede che l'accesso a tali servizi sia garantito quale che sia lo strumento di identificazione digitale utilizzato dall'utente.

Parallelamente è necessario che sia evitata la proliferazione di strumenti di identificazione digitale per l'accesso ai servizi (carta di identità elettronica, carta sanitaria, carta tributaria, carte regionali dei servizi, carte cittadine dei servizi etc.) e sia garantita la convergenza verso uno standard unitario, le cui caratteristiche di realizzazione, distribuzione e gestione siano largamente condivise, rapidamente attuabili su tutto il territorio nazionale ed economicamente sostenibili. (L'attuale scarsità di risorse destinate all'e-government rende quanto mai necessario eliminare ogni duplicazione non necessaria di strumenti di emissione e di gestione).

L'elemento unificante può essere individuato nella validazione da parte dell'Anagrafe Tributaria del codice fiscale contenuto nei certificati di firma: il codice fiscale è infatti da tempo riconosciuto come chiave di accesso agli archivi delle amministrazioni.

La pubblica amministrazione locale può giocare un ruolo fondamentale nella distribuzione di questi strumenti, sia ricorrendo alle Autorità di Certificazione operanti sul mercato sia, ove lo ritenga preferibile, gestendo in proprio le funzioni di identificazione e registrazione degli utenti ai fini del rilascio dei certificati di autenticazione.

Carte per l'accesso ai servizi in rete

Si tratta di diverse tipologie di smart card che hanno in comune le seguenti caratteristiche:

sono emesse da un ente pubblico che convalida le informazioni di rilevanza sociale in esse contenute;

hanno requisiti di sicurezza che permettono di utilizzare in rete queste informazioni con la massima garanzia di sicurezza e tutela dei diritti personali.

Con questi strumenti si supera quindi il modello di interazione tradizionale che costringeva gli utenti a fornire alla controparte numerose informazioni di carattere personale o riservato in ambiente rischioso quale la rete pubblica Internet.

Le carte per l'accesso ai servizi in rete sono riconducibili a due tipologie:

la Carta d'Identità Elettronica, emessa dai comuni in sostituzione della carta d'identità tradizionale;

le altre carte per accedere ai servizi in rete (carta sanitaria, carta tributaria, carte regionali dei servizi, carte cittadine dei servizi etc.), che devono essere conformi ad un unico standard denominato "Carta Nazionale dei Servizi".

Carta d'Identità Elettronica

La Carta di Identità Elettronica (CIE), si basa su tre principi ispiratori:

la sicurezza dello strumento;

l'utilizzo della carta d'identità elettronica come carta servizi;

l'interoperabilità a livello nazionale.

Il primo requisito risponde all'esigenza di produrre uno strumento sicuro sotto i diversi aspetti della produzione, rilascio nonché utilizzo da parte del titolare.

La sicurezza non solo deve accompagnare tutti i flussi informatici necessari al circuito di emissione, ma deve anche essere presente sul supporto fisico al fine di scoraggiare facili contraffazioni, nonché di consentire un'identificazione certa da parte delle istituzioni competenti.

Il secondo requisito costituisce una novità importante rispetto alla versione attuale della carta di identità cartacea e consiste, nel rispetto della normativa vigente, nell'utilizzo del documento di identità come carta per l'accesso ai servizi pubblici on-line, attraverso l'utilizzo di tecniche di autenticazione opportunamente combinate alla specificazione di un codice personale di identificazione (PIN).

Il terzo requisito è relativo alla necessità di dover disporre di un supporto in grado di funzionare allo stesso modo e su tutto il territorio nazionale nei confronti delle Pubbliche Amministrazioni Centrali. La richiesta di un servizio ad una Pubblica Amministrazione Centrale deve essere uguale in tutti i Comuni e le diverse modalità di richiesta, a parte i contenuti specifici del servizio coinvolto, devono conservare, ai fini dell'usabilità da parte dell'utente, le stesse caratteristiche di rappresentazione.

Carta Nazionale dei Servizi

In maniera sintetica si può affermare che la CNS rappresenta uno standard per le carte di accesso ai servizi in rete rilasciate dalla Pubblica amministrazione.

La CNS è dunque una carta a microprocessore che, per quanto concerne la parte elettronica, presenta le stesse caratteristiche funzionali della CIE, ma mentre quest'ultima contiene gli elementi di sicurezza necessari per il riconoscimento a vista del titolare (in particolare gli ologrammi prodotti dall'Istituto Poligrafico dello Stato e la banda ottica inserita sul retro della carta), la CNS non contiene gli elementi "esterni" tipici di una carta d'identità.

Questa semplificazione permette di adottare un circuito di emissione più snello e flessibile di quello della CIE, infatti gli enti emettitori potranno rivolgersi a strutture esterne accreditate per quanto attiene le attività di produzione/inizializzazione delle smart card e di emissione dei certificati digitali. Infine, l'apertura al libero mercato delle smart card avrà come immediata conseguenza le economie indotte dalla concorrenza e della molteplicità delle offerte.

La CNS è principalmente uno strumento di identificazione in rete. La rapida evoluzione tecnologica dei circuiti integrati permette comunque di aumentare la capacità di memorizzazione dei dati, per cui la CNS è in grado di ospitare le informazioni necessarie per altre funzionalità.

La CNS dovrà infine ospitare il servizio di firma digitale, fornendo al titolare la possibilità di sottoscrivere documenti elettronici.

Interoperabilità tra le carte per l'accesso ai servizi in rete

Per assicurare la fruizione dei servizi pubblici on-line a prescindere dal particolare contesto d'uso della carta, è necessario che:

con qualunque carta (CIE o CNS) sia possibile accedere a qualunque servizio pubblico on-line;

l'utente non sia vincolato ad utilizzare la propria carta esclusivamente in un particolare ambiente elaborativo.

Questi due requisiti sono assicurati dal soddisfacimento degli standard che qualificano le carte CIE e CNS.

Il primo requisito è raggiunto attraverso la standardizzazione delle modalità di interazione tra le funzioni della carta e quelle dei portali che permettono l'erogazione dei servizi on-line. Il certificato di autenticazione presente sulle carte ha un tracciato standard e contiene le informazioni "chiave" che possono essere utilizzate nel rapporto cittadino-istituzioni. Anche le informazioni memorizzate all'interno della carta seguono una struttura standard (file system).

Firma digitale

La firma digitale è stato il primo strumento introdotto per la semplificazione dei processi amministrativi. Il compito di questo strumento è quello di consentire la stipula di atti basati su processi informatici, fornendo evidenza e prova della sottoscrizione, da parte del firmatario, degli atti, fatti o dati che il documento firmato rappresenta.

La firma digitale è dunque soprattutto uno strumento amministrativo, ma è anche in grado di assicurare l'integrità del documento firmato, infatti protegge il documento da contraffazioni anche se quest'ultimo viene conservato in un ambiente non sicuro.

La firma digitale è dunque uno strumento chiave dei processi di e-government e trova proficua applicazione in tutti i casi in cui il servizio sfocia in un atto amministrativo.

L'importanza di questo strumento e la sua valenza giuridica rendono comunque sconsigliabile l'estensione del suo utilizzo ad altre funzioni come, ad esempio, l'identificazione ed autenticazione in rete. Per queste ultime sono state infatti concepite le carte per l'accesso ai servizi in rete.

Le caratteristiche dei servizi on-line per l'accesso tramite smart-card

Per assicurare la fruizione dei servizi garantendone la sicurezza e l'interoperabilità è necessario non solo che l'utente disponga di strumenti per l'identificazione in rete, ma anche che i servizi siano progettati e realizzati secondo precise regole che permettono di garantire il rispetto dei principi di sicurezza enunciati.

A regime i servizi di e-government si baseranno in larga misura sull'interazione tra i processi responsabili dell'erogazione dei servizi e gli strumenti di identificazione in rete.

Tuttavia, nonostante il Governo stia dando forte impulso alla diffusione di CIE e CNS, non è al momento opportuno vincolare del tutto l'accesso ai servizi al possesso di una smart card e di un lettore.

La realizzazione dei servizi pubblici on-line dovrà dunque basarsi sui criteri esposti di seguito:

tutti i servizi di e-government devono essere progettati e realizzati in modo da utilizzare le possibilità di identificazione ed autenticazione offerte da CIE e CNS;

in via transitoria l'identificazione ed autenticazione potrà avvenire anche con strumenti tradizionali, quale l'identificativo utente (user-id) e la password, o mediante altra tipologia di carta;

quest'ultima modalità di accesso ai servizi pubblici on-line non potrà essere utilizzata per funzioni con elevati requisiti di sicurezza, quali, ad esempio, quelle che consentono di venire a conoscenza di dati personali sensibili.