Una crescente necessità di un’identità digitale

L’identità è una precondizione per partecipare alla società facilitando l’accesso ai sistemi sanitari e assistenziali, all’istruzione e ai servizi finanziari e governativi. Con l’accelerazione della trasformazione digitale, un numero sempre crescente di transazioni viene effettuato online, creando un bisogno sempre più urgente di un’identità digitale.

Sulla base di informazioni personali verificate, un'identità digitale può essere definita come un insieme di attributi acquisiti e archiviati digitalmente come nome, data di nascita o sesso abbinati a credenziali collegate a un identificatore univoco per identificare una persona e quindi facilitare le transazioni nel mondo digitale. In futuro, gli attributi principali dell'identità digitale potrebbero essere integrati con attributi e documenti aggiuntivi provenienti da tutti gli ambiti della vita, come il numero di previdenza sociale, le cartelle cliniche o i diplomi scolastici, catalizzando la trasformazione digitale per innumerevoli casi d'uso che vanno dall'apertura di un conto bancario e dalla stipula di una polizza assicurativa alla presentazione della dichiarazione dei redditi.

  • Prima che ci rendessimo conto di quanto Internet sarebbe proliferato nella nostra vita quotidiana, Internet era stato costruito senza un livello di identità nativa. In assenza di un modo standardizzato per identificare persone o entità, ogni sito web ha iniziato a creare la propria soluzione di identità digitale con i propri account e password locali. Di conseguenza, le persone raccolgono nelle loro interazioni digitali una moltitudine di identità digitali che vanno da diversi account di posta elettronica e profili di social media fino a conti di e-banking.

    La possibilità di utilizzare Internet senza rivelare la propria vera identità non è necessariamente negativa. Quando si utilizzano determinati servizi digitali, come la condivisione di contenuti sui social media, uno pseudonimo è più che sufficiente. In alcuni casi, come nell’esercizio del diritto alla libertà di espressione in uno stato autoritario, rimanere anonimi è fondamentale. In molti altri casi, ad esempio quando si apre un conto bancario o si stipula una polizza assicurativa, le aziende sono tenute per legge a conoscere l'identità della controparte.

    Nonostante gli aspetti positivi, è chiaro che l’odierno panorama frammentato dell’identità digitale, con il suo gran numero di account e password, ha un costo. Per gli utenti, avere un numero ingestibile di account e password è dispendioso in termini di tempo e scomodo, poiché devono registrare ripetutamente i propri dati di identità presso ogni nuova controparte e spesso perdono l'accesso ai propri account. Dal punto di vista della sicurezza, il panorama frammentato dell'identità digitale di oggi non è regolamentato e caratterizzato da un numero scoraggiante di livelli di sicurezza eterogenei e non regolamentati. Di fronte a questa complessità, molti utenti trascurano i problemi di sicurezza e utilizzano la stessa semplice password su molti servizi diversi.

    Al contrario, un’unica identità digitale ha il potenziale per migliorare significativamente sia l’esperienza dell’utente che la comodità, rendendo accessibile un’ampia gamma di servizi digitali in modo continuo e rendendo obsolete le registrazioni ripetute. Inoltre, gli utenti potranno riprendere il controllo sulla propria identità digitale potendo gestire quali attributi desiderano condividere con quale controparte. Allo stesso tempo, “mettere tutte le uova nello stesso paniere” e affidare a un unico ecosistema di identità digitale la gestione della propria identità digitale comporta un elevato rischio di cluster in caso di attacco, guasto tecnico o comportamento dannoso. Nonostante queste preoccupazioni sulla sicurezza, si prevede che la situazione complessiva della sicurezza migliorerà per l’utente medio grazie alla minore complessità e ai livelli di sicurezza standardizzati e chiaramente regolamentati nell’intero ecosistema dell’identità digitale.

    Da un punto di vista commerciale, l'identificazione dello stesso cliente viene replicata in modo ridondante con ogni azienda con cui un cliente intrattiene un rapporto commerciale. Ciò significa che ogni azienda deve sviluppare e mantenere i propri processi di identificazione costosi e spesso in gran parte basati su carta per l’onboarding di nuovi clienti e per autenticare i clienti esistenti al fine di fornire loro servizi. Inoltre, ogni azienda deve rivedere e aggiornare periodicamente i dati dei clienti per riflettere eventuali modifiche.
    In quest’ottica, un’identità digitale universalmente utilizzabile rappresenta un’opportunità per le aziende di ridurre i rischi e realizzare notevoli risparmi sui costi aumentando l’efficienza dei processi e esternalizzando di fatto l’identificazione dei clienti. Le aziende possono aumentare i tassi di conversione abbassando la soglia per concludere una transazione e lanciando nuovi prodotti e servizi con un'esperienza utente superiore per aiutarle a ottenere un vantaggio competitivo.

Comprendere l'identità digitale

Condividi le informazioni sul tuo marchio con i tuoi clienti. Descrivi un prodotto, fai annunci o dai il benvenuto ai clienti nel tuo negozio.

Ecosistema dell'identità digitale

La fornitura e l’utilizzo dell’identità digitale coinvolge una serie di attori interdipendenti, che collettivamente formano un ecosistema di identità digitale. Di fronte alla crescente complessità dovuta ai crescenti volumi di transazioni e alle crescenti aspettative dei clienti, qualsiasi ecosistema di identità digitale di successo richiede uno sforzo di collaborazione tra organizzazioni e settori.


In tutte le fasi del ciclo di vita dell'identità digitale, ogni attore assume determinati compiti o operazioni associati al proprio ruolo. Ma i sistemi di identità digitale possono presentarsi in molte forme diverse. Il numero di ruoli definiti e la portata delle loro attività dipendono in gran parte dai requisiti specifici del quadro giuridico di un paese e dagli attori coinvolti.

Verrà quindi introdotta una serie di ruoli archetipici in un ecosistema di identità digitale. I primi tre ruoli fondamentali Proprietario dell'identità, Fornitore di identità e Parte facente affidamento rappresentano il minimo per qualsiasi ecosistema di identità digitale e sono coperti anche dal quadro normativo emergente della Svizzera (vedere sezione 4). I tre ruoli Broker, Fornitore di attributi e Fornitore di servizi sono etichettati come ruoli dipendenti dall'ecosistema in quanto possono essere incorporati in un ecosistema di identità digitale secondo necessità. È importante notare che questi ruoli generici possono essere ulteriormente suddivisi per soddisfare circostanze ed esigenze diverse.

In pratica, la domanda chiave quando si progetta un ecosistema di identità digitale è se adottare un modello incentrato sul broker o incentrato sul provider di identità.

administrator-male

Identity Owner (IO)

• Owner and controller of a digital identity

• Uses their digital identity to conveniently and securely identify themselves in digital transactions

• Natural person (e.g. Alice or Bob)

identity-theft

Identity provider (IdP)

• Responsible for the provision of a digital identity

• Verifies an individual’s identity and issues the corresponding digital credentials to ascertain their digital identity

• Government agency (e.g. passport office) or government-recognised organisation (e.g. bank)

external-cash-bill-and-payment-method-xnimrodx-lineal-xnimrodx-2

Relying Party (RP)

• Relies on a digital identity for onboarding of new customers and authentication of existing customers

• Integrates digital identity in its operating model to improve the user experience and increase efficiency

• Industry-agnostic role including businesses (e.g. online shops) and government agencies (e.g. tax offices)

sample-rate

Broker

• Ensures interoperability in the ecosystem and enhances privacy by preventing tracking actions across different roles

• Intermediates the data flow between the Identity Provider and the Relying Party

• Neutral organisation (e.g. infrastructure provider)

broker

Attribute Provider (AP)

• Offers additional attributes that are not collected by the Identity Provider during registration

• Additional attributes allow Relying Parties to accelerate their digital processes and offer more tailored services

• Government agency (e.g. fedpol), state-affiliated company (e.g. Post) or private company (e.g. Telco)

external-certificate-award-and-badge-yogi-aprelliyanto-basic-outline-yogi-aprelliyanto

Service provider

• Offers electronic trust services such as digital signatures

• Electronic trust services allow providers to enhance and expand the interactions and services within the ecosystem

• Private company (e.g. Telco)

 

  Core roles   Ecosystem-dependent roles

Incentrato sul provider di identità

In un modello incentrato sul fornitore di identità, i dati fluiscono direttamente dal fornitore di identità alla parte facente affidamento e viceversa. Pertanto, le azioni del proprietario dell’identità possono essere tracciate attraverso l’ecosistema. Ad esempio, il fornitore di identità potrebbe monitorare la frequenza con cui il proprietario dell'identità accede a un casinò online, mentre il casinò potrebbe registrare con quale istituzione il proprietario dell'identità ha registrato la propria identità digitale.

Incentrato sul broker

In un modello incentrato sul broker, un broker di identità intermedia il flusso di dati tra il provider di identità e la parte facente affidamento per garantire l'interoperabilità e migliorare la privacy complessiva del sistema “accecando” il provider di identità e la parte facente affidamento l'uno dall'altro. Ciò significa che le azioni del proprietario dell'identità non possono essere tracciate.

Tuttavia, incanalare l’intero flusso di dati attraverso il broker come autorità centrale introduce un singolo punto di errore e crea un honeypot con una grande quantità di dati preziosi. L’implementazione di un broker basato su una blockchain privata come nel caso della soluzione canadese di identità digitale (sviluppata da SecureKey) potrebbe offrire una soluzione a questo problema e soddisfare il cosiddetto requisito di tripla cecità.

Modello del ciclo di vita dell’identità digitale

La fornitura e l’utilizzo dell’identità digitale non è un evento singolo, una tantum, ma piuttosto una sequenza di eventi (ricorrenti), che possono essere concettualizzati in un modello di ciclo di vita. Di seguito verrà introdotto un ciclo di vita generico dell’identità digitale end-to-end basato su un ecosistema di identità digitale incentrato sul broker.

Registrazione

La fase di registrazione avvia il ciclo di vita dell'identità digitale e può essere ulteriormente suddivisa in richiesta e verifica dell'identità digitale. (1) In una prima fase, il titolare dell'identità registra la propria identità digitale accedendo a una serie di locali dell'offerente o attraverso una presenza online equivalente come un'identificazione video (vedi anche Circolare FINMA 2016/7 Video e identificazione online).

A seconda della progettazione dell’ecosistema dell’identità digitale, (3b) il proprietario dell’identità può abbreviare il processo di registrazione e sfruttare una relazione commerciale esistente. I fornitori di identità (ovvero le banche) possono riutilizzare i dati di identità verificati che hanno già raccolto per soddisfare i propri obblighi di Know-Your-Customer (KYC) e antiriciclaggio (AML).

attributi di identità richiesti nell'applicazione web o mobile del provider di identità. Gli attributi possono essere classificati come dati biografici come nome, sesso, indirizzo, informazioni biometriche (ad esempio impronte digitali, scansione dell'iride) e/o formati di dati aggiuntivi come dati comportamentali. (2) A seconda del livello di sicurezza scelto, il proprietario dell'identità deve impostare un metodo di autenticazione appropriato. Nel caso dell'autenticazione a 2 fattori (2FA), questa include un primo e un secondo fattore a loro scelta. (3) La domanda completata viene quindi inviata al provider di identità.

Verifica

In una fase successiva, (4) il proprietario dell'identità richiede la verifica dei propri dati di identità. In risposta, (5) il provider di identità verifica l'identità rivendicata rispetto ai dati esistenti. Ciò è necessario per accertare se l'identità dichiarata esiste ed è univoca (deduplicazione). Nella maggior parte dei casi, il
la verifica si basa su almeno un documento d'identità governativo ufficiale. A seconda del livello di sicurezza desiderato, questo passaggio viene eseguito come verifica faccia a faccia presso il Pro-Identità

Emissione

Una volta verificata con successo l'identità del proprietario dell'identità, (6) il provider di identità elabora la richiesta del proprietario dell'identità e (7) emette le credenziali sotto forma di identità digitale. Con l'emissione delle credenziali, l'Identity Provider accerta l'identità del Proprietario dell'Identità collegando autorevolmente l'identità digitale tramite un identificatore univoco ad almeno un autenticatore. Le credenziali possono essere classificate come qualcosa che conosci (ad esempio password o PIN), qualcosa che sei (ad esempio informazioni biometriche come un'impronta digitale) o qualcosa che possiedi (ad esempio carta d'identità o token di sicurezza).

Autenticazione

(8) Il proprietario dell'identità può ora utilizzare la propria identità digitale per accedere e richiedere servizi digitali, come l'accesso al portale web di una compagnia aerea per acquistare un biglietto aereo. (9) Per fornire il servizio richiesto, la Relying Party deve autenticare il richiedente. In un ecosistema di identità digitale incentrato sul broker, il proprietario dell'identità viene reindirizzato ai fini dell'autenticazione al portale mobile o web del broker. A questo punto, al proprietario dell'identità viene chiesto di (10) selezionare il proprio provider di identità preferito per questa transazione, (11) presentare una o più credenziali (digitali) per dimostrare la propria identità e (12) dare il consenso a condividere gli attributi di identità richiesti con la Parte Facente Affidamento su base una tantum o limitata nel tempo. Non appena la richiesta di autenticazione viene completamente approvata dal proprietario dell'identità, (13) il broker richiede gli attributi di identità desiderati
dall'Identity Provider scelto e (14) trasmette i dati ricevuti alla Relying Party richiedente per l'autenticazione del Proprietario dell'Identità.

Autorizzazione ed erogazione del servizio

(15) Dopo aver autenticato il richiedente, (16) la Relying Party verifica, nell'ambito del processo di autorizzazione, quali diritti sono associati all'identità digitale dell'utente. Se l'esito dell'autorizzazione è positivo, la transazione può essere approvata e (17) il servizio richiesto viene consegnato al Proprietario dell'Identità.

Identità digitale in Svizzera: a che punto siamo oggi?

Riconoscendo la necessità di un'identità digitale, nel 2013 il Dipartimento federale di polizia ha iniziato a lavorare su un concetto di documento di identificazione elettronico (eID). Rispecchiando il mondo fisico, questo approccio iniziale presupponeva che il rilascio di un'identità elettronica o digitale fosse esclusivamente un responsabilità dello Stato. Nel 2015 il Dipartimento federale di giustizia e polizia (DFGP) ha avviato un’ampia consultazione delle parti interessate cui hanno partecipato i Cantoni, le associazioni di categoria e le grandi imprese. I risultati e gli approfondimenti di iniziative simili in altri paesi suggeriscono che le soluzioni di identità digitale sviluppate dallo stato portano a costi IT comparativamente più elevati e non sono sufficientemente flessibili per adattarsi alle esigenze del mercato in rapida evoluzione e ai progressi tecnologici.

Sulla base di questi risultati, all’inizio del 2016 il Consiglio federale ha annunciato una ripartizione dei compiti e delle responsabilità tra Stato e mercato: gli attori del mercato svilupperanno e gestiranno sistemi di identità digitale basati sulle tecnologie più moderne, mentre il governo fornirà il quadro normativo corrispondente, certificherà i privati Provider di identità e fornire dati di identificazione verificati incluso un identificatore univoco.

Tra febbraio 2017 e novembre 2017 si è svolto il periodo di consultazione sul progetto di legge federale sui servizi di identificazione elettronica (legge D-eID). Il ruolo dello Stato è rimasto un tema molto controverso tra i 62 intervistati, poiché molti di loro hanno rifiutato l'idea settore privato responsabile del rilascio dell’identità digitale. Non sorprende che garantire il massimo livello di sicurezza e privacy sia stata una priorità per tutte le parti interessate.

In occasione dello Swiss Digital Day di novembre 2017, un consorzio di nove grandi aziende svizzere ha annunciato il lancio dell'iniziativa SwissID per sviluppare un'identità digitale unica per il mercato svizzero. Adottando un approccio graduale, SwissID mira a creare un intero ecosistema che offra una suite di diversi servizi di identità che vanno dall'autenticazione alla firma elettronica.

Poco dopo la Posta ha avviato la migrazione di tutti i suoi conti utente su una soluzione SwissID con funzionalità di login di base. Nonostante le reazioni contrastanti da parte dei clienti della Posta, il consorzio SwissID è riuscito fin dall'inizio a creare una consistente base di utenti. Nel marzo 2018 è stata fondata SwissSign Group AG per promuovere lo sviluppo di SwissID. Oggi lo SwissID base può essere utilizzato anche come Single Login presso altre aziende come Blick, Bilanz, la Banca Cantonale di San Gallo o il Cantone dei Grigioni. A breve seguiranno, tra gli altri, le FFS, il Cantone di Zugo, la Mobiliare e AXA Wintherthur.

All’inizio dell’estate 2018 si sono fatte un nome altre due soluzioni svizzere di identità digitale. Dopo una fase pilota di quattro mesi, il Canton Sciaffusa ha introdotto permanentemente la propria soluzione di identità digitale sotto forma di eID+.

Sviluppato in collaborazione con la startup zurighese Procivis, eID+ consente ai suoi utenti di accedere a un numero crescente di servizi di e-government. Nell'aprile 2019, Procivis ha annunciato una partnership con il fornitore di firma elettronica Skribble per combinare l'identità digitale con firme elettroniche giuridicamente vincolanti.

Fedele alla sua reputazione di Crypto Valley, nel novembre 2017 la città di Zugo ha avviato un progetto pilota con la prima identità digitale al mondo basata su blockchain. Sfruttando lo stack tecnologico di uPort, l'azienda informatica ti&m ha implementato lo ZugID come cosiddetta identità auto-sovrana. Essendo indipendente da qualsiasi forma di controllo centralizzato, il concetto di identità auto-sovrana mira a garantire all’utente piena autonomia e controllo sulla propria identità. Nel giugno 2018 lo ZugID è stato utilizzato con successo per un referendum non vincolante.

Nella sessione primaverile del 2019 il Consiglio nazionale ha approvato il progetto di legge federale sui servizi di identificazione elettronica (legge D-eID) (per maggiori dettagli cfr. capitolo 4), compiendo così un passo importante verso un’identità elettronica riconosciuta dallo Stato. Nella sessione estiva 2019 il Consiglio degli Stati ha seguito l’esempio e ha approvato il disegno di legge.

In considerazione del numero sempre crescente di transazioni elaborate digitalmente, la necessità di un’identità elettronica stessa era ampiamente indiscussa in entrambe le Camere. Tuttavia, l'obiettivo fondamentale del regolamento di presupporre una divisione dei ruoli tra Stato e settore privato è stato oggetto di controversia nel dibattito in seno al Parlamento svizzero. Molti politici ritengono che l’emissione di mezzi di identificazione fisici e digitali sia un compito esclusivo della Confederazione Svizzera. Nonostante queste preoccupazioni, la nuova legislazione intende combinare l’effetto di rafforzamento della fiducia del riconoscimento statale e il dinamismo del settore privato per facilitare una soluzione sicura e di facile utilizzo e garantire così il successo dell’eID. Si prevede che il disegno di legge non entrerà in vigore prima del 2020/2021, a meno che non si tenga un referendum.

Questi recenti sviluppi nel mercato – ma anche da parte del governo – indicano che l’identità digitale sta guadagnando slancio in Svizzera. La questione quindi non è tanto se una soluzione di identità digitale verrà introdotta su scala nazionale, ma piuttosto quando verrà introdotta e come sarà un modello di successo.

Progetto di legge federale sui servizi di identificazione elettronica (legge D-eID)

Il progetto di legge federale sui servizi di identificazione elettronica (legge D-eID) crea le basi giuridiche per un'identità elettronica riconosciuta dallo Stato in Svizzera e consente alle persone fisiche di identificarsi in modo sicuro e semplice nelle transazioni commerciali elettroniche con aziende e autorità. Il disegno di legge regola l'intero ciclo di vita dei mezzi di identificazione elettronica dall'emissione alla revoca e definisce i diritti e gli obblighi dei diversi attori nell'ecosistema dell'identità elettronica. La figura seguente illustra i pilastri fondamentali della legge D-eID e approfondisce le relative disposizioni normative.

Ruoli e responsabilità

Nella sezione 2.1 sono stati introdotti una serie di ruoli archetipici in un generico ecosistema di identità digitale. Nel caso dell'ecosistema emergente dell'identità digitale della Svizzera, il progetto di legge federale sui servizi di identificazione elettronica definisce e regola chiaramente i ruoli rilevanti dell'ecosistema nonché i relativi diritti e responsabilità.

Hanno diritto a un'eID e possono agire come titolari dell'identità i cittadini svizzeri e gli stranieri con un documento d'identità valido ai sensi della legge federale sugli stranieri e l'integrazione (LStrI) o gli stranieri la cui identità può essere dimostrata mediante una procedura speciale. L'eID è personale, non trasferibile e volontaria. Il titolare di un'eID deve esercitare l'obbligo di diligenza per prevenire l'abuso della propria eID.

Mentre il rilascio dell’identità è tradizionalmente un compito sovrano delle autorità statali, il progetto di legge federale sui servizi di identificazione elettronica (legge D-eID) presuppone la collaborazione tra lo Stato e il settore privato per fornire l’identità digitale. In questo processo, l’effetto di rafforzamento della fiducia del riconoscimento statale si unisce alla flessibilità del mercato e alla competenza tecnologica per garantire la rapida diffusione dell’eID in Svizzera.

Pertanto, alle aziende private è stata affidata la fornitura dell’identità digitale o elettronica (eID). Per emettere un’eID, i fornitori di identità devono ottenere il riconoscimento formale da parte della neonata Commissione federale per l’eID (EIDCOM). Il riconoscimento dura tre anni e presuppone il rispetto di una serie di requisiti (operativi), come ad esempio l'iscrizione nel registro di commercio, personale qualificato, il rispetto dei requisiti di sicurezza per i sistemi di identificazione elettronica o la comunicazione alle autorità.

Nonostante la suddetta divisione delle responsabilità, lo Stato continua a svolgere un ruolo centrale nell’ecosistema dell’identità digitale. Con EIDCOM verrà creata un'organizzazione federale indipendente con il compito di monitorare il rispetto del progetto di legge federale sui servizi di identificazione elettronica e di prendere le decisioni necessarie per garantire il buon funzionamento dell'ecosistema eID. Tra gli altri compiti, EIDCOM è responsabile del riconoscimento dei fornitori di identità e della pubblicazione di un elenco contenente tutti i fornitori di identità riconosciuti, nonché del mantenimento di un sistema informativo a supporto delle loro attività.

L'Ufficio federale di polizia (fedpol) è responsabile della verifica dell'identità del richiedente e della fornitura all'Identity Provider di dati personali verificati nonché della gestione di un sistema informativo a supporto delle attività di fedpol.

Le parti che fanno affidamento necessitano di un accordo contrattuale con il fornitore di identità che definisca il livello di sicurezza desiderato nonché i processi organizzativi e tecnici per poter utilizzare l'eID come mezzo di identificazione. Mirando all’interoperabilità all’interno dell’ecosistema, l’eID Act
obbliga le parti che fanno affidamento ad accettare qualsiasi eID per il livello di sicurezza richiesto. Il numero di registrazione eID rilasciato da fedpol può essere utilizzato a scopo identificativo.

1

Identity Owner

• Requirements for applying for an eID: (Art. 3)

a. Swiss citizens with valid ID

b. Foreigners with valid ID based on FNIA

c. Foreigners whose identity can be proved in a special procedure

• The eID is personal, non-transferrable (Art. 12) and voluntary (Art. 3)

• A duty of care applies to the owner to prevent abuse (Art. 12)

2

Identity Provider (IdP)

• Issuing eIDs requires formal recognition from eID-Commission (EIDCOM) (Art. 13)

• Identity Providers ensure interoperability of their eID solutions

• Recognition is granted for three years (Art. 14) and requires meeting (operational) requirements such as such as skilled staff, data protection & security and reporting (Art. 15)

3

Relying Party (RP)

• Relying Parties need a contractual agreement with the Identity Provider to define security level as well as organisational and technical processes (Art. 20)

• Relying Parties can use the eID registration number for identification (Art 21)

• Relying Parties are required to accept any eID for the required security level (Art. 22)

4

Role of the state

Like in the physical world, the state assumes a pivotal role in the digital identity ecosystem:

• The federal office police (fedpol) is responsible for identity verification, providing verified personal identification data to the Identity provider (Art. 6) and assigning the Identity Owner a unique eID registration number

• The EIDCOM is responsible for the IdP recognition and publishing a list with all IdPs (Art. 25) as well as maintaining an information system to support their activities (Art .24)

5

Security levels

• 3 different security levels: Low, Substantial, High (Art.4)

• Principal of downward compatibility (Art. 4): An eID issued with a higher security level can also be used, if a lower level is required

• The security levels differ by the number of personal identification attributes (Art. 5) as well as the rules for issuance, usage and operation (Art. 6)

6

Data protection

In some aspects, the data protection provisions of the eID Act go beyond the Federal Act on Data Protection:

• Processing of personal identification data is limited to the purpose of identification as long as the eID is valid (Art. 9)

• The transfer of personal identification data is limited to the necessary minimum and requires consent (Art. 16)

• Personal Identification data, usage data and other data have to be kept segregated (Art. 9)

7

Lifecycle

• An eID is issued by the Identity Provider together with an authentication mean after the fedpol has verified the applicant’s identity and assigned him an eID registration number (Art. 6)

• An eID can be temporarily blocked by the IdP for example in the event of suspected fraud or loss of the password

• The fedpol can revoke the eID registration number, if the eID is no longer used on a permanent basis

8

Fees

• The fedpol and the EIDCOM can charge fees on a pay-per-use basis for their provisions and services. The Federal Council specifies the fees in an ordinance and considers whether an IdP charges a fee for issuing an eID. (Art. 27) • Queries regarding the validity of an eID are free of charge (Art. 27)

Livelli di sicurezza e protezione dei dati


La sicurezza è una preoccupazione fondamentale quando si parla di identità elettronica. Il progetto di legge federale sui servizi di identificazione elettronica (legge D-eID) distingue tre livelli di sicurezza per l'eID, poiché non tutti i processi aziendali hanno gli stessi requisiti di sicurezza. In pratica, misure di sicurezza eccessivamente rigide possono essere percepite come ingombranti e impedire l’adozione di massa dell’identità digitale. Come sopra illustrato, i livelli di sicurezza si differenziano principalmente per il numero di attributi identificativi personali, per la frequenza di aggiornamento degli attributi e per le regole di registrazione e autenticazione, nonché per l'ambito di applicazione.

Il livello di sicurezza basso contiene solo attributi di base ed è sufficiente per gli acquisti online (inclusa la verifica dell'età) o per l'accesso a un portale cittadino. Con più attributi e standard di sicurezza più elevati per la registrazione e l'autenticazione, il livello di sicurezza sostanziale è adatto per stipulare una polizza assicurativa online o aprire un conto bancario online. Progettato per la massima protezione contro la minaccia di frode e modifica dell'identità, il livello di sicurezza elevato può essere utilizzato per i servizi più sensibili come il voto elettronico.

Quando viene emessa e utilizzata un'identità elettronica, vengono trattati dati sensibili e personali. La protezione e la sicurezza dei dati hanno quindi la massima priorità nel Parlamento svizzero. Ciò si riflette anche nel progetto del Consiglio federale. In determinati ambiti il ​​progetto di legge federale
sui servizi di identificazione elettronica va oltre l’attuale livello di protezione della legge svizzera sulla protezione dei dati. Ad esempio, il fornitore di identità può trasmettere solo i dati di identificazione personale alle parti che fanno affidamento (ad esempio negozi online) per i quali il proprietario dell'identità ha acconsentito. Il provider di identità deve cancellare i dati di protocollo risultanti dall'utilizzo dell'eID dopo sei mesi. Inoltre, i dati identificativi personali, i dati di utilizzo e altri dati devono essere mantenuti segregati. Anche la legge svizzera sulla protezione dei dati è attualmente in fase di revisione totale e ciò potrebbe avere importanti conseguenze per l’eID quando entrerà in vigore.

Ciclo di vita e tariffe

La legge eID regola fasi importanti del ciclo di vita dell’identità digitale come la registrazione, il blocco o la revoca dell’eID. Per ottenere un eID, il proprietario dell'identità deve prima richiedere un eID al fornitore di identità. Dopo un primo screening la domanda viene trasmessa a fedpol per la verifica dell'identità sulla base dei dati d'identità presenti nei registri statali esistenti. Se la verifica ha esito positivo e il consenso dell'utente, fedpol trasmette i dati personali del richiedente e il numero di registrazione eID assegnato all'Identity Provider. Emettendo un mezzo di autenticazione al provider di identità, il provider di identità attiva l'eID per l'uso. In caso di sospetta frode o smarrimento della password, l'Identity Provider può bloccare temporaneamente un eID. Se un'eID non viene più utilizzata, fedpol può revocare permanentemente il numero di registrazione eID.

Sia Fedpol che EIDCOM possono addebitare tariffe per i loro servizi sulla base del modello pay-per-use per finanziare le proprie spese. Il Consiglio federale definirà in un'ordinanza il modello tariffario dettagliato e prenderà in considerazione se gli Identity Provider forniscono i loro servizi gratuitamente. È possibile rinunciare alle commissioni per il trasferimento iniziale dei dati di identificazione personale durante il processo di emissione per accelerarne l’adozione sul mercato. Per ogni ulteriore trasferimento verrà addebitata una commissione dell'ordine di due cifre in centesimi. Le richieste per verificare la validità di un'eID sono gratuite.

Principali sfide per l’identità digitale in Svizzera

Il punto di vista dell’utente: costruire la fiducia nell’identità digitale

La fiducia gioca un ruolo essenziale nel processo di adozione dell’identità digitale, come dimostra l’esperienza con esempi recenti come l’e-commerce, l’e-banking e il mobile banking. Di fronte a un numero crescente di minacce informatiche che vanno dalle violazioni dei dati e dalle frodi al furto di identità, le preoccupazioni degli utenti riguardo alla sicurezza e alla privacy dei propri dati di identità sono tra i principali ostacoli all'adozione dell'e-commerce e dell'identità digitale.

In assenza di conoscenze o esperienze esistenti in materia di identità digitale, la fiducia è un prerequisito per ridurre i rischi percepiti per la sicurezza e la privacy associati all’utilizzo di tale nuova tecnologia. Se tutte le azioni potessero essere eseguite con totale certezza e non ci fossero rischi (percepiti), non ci sarebbe bisogno di fiducia. Fornire all'utente le garanzie necessarie che i suoi dati identificativi saranno protetti è di fondamentale importanza per guadagnare e mantenere la fiducia dell'utente. Con un solo incidente, la fiducia dell'utente potrebbe essere persa irrimediabilmente.

Nell'odierno panorama frammentato dell'identità digitale, il proprietario dell'identità deve gestire una moltitudine di identità digitali non regolamentate emesse da diverse organizzazioni. Nonostante i livelli di sicurezza eterogenei e in gran parte non trasparenti, il proprietario dell’identità deve affidare a tutte queste organizzazioni la protezione dei propri dati di identità per poter effettuare transazioni online.

Quando adotta un’identità digitale riconosciuta dal governo come la Swiss eID, il proprietario dell’identità deve fidarsi solo di un unico ecosistema di identità digitale. Nonostante un elevato rischio di cluster, fare affidamento su un singolo provider di identità sarà più sicuro per l’utente medio poiché i livelli di sicurezza attualmente eterogenei e non regolamentati verrebbero standardizzati in tutto l’ecosistema, contribuendo ad aumentare la sicurezza complessiva per il proprietario dell’identità.

Oltre alla tendenza del singolo utente a fidarsi, garanzie strutturali come un quadro normativo forte (vedere sezione 4) o un quadro di sicurezza e privacy di prim’ordine sono fattori determinanti importanti per creare fiducia in un ecosistema di identità digitale. Costruire la fiducia, tuttavia, richiede tempo e denaro poiché si basa su relazioni a lungo termine e su esperienze cumulative che forniscono all’utente un senso di familiarità. Pertanto, le agenzie statali, le società affiliate allo Stato e alcuni attori privati ​​come banche o compagnie assicurative traggono vantaggio dalla loro esperienza nella gestione di dati sensibili e sono nella posizione ideale per sfruttare la propria reputazione per infondere fiducia nell’ecosistema dell’identità digitale.

Una prospettiva aziendale: avere successo in un mercato a due facce

Per entrambi i gruppi di clienti in un mercato dell’identità digitale bilaterale – Proprietari dell’identità e Parti che fanno affidamento – l’utilità di un sistema di identità digitale è una funzione del numero di partecipanti sull’altro lato del mercato che consente loro di realizzare effetti di rete positivi. In altre parole, i proprietari di identità sono disposti a registrarsi per un’identità digitale solo se possono usarla universalmente. Per i Relying Party, l'integrazione di una soluzione di identità digitale nei propri sistemi e processi ripaga solo se riescono a raggiungere un numero elevato di clienti e potenziali clienti. Ciò significa che le strategie per risolvere il problema dell’uovo e della gallina nell’emergente ecosistema svizzero dell’identità digitale dovrebbero essere rivolte sia ai proprietari dell’identità che alle parti che fanno affidamento.

I sussidi monetari sono una misura efficace per aumentare il livello di adozione. Sovvenzionare un lato del sistema identitario aumenta il numero di partecipanti dal lato sovvenzionato, il che rende il sistema identitario più attraente per l’altro lato. Il fornitore di identità può compensare i costi dei sussidi in un mercato con una maggiore domanda e profitti sull’altro lato del mercato. Ma chi sovvenzionare? La strategia di prezzo ottimale in un mercato bilaterale è ancora oggetto di dibattito tra gli economisti. In linea di principio, al gruppo di attori meno sensibile ai prezzi dovrebbe essere addebitato un prezzo più elevato a vantaggio del lato di mercato più sensibile ai prezzi. La sfida sta nel determinare in modo affidabile l’elasticità al prezzo dei diversi gruppi di attori e la loro disponibilità a pagare.

I risultati del progetto di identità digitale SuisseID, piuttosto infruttuoso, consentono tuttavia di trarre conclusioni preliminari su come elaborare una strategia di prezzo più efficace per una soluzione di identità digitale svizzera. Nel caso di SuisseID, la logica tradizionale dei prezzi è stata applicata a un mercato bilaterale senza considerare le interdipendenze tra proprietari di identità e parti che fanno affidamento. Dopo una fase iniziale con sussidi statali, i proprietari di identità dovevano pagare una quota di registrazione oltre a una quota di utilizzo annuale. I costi di registrazione rendevano l’ecosistema poco attraente per i nuovi utenti, mentre la maggior parte degli utenti esistenti non era disposta a rinnovare il proprio abbonamento.

Pertanto, un ecosistema di identità digitale di successo in Svizzera dovrebbe fornire identità digitali gratuite ai proprietari di identità e basare il business case sulle tariffe delle parti che fanno affidamento e su servizi aggiuntivi. Soprattutto nelle fasi iniziali dell'ecosistema, per creare slancio sono consigliabili anche incentivi monetari per le Relying Party sotto forma di sconti.

Un’altra strategia efficace per superare il “problema dell’uovo e della gallina” è attirare prima gli utenti di alto valore. Nel caso dei sistemi di identità digitale, l'onboarding di Relying Party di alto valore come grandi banche, società di telecomunicazioni o società di e-commerce può aumentare significativamente l'attrattiva complessiva di un'identità digitale per i proprietari di identità, poiché possono utilizzarla in modo più ampio. Una volta che il proprietario dell'identità è abituato a utilizzare la propria identità digitale quando interagisce con queste parti affidanti di alto valore, si aspetta lo stesso livello di convenienza anche da altre società, il che crea pressione competitiva affinché altre parti affidanti seguano l'esempio.

Sebbene l’adozione dell’eID offra molti vantaggi alle parti che fanno affidamento, è fondamentale agevolare la loro transizione nell’ecosistema emergente dell’identità digitale della Svizzera abbassando le barriere di ingresso tecniche e operative. Ciò è particolarmente importante nel caso di organizzazioni pubbliche o private di piccole o medie dimensioni che non dispongono delle capacità e/o delle risorse per un progetto di implementazione dell’identità digitale su larga scala. L'onboarding delle parti che fanno affidamento dovrebbe seguire un processo semplificato e sfruttare un quadro contrattuale esistente. Da un punto di vista tecnico, un broker che funge da intermediario tra Relying Party e Identity Provider può facilitare l'integrazione tecnica in tempi di scarse risorse IT. Invece di essere obbligato a creare interfacce per più provider di identità, il broker funge da unico punto di contatto per la Relying Party.

Una delle strategie più efficaci per superare il problema dell’uovo e della gallina è attingere a un bacino di utenti esistente. Oggi, la maggior parte dei proprietari di identità possiede già (più) identità digitali che potrebbero essere potenzialmente sfruttate per ridurre al minimo lo sforzo per ottenere un’eID.