Nell’era in cui viviamo, l’identità digitale è diventata sempre più rilevante.
Ma cos’è con precisione l’identità digitale? Per identità digitale si intende un insieme di dati che consentono di identificare univocamente una persona, un’azienda o un oggetto e che vengono raccolti, memorizzati e condivisi digitalmente all’interno di un ecosistema di attori e attraverso tecnologie abilitanti, e che permette l’accesso a servizi digitali a valore aggiunto.
Questi dati possono includere nome, cognome, data e luogo di nascita, indirizzo e-mail, dettagli del conto bancario, profili sui social media e molte altre informazioni personali. Di conseguenza, quanto più elevato è il livello di complessità all’interno del sistema informatico, tanto più approfondite saranno le informazioni relative alla persona.
Attualmente il panorama italiano dell’identità digitale presenta molteplici strumenti per accedere ai servizi digitali pubblici e privati, come SPID, CIE e CNS.
Lo SPID (Sistema Pubblico di Identità Digitale) è uno strumento promosso dall’Agenzia per l’Italia Digitale (AgID) che consente ai cittadini di accedere a servizi online di oltre 8.000 PA e delle circa 50 imprese private aderenti attraverso un’unica identità digitale. Alcuni esempi di servizi ai quali è possibile accedere sul fronte pubblico sono la richiesta di certificati anagrafici, il pagamento delle tasse, l’accesso al fascicolo sanitario elettronico e ai servizi Inps; su quello privato vi sono il supporto alla verifica dell’identità in fase di apertura di un conto corrente e l’accesso a servizi di firma digitale.
La CIE o Carta di Identità Elettronica è l’evoluzione della tradizionale carta di identità cartacea, rilasciata dall’ufficio anagrafe del proprio Comune di residenza. La tessera, oltre a riportare i dati anagrafici del cittadino, è dotata di un microchip che contiene ulteriori dati per la fruizione di servizi a valore aggiunto in Italia e in Europa. È inoltre abbinata a un codice PIN fornito al momento del rilascio della carta fisica, utilizzabile per l’accesso a servizi online con elevato livello di criticità.
La CNS o Carta Nazionale dei Servizi è anch’essa una smartcard dotata di microchip che contiene un certificato digitale a supporto del riconoscimento dell’utente per l’accesso ai servizi online di alcune PA. Per i cittadini, la tessera sanitaria ha anche valore di CNS e, tramite il supporto di un lettore di carte elettroniche, offre l’accesso a servizi quali Inps, Inail o Agenzia delle Entrate. Dall’altro lato, le CNS erogate a imprese e professionisti permettono anche di consultare le informazioni relative alla propria azienda nel Registro Imprese.
L’identità digitale di una persona, quindi, contiene una quantità significativa di informazioni personali, che potrebbero essere utilizzate in modo improprio o abusivo se non adeguatamente protette.
In questi anni, con l’aumento dell’utilizzo di internet e l’evoluzione degli strumenti tecnologici che consentono la diffusione e la condivisione dei dati personali online, sono cresciuti esponenzialmente i fenomeni dell’Identity Theft, ovvero del furto di identità digitale all’interno dei social network, sia per la possibilità di creare agevolmente degli account falsi da parte di soggetti terzi, sia per le erronee modalità di custodia delle credenziali da parte degli utenti, e del Phishing. Con tale attività, un soggetto cerca di appropriarsi di informazioni quali numeri di carte di credito, informazioni relative ad account, password o altre informazioni di natura personale, convincendo l’utente a fornirle mediante falsi pretesti, come ad esempio l’invio di posta che sembrano provenire da siti Web noti o fidati come il sito della propria banca o della società di emissione della carta di credito.
Tutto ciò che riguarda la nostra identità digitale coinvolge, dunque, almeno tre aspetti: garantire l’identità della persona, tutelarne la privacy e assicurare la sicurezza. È essenziale proteggere la privacy e i diritti individuali nel contesto digitale.
Per questo si parla di diritto dell’identità digitale. Il diritto dell’identità digitale garantisce che gli individui abbiano il controllo sui propri dati personali, possano gestire la loro reputazione online e siano protetti da pratiche di sorveglianza invadenti o da frodi digitali.
Per proteggere il diritto dell’identità digitale, sono necessarie misure a livello individuale, aziendale e legislativo. A livello individuale, è importante adottare buone pratiche di sicurezza informatica, come:
- Scegliere password complicate, difficilmente identificabili e cambiare spesso le password
- Aggiornare costantemente il sistema operativo
- Controllare le impostazioni del browser
- Evitare l’impiego di reti wi-fi pubbliche
- Utilizzare una VPN per criptare le attività on-line
- Monitorare il social login
- Leggere con attenzione tutte le mail (che sono il mezzo di comunicazione preferito degli hacker)
- Modificare con frequenza le impostazioni sulla privacy
- Optare per sistemi autentificativi a due fattori (coinvolgendo ad esempio il numero di cellulare)
- Proteggere i device personali, soprattutto oggi con la diffusione massiva dello smart working
- Filtrare e selezionare le informazioni pubblicate sui social
- Controllare costantemente la situazione finanziaria on-line (tramite i servizi di home banking)
- Servirsi, quando possibile, di software anti-tracciamento
- Servirsi di browser sicuri
A livello aziendale, le organizzazioni devono adottare politiche di protezione dei dati e garantire che le informazioni personali dei clienti siano adeguatamente protette.
A livello giuridico, come affrontiamo anche nell’insegnamento Informatica Giuridica e Cyber Security del percorso di laurea “Diritto e Security”, è necessario partire dallo studio dell’informatica giuridica. Bisogna indagare la “metodologia giuridica” e trattare anche dal punto di vista filosofico-giuridico alcuni caratteristici temi dell’informatica giuridica, con particolare riferimento alla questione della sicurezza dell’informatica.
Temi come intelligenza artificiale, intelligenza umana, algoritmi, banche dati, riservatezza, dati personali, sicurezza e molto altri devono essere affrontati partendo, da un lato, da casi giurisprudenziali e da fattispecie concrete e dall’altro puntando sulla responsabilizzazione degli utenti. La facile porta di accesso, ancora oggi, resta l’errore umano, commesso per distrazione o per mancanza di un’adeguata formazione.