Anagrafe Unica Nazionale: bello, ma...?

Leggo su www.pubblicaamministrazione.net che si sta realizzando "uno dei più ambiziosi e rivoluzionari progetti di E-Government mai concepiti finora: l’AUN (Anagrafe Unica Nazionale)" (dal comunicato stampa ufficiale). In pratica, un datawarehouse centralizzato in cui confluiranno tutti i dati anagrafici dei cittadini italiani, che saranno quindi messi a disposizione delle amministrazioni centrali e locali, ma anche - qui la parte più interessante - direttamente ai singoli cittadini, che potranno accedervi tramite interfaccia per sfruttare i servizi messi a disposizione (come la richiesta di certificati).

Trovo che sia un'ottima idea, nell'ottica di alleggerire il peso della burocrazia e di supportare la P.A. come fornitore di servizi ai cittadini. E' vero che alcuni servizi simili sono già disponibili (il comune di Torino, per esempio, su richiesta dell'interessato invia a domicilio tutta una serie di certificati), ma si tratta sempre di soluzioni fortemente localizzate. In questo caso invece, la centralizzazione consentirebbe una migliore armonizzazione tra i dati raccolti dalle varie anagrafi, l'accesso ubiquo alle informazioni, e le auspicabili economie di scala.

E' anche piacevole scoprire che a promuovere questo progetto sia stata fin dall'inizio non la solita impresa milanese o romana, o la sezione italiana di una grande multinazionale del software, ma un'azienda del meridione (Infinity DWH), in particolare della Calabria, di cui troppo spesso si parla solo per fatti di cronaca negativi.

Per una naturale tendenza, che potrei banalmente definire deformazione professionale, mi incuriosisce il livello di sicurezza che questo progetto dovrà adottare. Le banche dati di cittadini sono strumenti fondamentali per l'amministrazione pubblica, per cui si accetta di buon grado l'esposizione della propria privacy ad alcuni operatori, confidando nella loro correttezza e onestà. Tanto per dire, tempo fa - in seguito a una riunione di condominio particolarmente infuocata - un mio condomino, allora dipendente dell'amministrazione tributaria, minacciò velatamente personali verifiche fiscali sulle dichiarazioni dei redditi di un altro condomino con cui era entrato in conflitto. A me diede fastidio l'idea che un operatore autorizzato agli accessi sui dati personali potesse soddisfare così facilmente una curiosità dettata dal capriccio. Ma il fatto che gli stessi dati diventino oggi accessibili in rete mi allarma ancora di più.

Leggere sul comunicato stampa citato che il database è "accessibile grazie ad un’amichevole ed uniforme interfaccia che permetta in tempo reale l’aggiornamento del database centrale" mi fa un certo effetto. Perché dovrei avere la necessità di modificare personalmente i miei dati? E perché un pubblico ufficiale (l'impiegato dell'anagrafe) dovrebbe farlo tramite un accesso a internet? Sia chiaro, non sto contestando il progetto - non ho elementi sufficienti - sono solo i primi dubbi che nascono da quella frase, apparentemente innocente nella sua genericità.

Poi sul sito della Infinity DWH leggo che "il tutto [è] garantito da specifiche tecniche di sicurezza e da un accesso ai dati possibile solo con l’ausilio di carta di identità elettronica o di smart card caratterizzanti la firma digitale dell’utente". Soprattutto qui sarebbe interessante saperne di più. Finalmente cominceremo a sfruttare le funzionalità della carta d'identità elettronica, che i comuni rilasciano già da un paio d'anni. Ma l'uso di una ID card, sicuramente meglio della classica accoppiata username-password, non è tuttavia garanzia sufficiente di sicurezza, come risulta evidente da questo articolo (in inglese) o da una rapida ricerca sul sito di Schneier.

A ben guardare però, sia nel comunicato stampa sia sul sito della Infinity DWH, si parla solo di protocollo d'intesa fra aziende private e associazioni di categoria (Anipa e Alsi). Nessun cenno a un ipotetico contratto con Presidenza del Consiglio, Ministero dell'Interno o chi per loro, e neppure un bando di gara per l'assegnazione di un'appalto, come si dovrebbe fare in questi casi. Si parla per ora di un primo prototipo, che a tempo debito immagino sarà presentato pubblicamente. Vedremo presto la versione 1.0? A chi sarà presentata? Ma soprattutto, chi sarà chiamato a valutarne le caratteristiche, le potenzialità offerte e i possibili rischi? In questo senso il precedente di Italia.it non fa ben sperare...