Contratti Software e del Web
Consulenza legale per la redazione e gestione di contratti software e informaticiA cura dell'avvocato Nicola ferrante
L'identità personale, secondo le teorie giuridiche prevalenti, indica il complesso delle risultanze anagrafiche che servono ad identificare il soggetto nei suoi rapporti con i poteri pubblici e a distinguerlo dagli altri consociati. La Corte Costituzionale configura il diritto all'identità personale come "il diritto ad essere se stesso, inteso come rispetto dell'immagine di partecipe alla vita associata, con le acquisizioni di idee ed esperienze, con le convinzioni ideologiche, religiose, morali e sociali che differenziano, ed al tempo stesso qualificano, l'individuo".
Per contro, invece, la nozione di identità digitale non ha specifici riscontri normativi, ma è comunque entrata a far parte, in questi ultimi anni, dell'ambiente giuridico e viene declinata in diversi modi. In una prima, e più ampia accezione, l'espressione è utilizzata come sinonimo di identità "virtuale", essendo impiegata per spiegare la possibilità di assumere diverse identità personali in rete. In un'accezione più ristretta, più vicina a quella che giuridicamente viene definita come "identità informatica", l'espressione identità digitale è impiegata per designare l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto. Queste informazioni sono di norma protette da un sistema di autenticazione. A questa accezione dell'identità digitale fa comunemente riferimento il fenomeno di "furto di identità".
Da questi rilievi emerge chiaramente che quando si parla di identità digitale non si può prescindere dal parlare di due aspetti ad essa collegati: la tutela dell'identità personale in rete (soprattutto per quanto riguarda la c.d. reputazione web) e quello delle tecniche di identificazione/autenticazione del soggetto che utilizza gli strumenti informatici. L'identità digitale è una componente estremamente preziosa sia come elemento abilitante l'attività in rete, sia come elemento passivo da tutelare affinché altri non possano danneggiare l'interessato.
Il concetto di identificazione di persona mediante confronto con un documento di riconoscimento nell'era dell'informazione si evolve in una nuova forma: l'identificazione informatica dell'identità digitale. Uno dei problemi più attuali su Internet è il furto di identità digitale (c.d. phishing) ossia il furto delle credenziali digitali e la possibilità di un soggetto di impersonare un altro individuo nell'accesso ai sistemi informatici.
L'identità digitale è inoltre particolarmente importante se abbinata alla reputazione web ossia alla valutazione che il Semantic Web attribuisce ad un'identità digitale. Tale valutazione è effettuata da strumenti informatici automatici che elaborano i pareri positivi o negativi emergenti in rete legati ad un certo soggetto. In questo senso è molto importante che la propria identità in rete sia gestita in modo corretto e rispecchi i dati e le caratteristiche del soggetto fisico a cui appartiene. Sul tema, Rodotà ci ha ricordato spesso come la nostra identità digitale non sia univoca, ma muti rispetto ai vari soggetti presenti in rete con cui si relaziona l'individuo (es. l'identità digitale in Facebook, nel sistema del Comune di residenza, nel sistema informativo dell'Agenzia delle Entrate, etc.). La rete ci induce a frammentare la nostra identità e come in uno specchio rotto la ricompone creando effetti di distorsione. Sta a noi fare in modo che l'effetto ottico prodotto dalla dispersione in Internet delle nostre mutevoli identità digitali suggerisca un'immagine il più possibile fedele alla realtà.
Tutto ciò che riguarda la nostra identità digitale coinvolge, dunque, almeno tre aspetti: garantire l'identità della persona, tutelarne la privacy e assicurare la sicurezza. I sistemi informatici in grado di gestire il complesso flusso di operazioni che garantiscono l'identificazione, l'erogazione in sicurezza delle credenziali al destinatario, l'associazione di queste con l'individuo, la gestione delle richieste di autenticazione, la gestione dei permessi ed infine l'autorizzazione si chiamano Identity Management System (IMS). Questi sistemi, sempre più sofisticati e cardine di ogni sistema di e-Governement, devono gestire anche gli aspetti relativi alla privacy ossia impedire ai non addetti ai lavori di venire in contatto con le credenziali degli utenti e per i sistemisti limitarne l'accesso ai soli fini di servizio.
L'identità digitale è formata dall'insieme di due fattori: da una parte l'identificazione dell'esistenza del soggetto fisico; dall'altra, l'attribuzione a tale soggetto fisico di un insieme di codici elettronici tali che una volta introdotti in uno o più calcolatori, singoli o in rete, la persona possa essere identificata, collegando i codici alla sua identità. A livello informatico, l'identificazione si compone delle credenziali informatiche e delle attività poste in essere per la verifica, anche remota e indiretta, dell'identità dell'utente. Il primo passo da compiere riguarda l'identificazione fisica del soggetto che può avvenire in tre modalità: de visu, in modalità telematica o in modalità ibrida.
La modalità de visu prevede che il soggetto si presenti di persona dall'erogatore delle credenziali (es. Azienda, Comune, Università, etc.) e si identifichi con un documento di riconoscimento; l'ente rilascierà al soggetto (in busta chiusa e anonima) le credenziali o le spedirà via posta. La modalità telematica consiste nell'erogazione delle credenziali in maniera totalmente digitale: l'utente si registra via web mediante un portale e le credenziali arrivano mediante un SMS o un'email. Il rischio di recapitare le credenziali ad un falso mittente o ad un soggetto non reale è elevata. Si usa questa modalità in casi particolari ossia quando l'operazione da compiersi ha un'azione ridotta nel tempo o nello spazio (es. credenziali one-shot che valgono solo una volta per esempio per un servizio che poi non si ripete) o quando non vi sono particolari ragioni per pensare ad una sostituzione di persona (es. il pagamento di un tributo o di una tassa dove nessuno ha interesse a sostituirsi al titolare del pagamento). Infine, il metodo ibrido consiste nell'invio telematico di una parte o della totalità delle credenziali (es. una parte via email e una parte via SMS, oppure con raccomandata), e il completamento di tale procedura avviene mediante un'identificazione di persona con la consegna di qualche supporto fisico (es. badge) o di un ulteriore codice (es. PIN) che sblocca la rimanente parte delle credenziali.
Il secondo passo consiste nell'autenticazione, meccanismo tecnologico mediante il quale il sistema informatico, una volta che l'utente ha introdotto le credenziali, identifica digitalmente il soggetto abbinato ai codici informatici digitati. L'autenticazione può avvenire mediante tre modalità: inserendo cose che si posseggono (es. una carta di credito, una carta con chip, un certificato di firma, etc.); inserendo cose che si sanno (es. una password, un codice PIN, etc.); fornendo caratteristiche personali (es. dati biometrici, etc.). Mediante la fase di autenticazione il sistema informatico riesce a risalire all'identità digitale del soggetto richiedente e quindi a verificare se questi ha i diritti di accesso alle informazioni richieste e quali. I diritti di accesso sono definiti da un complesso incrocio di diverse informazioni: identità digitale, ruolo (es. amministratore delegato), status professionale (es. avvocato), arco temporale (es. professionista solo nel 2012). I sistemi di identity management moderni riescono a gestire i ruoli, le deleghe e l'incrocio di entrambe in un arco temporale anche se per un'ottimale gestione di tale problematica si sviluppano programmi informatici particolari e personalizzati in base alla realtà da gestire.
Il problema centrale e più importante che al momento appare meritevole di un discorso approfondito, riguarda comunque la tutela della nostra identità digitale in un ambiente (digitale) profondamente cambiato rispetto a pochi anni fa. Ormai la rete ha acquisito una valenza speculare rispetto alla vita reale, anzi sempre più spesso è diventata una estensione della vita reale stessa. Lo sviluppo dei social network, come facebook, ha modificato il modo di interagire con la rete, introducendo la consuetudine di utilizzare sempre i nostri dati personali e identificativi. La banda larga ha permesso l'inclusione di contenuti digitali di ogni tipo, e la geolocalizzazione ha permesso il tracciamento "live" della nostra attività (photo geotagging, Foursquare, ecc). Inoltre, dato il notevole aumento delle transazioni economiche attraverso la rete, si è emersa sempre di più l'esigenza di tutelare l'affidamento sull'identità degli interlocutori e di sviluppare progetti a tutela e garanzia dell'identità digitale. Permangono i rischi e i dubbi legati al tema, ovvero le dispute tra sicurezza e anonimato, certezza e libertà, conoscibilità e riservatezza.
A livello di privati cittadini, i rimedi e le precauzioni da adottare per tutelare la propria immagine in rete e per evitare problemi in relazione alla propria identità digitale, consistono nelle buone pratiche da utilizzare ogni volta che si utilizza un computer (o altro) collegato alla rete Internet: limitare il più possibile la diffusione dei dati personali in rete, evitare la diffusione dei dati finanziari, impostare un buon livello di privacy nei social network e ovviamente monitorare periodicamente la propria presenza sulla rete.
Per informazioni sulla nostra consulenza per la redazione e gestione di contratti software e del web visita questa pagina o contatta lo studio alla mail Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. al numero 328-9687469 o tramite il modulo di contatto sottostante.