Identità virtuale, informatica e digitale: chiarezza

Identità virtuale e persone. Come assicurarne un sicuro collegamento? Tra furti di identità virtuali e ‘muli digitali’ potrebbe non risultare sempre facile. Tutto è ricondotto alla onestà degli utenti e alla consapevolezza del valore dei dati immessi in rete e alle procedure di sicurezza per accedere ai servizi. Detti utenti, attualmente, sono sempre più responsabili dei propri ‘profili’, della propria identità virtuale, nella quale è possibile ricondurre sia l’identità informatica sia quella digitale. Come per tutte le novità della moderna tecnologia, risulta necessario classificare i fenomeni. Si ritiene che l’identità informatica attenga alla sfera privata, allorché l’identità digitale, poiché definita per legge, attenga alla sfera del pubblico. Esse sono comunque accomunate dalle procedure di accesso ai servizi. L’identità virtuale non è certo una novità: essa trova il suo illustre precedente nell’identità giuridica.

L’identità virtuale- Un tempo si parlava di identità giuridica. La si acquisisce, naturalmente, anche adesso: è uno di quei fenomeni alla base della convivenza sociale. Per intenderci quella che si acquisisce al momento in cui i genitori iscrivono all’anagrafe il neonato assegnandogli un nome e che ha permesso l’ideazione delle persone giuridiche.

Si può dire, a seguito della filosofia esistenzialista (Sartre in particolare), che si tratta di una identità esistenziale. In altri termini ancora, più moderni, si può affermare che si tratta di una identità virtuale. Tale tipologia di identità è non direttamente palpabile, non direttamente visibile e non direttamente ascoltabile. In questo senso si differenzia radicalmente dalla identità corporale, la quale, assieme a quella virtuale, costituisce l’identità personale.

L’identità virtuale, esistenziale e giuridica, si manifesta, attualmente, anche attraverso quella che è stata indicata come identità digitale.

In quest’ultima categoria, alcuni autori (Renna; Nastri) riconducono sia l’identità privata sia quella pubblica.
Per identità privata si intende l’identità che manifesta “tutta una serie di espressioni della personalità, che spaziano dagli account su forum o social media (facebook, twitter etc…) fino a giungere a procedimenti sofisticatissimi di identificazione”; allorché per identità pubblica si intende ciò che “attiene essenzialmente ad un complesso di dati testuali e biometrici incorporati in un documento rilasciato da una pubblica identità” (cfr. Consiglio Nazionale del Notariato - CNN, studio n. 1-2020/DI).

A parere di chi scrive, e come confermato anche dal CNN, seppur surrettiziamente, questa impostazione genera confusione, poiché all’interno di una medesima categoria (quella di identità digitale) sono fatti confluire dei fenomeni che non hanno niente in comune fra di loro, ossia quello di un generico sinonimo di identità di rete e quello delle informazioni e delle risorse concesse da un sistema informatico pubblico.

Per evitare confusioni sarebbe più appropriato parlare, nella grande categoria della identità personale virtuale (giuridica o esistenziale che sia), di identità informatica, per quanto attiene a quella privata, e di identità digitale, relativamente a quella pubblica.

Tale impostazione parrebbe avvalorata dalla costatazione che quella pubblica, ossia quella digitale, è definita per legge. Nell’art. 1, lett. u-quater), del CAD (Codice dell’Amministrazione Digitale, recato dal D.Lgs. n. 82/2005), infatti, l’identità digitale è definita come “la rappresentazione informatica della corrispondenza tra un utente e i suoi attributi identificativi, verificata attraverso l'insieme dei dati raccolti e registrati in forma digitale secondo le modalità fissate nel decreto attuativo dell'articolo 64”. Nell’art. 64, a sua volta, è regolato il sistema pubblico per la gestione delle identità digitali e modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni.

Si tratta, insomma, del famoso SPID (Sistema Pubblico di Identità Digitale), il quale, attualmente, sta trovando anche una sua specializzazione nel SPID professionale, ossia in un sistema pubblico di identità digitale riservato ai professionisti (AgID, determinazione n. 318/2019) che consentirà di accedere ad alcuni servizi riservati, come per esempio INPS o Agenzia delle Entrate, in qualità di intermediario. Tale specifica identità digitale è richiesta ai gestori (privati) di identità digitale, i quali collaborano con l’organizzazione di appartenenza del professionista.

Quanto appena indicato conferma, insomma, che l’identità digitale è quella pubblica. Viceversa, quindi, quella privata non può essere la stessa cosa e a essa si ritiene che possa essere dato il nome di identità informatica.

La sicurezza di accesso ai servizi -Naturalmente, per quanto attiene all’identità informatica, ossia quella privata dei social o delle banche, il controllo e la sicurezza dei dati non è così stringente come accade per l’identità digitale; o, meglio, se i sistemi e le procedure sono i medesimi per entrambi i contesti, nel secondo ambito essi sono stabiliti per legge.

I livelli previsti sono tre e sono relativi all’entità del danno eventualmente causato da un utilizzo indebito dell’identità virtuale (informatica privata o digitale pubblica):

• primo livello: basso impatto in ipotesi di utilizzo indebito dell’identità; per accedere al servizio è sufficiente il nome utente e la parola d’ordine (password, in inglese);
• secondo livello: rischio notevole in caso di utilizzo indebito della identità (danno consistente); per accedere al servizio è necessario il nome utente, la parola d’ordine e la parola d’ordine temporanea (in inglese: one time password – OTP), la quale normalmente richiede un diverso strumento da quello su cui si sta operando (per esempio: cellulare)
• terzo livello: rischio altissimo in caso di utilizzo indebito della identità (danno grave e serio); per accedere al servizio è necessario il nome utente, la parola d’ordine e un supporto fisico particolare per la gestione di chiavi crittografate, come per esempio una firma digitale remota.

A tali livelli di sicurezza corrispondono anche dei doveri da parte dei gestori del servizio, soprattutto se si tratta di servizi privati. In particolare il gestore deve proteggere i dati personali trovando un giusto equilibrio tra conservazione e privacy, ossia cancellamento.
Tale equilibrio è necessario per contrastare usi impropri delle identità virtuali.

Gli usi impropri delle identità virtuali -Se ne registrano due in particolare: quello del furto di identità (ed ecco perché alcuni dati devono essere cancellati) e quello dei cosiddetti muli digitali (ed ecco perché alcuni dati devono essere conservati).

Nel caso di furto di identità virtuale un soggetto utilizza il profilo di una persona che ne rimane, al riguardo, inconsapevole. In un caso come questo, i giudici della sezione penale della Corte di cassazione, nella sentenza n. 22049/2020, hanno decretato che il soggetto di cui sopra commette il reato di sostituzione di persona (art. 494 c. p.), punito, ordinariamente, con la reclusione fino a un anno.

Per quanto attiene, invece, ai ‘muli digitali’, si specifica che si tratta di persone che sono reclutate da organizzazioni criminali per effettuare operazioni illegali della cui illegalità esse stesse sono ignare. In questo caso la persona coinvolta è consapevole dell’utilizzo della propria identità virtuale, ma è inconsapevole dell’illegalità delle proprie azioni.

In entrambi i casi, il problema è quello del sicuro collegamento dell’identità virtuale a una persona.

Il problema ritorna così a essere quello dei valori che sono richiesti per la resilienza di una società: non basta fidarsi l’uno dell’altro (come richiedono le filosofie di matrice anglosassone), ma è necessario anche che l’uno sia onesto verso l’altro (come richiedono le filosofie di stampo latino).

Insomma, come nell’ambito dell’ecologia, così anche nell’ambito del consumo delle opportunità fornite dalle telecomunicazioni, valgono motti “ognun per sé e dio per tutti” e “ognuno faccia la sua parte”; e, in fin dei conti, è l’utente che è responsabile della sua propria identità, sia essa fisica o virtuale, tenendo sempre ben presente, come sanno i professionisti che hanno seguito corsi di deontologia, l’importanza e il valore dei loro dati immessi nella rete