Una delle caratteristiche tipiche della Rete è la possibilità degli utenti di interagire con gli altri dietro un anonimo nickname. Tuttavia ci sono diversi ambiti in cui anche online è indispensabile potersi identificare con sicurezza assoluta, come ad esempio in caso di transazioni bancarie, nella stipulazione di contratti o nei rapporti con l'amministrazione. Nasce quindi l’esigenza di un metodo in grado di garantire in maniera semplice e affidabile che l’identità sul web non venga falsificata. A questo scopo sono stati sviluppati dei sistemi di firma digitale, equivalente elettronico di quella autografa.

Dalla grafia al PIN - A differenza dei comuni strumenti di autentificazione informatica (password, PIN, dati biometrici, ecc.) la cosiddetta firma elettronica qualificata, o più semplicemente firma digitale, viene creata attraverso un dispositivo sicuro, ossia una smart card rilasciata da un ente certificatore, consentendo così di identificare in modo univoco il firmatario. La firma digitale garantisce quindi l’autenticità e l’integrità dei documenti informatici alla stessa stregua della firma autografa, con la differenza che invece di essere legata alla grafia della persona che appone la firma, dipende dal possesso di uno strumento informatico e di un PIN di abilitazione da parte del firmatario.

La sicurezza sta nelle chiavi - Per generare una firma digitale è necessario utilizzare particolari tecnologie crittografiche basate su una coppia di chiavi numeriche attribuite in maniera univoca ad un soggetto. La chiave privata, destinata ad essere conosciuta solo dal firmatario, è utilizzata per la generazione della firma digitale da apporre al documento, mente la chiave pubblica viene utilizzata per verificarne l’autenticità da parte del destinatario. In questo modo, una volta firmato il documento con la chiave privata, la firma può essere verificata con successo esclusivamente con la corrispondente chiave pubblica. La sicurezza è garantita dall’impossibilità di ricostruire la chiave privata a partire da quella pubblica, nonostante le due chiavi siano univocamente collegate.

Standard svizzero - Dal maggio 2010 in Svizzera è possibile confermare in modo certo la propria identità online grazie a SuisseID, lo standard svizzero per l'identificazione sicura e la firma digitale. Il dispositivo, disponibile a scelta in formato penna USB o scheda con microchip, è una sorta di carta d’identità virtuale, che consente al tempo stesso di fornire una prova elettronica certa della propria identità e di firmare documenti o contratti per via elettronica in modo sicuro e giuridicamente valido. Le transazioni possono quindi essere effettuate direttamente tramite Internet fra privati e imprese, fra imprese tra di loro e fra cittadini e l’amministrazione, beneficiando della prova inequivocabile dell’identità dei vari utenti coinvolti.

Scopi pratici - Sulla carta il sistema di SuisseID sembra valido; ma come, dove e a quale scopo può essere impiegato in pratica? Tra gli utilizzi più comuni troviamo la possibilità di garantire l’identità del mittente di una e-mail, di firmare documenti in formato PDF in modo giuridicamente vincolante, di accedere da casa all’Intranet aziendale identificandosi presso l’impresa in modo inequivocabile, di utilizzare servizi di e-government per ordinare documenti ufficiali per via elettronica senza doversi recare di persona al relativo ufficio e infine di fornire al responsabile di un sito di e-commerce (ad esempio per la vendita online di videogiochi, film o musica) la certezza dell’età del richiedente.

Primo bilancio - A qualche mese dall’introduzione di SuisseID, la Segreteria di Stato dell’economia (SECO) ha tracciato un primo bilancio: i dispositivi acquistati sono stati 110’000, prevalentemente da imprese attive nel settore del commercio elettronico, dell’e-government e della gestione della salute online. Pur toccando solo marginalmente la sostanza tecnica delle critiche mosse alla vulnerabilità di SuisseID, secondo la SECO il sistema risponde a elevati criteri di sicurezza e il problema principale risiede piuttosto nell’uso irresponsabile da parte degli utenti. È infatti fondamentale osservare alcune elementari regole comportamentali, come tenere separato il PIN dalla SuisseID, utilizzare almeno un programma antivirus e visitare pagine web affidabili.