Questa storia appartiene alla categoria Innovazione e al dossier Identity Management

Chi è responsabile riguardo alla Swiss edu-ID?

Cosa succede se qualcuno abusa del passepartout accademico? Oppure se un attributo non è corretto?

Testo: Esther Zysset, pubblicato il 03.11.2015

In relazione al passepartout accademico Swiss edu-ID si pongono, tra l'altro, la questione di responsabilità: chi deve rispondere di un eventuale danno derivante dall'uso dell'identità? Ad esempio a causa di valori errati degli attributi o di un abuso della Swiss edu-ID? In quest'ultimo caso in via di principio è l'utente a risponderne: si ritiene che abbia conservato i suoi dati di accesso in modo non sufficientemente sicuro e così rischiato che un terzo si procurasse accesso alla sua Swiss edu-ID; a meno che l'abuso dell'identità non sia conseguenza di una lacuna nella sicurezza presso il service operator (SWITCH). Allora, in via di principio, è responsabile quest'ultimo.

 

Dal punto di vista giuridico è tuttavia più interessante il caso del valore di un attributo non corretto: ipotizziamo che un'informazione, che viene utilizzata come prova di una legittimazione, si riveli successivamente come non corretta. Si pone quindi la questione, se debba risponderne il service operator, l'utente o la fonte dell'attributo (attribute authority).

Level of assurance

La risposta a questa domanda dipende da quale indicazione di qualità accompagna il valore di un attributo o, detto in altre parole, quali dichiarazioni riguardanti la verifica e la correttezza vengono fatte in merito, ovvero quale level of assurance (LoA) presenta il valore di un attributo. Semplificando, si potrebbero comparare i level of assurance con il sistema delle stelle per gli hotel o le categorie A-G che contraddistinguono il consumo di energia degli apparecchi elettrici. Ogni categoria corrisponde a una classificazione secondo criteri di qualità predefiniti. Al giorno d'oggi non vi sono però, né nelle identity federation di formazione superiore nazionali né in quelle internazionali, un level of assurance generale e vincolante. Poiché presupposto di ciò sarebbe che ci fosse un requisito generalmente riconosciuto sulla qualità delle informazioni contenute.

Mancando uno standard, si deve ricercare quali dichiarazioni possano essere fatte con il valore dell'attributo: può un terzo ritenere che l'informazione sia corretta o deve verificarlo egli stesso?

Codice delle obbligazioni

Fintantoché non esiste alcun LoA vincolante, lo standard legale in Svizzera viene definito attraverso le comuni disposizioni del CO in materia di responsabilità. La responsabilità aggravata per danni in relazione alla firma elettronica qualificata (art. 59a CO) non trova qui applicazione. Di conseguenza SWITCH, in qualità di service operator, deve molto probabilmente rispondere nei confronti di terzi per valori degli attributi che provengono da fonti verificate (al momento AAI, sebbene anche perciò non esista alcun LoA vincolante), nonché per valori di attributi che sono stati generati da SWITCH stessa. Nei contratti con le scuole universitarie SWITCH dovrà assicurarsi che le prime, in quanto attribute authority, rispondano a loro volta per la correttezza dei valori degli attributi che esse hanno fornito.

Invece, per valori di attributi che vengono inseriti dall'utente stesso (auto-forniti [o auto-dichiarati]), sarà l'utente colui che è responsabile nell'ambito dell'utilizzo della Swiss edu-ID nei confronti di terzi.

Ulteriori articoli su questioni giuridiche riguardanti la Swiss edu-ID:
Sull’autore
Esther   Zysset

Esther Zysset

Esther Zysset dirige il servizio giuridico di SWITCH dal 2012. In precedenza lavorava come avvocato in uno studio specializzato in diritto economico.

E-mail

Swiss edu-ID

SWITCH sta costruendo, assieme alle scuole universitarie svizzere, un’identità digitale a vita. Con essa tutti i titolari possono avere accesso a servizi universitari. Anziché molte identità per accessi diversi ne hanno bisogno di una sola. La Swiss edu-ID è un’evoluzione di SWITCHaai. Questa è stata in servizio per più di 10 anni e viene utilizzata da oltre 400’000 persone. La Swiss edu-ID compie ora un paio di decisivi passi in avanti: SWITCHaai fu concepita per l’utilizzo di risorse Web e presuppone l’appartenenza a un’istituzione. La Swiss edu-ID, invece, è intesa per una molteplicità di applicazioni e quale identità a vita.

http://projects.switch.ch/eduid/
Altri contributi