Uso rischioso del numero AVS
In oltre 14.000 banche dati statali, il numero AVS (AHVN13) è attualmente utilizzato come identificativo personale aggiuntivo. Un rapporto del Politecnico di Zurigo mostra che i rischi associati alla protezione e alla sicurezza dei dati dei cittadini sono elevati.
Sulla base del rapporto dell'ETH, i commissari cantonali per la protezione dei dati chiedono pertanto ai governi cantonali di astenersi dall'utilizzare ulteriormente il numero AVS come identificatore personale universale. Privatim, la Conferenza dei Commissari svizzeri per la protezione dei dati, scrive di aver attirato da tempo l'attenzione sul fatto che l'ampio uso del numero AVS nelle banche dati dell'amministrazione pubblica mette in pericolo i diritti fondamentali dei cittadini. La relazione presentata da David Basin, professore di sicurezza informatica presso il Politecnico di Zurigo, illustra chiaramente l'entità dei rischi e dimostra che questi aumenteranno ulteriormente con l'utilizzo sempre più diffuso del numero di assicurazione nazionale.
Misure di sicurezza per i database insufficienti
Nome, cognome e data di nascita sono sufficienti per identificare in modo univoco il 99,98% della popolazione. Il fatto che il numero AVS sia attualmente utilizzato anche come identificativo univoco in oltre 14.000 banche dati statali aumenta la collegabilità dei dati personali e quindi il pericolo di un loro uso improprio. Inoltre, le misure di sicurezza di molti di questi database sono insufficienti. Potrebbero quindi diventare un facile bersaglio per gli attacchi degli hacker. I dati che cadrebbero nelle mani sbagliate potrebbero facilmente essere collegati ad altre informazioni sensibili sui cittadini, sottolinea Privatim nel suo comunicato stampa.
Nella sua analisi, il professor Basin dimostra che l'introduzione del numero AVS come identificatore personale uniforme, auspicata nel contesto delle iniziative di e-government, è irresponsabile dal punto di vista della sicurezza e della protezione dei dati personali.
Introdurre identificatori personali settoriali
Privatim si è già espresso in diverse occasioni a favore dell'utilizzo di identificativi personali settoriali al posto del numero AVS, come previsto dalla legge nella cartella clinica elettronica e nel registro di commercio. Il rapporto dell'ETH dimostra che questo potrebbe limitare i rischi di abuso a un solo settore, ma non offre una sicurezza sufficiente. Privatim concorda quindi con le conclusioni di Basin: In futuro dovranno essere introdotti solo identificatori personali settoriali, che non siano direttamente collegati a dati personali identificativi, ma che permettano un collegamento solo attraverso processi appositamente protetti. Con questo approccio, i rischi per la privacy che già esistono con il crescente utilizzo del numero AVS potrebbero essere sostanzialmente ridotti in futuro.
Spetta ora al Consiglio federale trarre le conseguenze di questa analisi completa dei rischi a livello federale, conclude Privatim.
La perizia del Prof. Dr. David Basin del Politecnico di Zurigo è stata commissionata dall'Ufficio federale di giustizia (UFG) e dall'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ed è disponibile sui siti web dell'Ufficio federale di giustizia e dell'IFPDT. BJ e del FDPIC disponibile.
