Il lancio dell'Id-e nel 2026 è discutibile: un rapporto critica la sicurezza

Florian Bodoky Traduzione: tradotto automaticamente 20.2.2026

Poco prima del lancio dell'Id-e svizzero, il Controllo Federale delle Finanze mette in guardia dalle lacune in materia di sicurezza e mette in discussione il calendario.

Il lancio dell'Id-e svizzero si avvicina. Ma ora il Controllo Federale delle Finanze (CDF) sta sollevando delle preoccupazioni. Ha esaminato il progetto e ha individuato diversi punti deboli. Nel suo rapporto, consiglia di posticipare la data di implementazione in caso di dubbi. Se i punti importanti non sono ancora stati risolti, il governo federale dovrebbe dare la priorità alla sicurezza e alla stabilità.

L'introduzione dell'Id-e statale è prevista per il terzo trimestre del 2026. Con l'Id-e dovresti essere in grado di dimostrare chi sei online, ad esempio quando hai a che fare con le autorità, ordini di documenti o dimostri la tua età online. L'Id-e sarà utilizzato tramite l'app «Swiyu».

Le funzioni di sicurezza non sono ancora pronte?

Nel suo rapporto, l'SFAO conclude che i componenti chiave della sicurezza sono ancora mancanti o non ancora completamente sviluppati. Un esempio è la crittografia end-to-end. Questa garantisce che solo le persone o le organizzazioni coinvolte possano leggere i dati. Secondo il rapporto, il team del progetto non ha previsto questa funzione fin dall'inizio. Ora verrà aggiunta man mano che il progetto progredisce.

Il CDF ritiene che ci siano margini di miglioramento anche per quanto riguarda la protezione dell'accesso delle autorità e di altre organizzazioni. Attualmente, per accedere ad alcune interfacce è sufficiente un semplice login con nome utente e password. Secondo i revisori, questo non è sufficiente. Chiedono misure di sicurezza più incisive e linee guida chiare. Inoltre, secondo i revisori, questo non è sufficiente.

Inoltre, secondo i revisori, non esiste una panoramica completa di tutti i moduli software utilizzati. Un elenco di questo tipo - la cosiddetta distinta base del software (SBOM) - mostra esattamente quali componenti sono presenti nel sistema. Aiuta a riconoscere più rapidamente i rischi per la sicurezza. Secondo il rapporto, la documentazione completa non è ancora disponibile.

La fase di test potrebbe essere insufficiente per via dei miglioramenti

Il piano del progetto prevede una fase di stabilizzazione poco prima del lancio. Durante questa fase verranno eseguite le prove finali e verranno apportate piccole modifiche. Tuttavia, la SFAO avverte che il team potrebbe dover utilizzare questa fase per il lavoro di base. Questo lascerebbe meno spazio alle prove approfondite. Un altro argomento riguarda il cosiddetto registro della fiducia. Questo registro dovrebbe mostrare nell'app quali fornitori sono stati testati dal governo federale. In questo modo gli utenti potranno riconoscere se hanno a che fare con un ente ufficialmente certificato.

Tuttavia, il team del progetto non vuole attivare questa etichettatura fin dall'inizio. Vuole evitare di dare risalto ai singoli fornitori. La SFAO ha una visione critica di questo aspetto. Soprattutto all'inizio, un'etichettatura chiara degli enti controllati potrebbe rafforzare la fiducia.

L'Id-e funziona anche all'estero?

Anche lo sguardo all'estero gioca un ruolo importante. L'Unione Europea lavora con diversi livelli di sicurezza per le identità digitali. Secondo le stime attuali, l'Id-e svizzero raggiunge sostanzialmente il livello «» . Per il riconoscimento reciproco completo, l'UE punta spesso al livello più alto «alto».

Una delle ragioni della differenza risiede nei dispositivi finali. Il governo federale non può controllare completamente gli smartphone privati. Resta quindi da vedere se e come la soluzione svizzera sarà riconosciuta a livello internazionale. Le discussioni con l'UE potranno iniziare solo quando la legge corrispondente sarà in vigore.

Le autorità non sono del tutto d'accordo con le critiche

Le autorità federali responsabili non condividono pienamente la valutazione dell'audit. Sottolineano che il progetto è stato sviluppato secondo un approccio «agile». I punti in sospeso sono normali in un approccio di questo tipo e saranno affrontati passo dopo passo. La sicurezza rimane un elemento centrale del progetto. La dichiarazione è riportata nel rapporto linkato sopra a partire da pagina 26. Resta da vedere se l'Id-e sarà lanciato nel terzo trimestre del 2026 come previsto.

Immagine di copertina: Id-e.admin.ch

