Aadhaar è nato nel 2009 ed è il più complesso programma di identificazione demografica al mondo. Il suo database contiene oggi i dati di oltre 1 miliardo e 300 milioni di persone, ossia del 99% della popolazione maggiorenne indiana. Un numero stupefacente dal momento che l’adesione è su base volontaria (non sostituisce né la carta di identità né qualsiasi altro documento di identificazione pubblica). Ma è comprensibile che la massa vi abbia aderito: una volta rilasciati i propri dati, il cittadino ottiene un codice univoco di 12 cifre che permettere di accedere con maggiore facilità a fondi, agevolazioni e servizi governativi.
I dati da conferire sono di due tipologie e sono custoditi con due differenti criteri di sicurezza. Ci sono i dati che potremmo definire anagrafico/economici (nome e cognome, indirizzo, utenze, dati bancari, etc.) e i dati biometrici che contemplano il rilascio di:
- fotografia in formato elettronico;
- scansione di 10 impronte digitali;
- scansione di entrambi gli iridi degli occhi.
La rilevazione massiva di dati biometrici ha suscitato critiche in termini di privacy perché, sfruttando le carenze della legislazione indiana in materia, si è permesso al governo di approntare il più grande database biometrico della storia: una situazione nemmeno lontanamente ipotizzabile nei paesi occidentali.
Oltre a ciò, non è ben chiaro se e su quali presupposti di legittimità i dati biometrici di Aadhaar possano essere condivisi con altre agenzie governative. E’, peraltro, capitato che alcune corti locali chiedessero di confrontare le impronte rilevate sulla scena di un crimine confrontandole con quelle in Aadhaar: ma con un tasso di falsi positivi attestato intorno allo 0,057%, basta moltiplicare queste piccole possibilità su una scala da oltre un miliardo di impronte registrate per capire quanto si rischi di incorrere in centinaia di migliaia di errori. Nel 2014 la Corte Suprema indiana ha comunque intimato alla Unique Identification Authortity il divieto di condividere dati con qualsiasi terza parte in assenza di un consenso specifico degli intestatari.
Un progetto colossale ed, in un certo senso, un incubo di problematiche di privacy e sicurezza dei dati. Da qualche tempo la più preoccupante è quella relativa alla sicurezza: i dati non biometrici sarebbero custoditi in modo talmente vulnerabile da essere accessibili quasi a chiunque.
Lo scorso febbraio i dati di alcuni bambini sono circolati su un sito web (leggi qui la notizia da Lostprogrammer.com). Pochi giorni fa, le identità digitali di oltre un milione di pensionati dello Stato del Jharkhand sono finite in rete (leggi qui sul Hindustantimes).
Infine, i ricercatori del Centre for Internet and Society di Bangalore hanno svelato con uno studio pubblicato ieri che su Twitter stanno girando svariati leaks contenenti i dati di migliaia di persone e che sono diversi i portali governativi da cui è possibile estrarre dati degli intestatari. Un data breach che rischia di rivelarsi di portata enorme e che esporrebbe una moltitudine di persone ad esser potenziali vittime quantomeno di furti di identità e frodi finanziarie.
Leggi qui i risultati della ricerca del Centre for Internet and Society di Bangalore
