Documento delle garanzie strutturali

Quadro di sovranità e fiducia

La Carta della neutralità definisce ciò che non faremo. Questo Quadro spiega perché strutturalmente non possiamo farlo.

Pubblicato da AGPT Ltd. In vigore dalla data di lancio della piattaforma.

Finalità

Questo documento risponde a una preoccupazione legittima: quando una piattaforma pubblica indici di legittimità per funzionari che esercitano autorità pubblica in tutti i 27 stati membri dell'UE, governi e istituzioni hanno bisogno della certezza che la piattaforma non possa essere usata come strumento di influenza straniera, che i dati dei cittadini rimangano sotto controllo sovrano, e che nessun attore – incluso il gestore della piattaforma – possa manipolare i risultati.

1. Sovranità dei dati

Dove risiedono i dati dei cittadini, come sono separati e cosa il gestore non conserva mai.

1.1

Residenza giurisdizionale dei dati

I dati dei cittadini di ogni paese sono conservati su server nel territorio di quel paese, ove possibile. Dove l'infrastruttura nazionale non soddisfa ancora i requisiti di sicurezza, disponibilità e conformità della piattaforma, i dati sono conservati all'interno dell'UE in un'infrastruttura appropriata alla giurisdizione. In nessun caso i dati dei cittadini vengono trasferiti al di fuori dell'UE.

1.2

Indipendenza nazionale dei dati

I dati di ogni paese esistono in un'infrastruttura propria e indipendente. I database sono completamente separati – non partizionati logicamente all'interno di un sistema condiviso, ma dispiegati autonomamente. Un incidente di sicurezza che interessa l'infrastruttura di un paese non espone i dati di nessun altro paese. Le interrogazioni di dati tra paesi sono architettonicamente impossibili.

1.3

Nessun archivio centralizzato di dati personali

Non esiste un database centrale contenente informazioni identificabili su cittadini di più paesi. AGPT Ltd gestisce la piattaforma ma non aggrega dati personali tra giurisdizioni. Gli unici dati transnazionali sono gli indici aggregati pubblicati – che sono pubblici per costruzione.

1.4

Minimizzazione dei dati

La piattaforma non raccoglie nomi, numeri di documento, indirizzi né alcun identificativo personale. L'unico collegamento tra un cittadino e il suo account è un hash crittografico irreversibile (SHA-256 con un salt stagionale) derivato dalla verifica eID. Questo hash non può essere invertito per identificare la persona.

2. Vincoli del gestore

Ciò che AGPT Ltd – il gestore della piattaforma – è strutturalmente incapace di fare.

2.1

Il gestore non può identificare i cittadini

AGPT Ltd non ha accesso al processo di verifica dell'identità in modo tale da rivelare chi sia un cittadino. La conversione da eID a hash avviene al confine di autenticazione. Ciò che entra nel sistema è un'impronta digitale, non una persona.

2.2

Il gestore non può modificare gli indici

Gli indici di legittimità vengono calcolati automaticamente dai giudizi aggregati dei cittadini secondo formule pubblicate. Non esiste un'interfaccia amministrativa per modificare manualmente il valore di un indice. La pipeline di calcolo è deterministica: a parità di input, produce sempre gli stessi output. È garantito dall'architettura, non dalle policy.

2.3

Il gestore non può accedere ai giudizi individuali

Il sistema conserva soltanto lo stato attuale del giudizio di ciascun account verso ciascun funzionario (fiducia, sfiducia o neutro). Questi stati sono anonimi e non possono essere collegati a una persona. Non esiste alcun meccanismo per interrogare "come ha giudicato il cittadino X il funzionario Y" – il modello dati non lo consente.

2.4

Il gestore non può sopprimere né amplificare selettivamente

Le regole di pubblicazione sono uniformi: ogni funzionario a ogni livello è soggetto alle stesse soglie, agli stessi calcoli degli intervalli di confidenza, alla stessa rilevazione delle anomalie. Non esiste una configurazione per-funzionario che potrebbe essere usata per ritardare la pubblicazione, alzare le soglie o trattare diversamente un funzionario rispetto a un altro.

3. Verificabilità algoritmica

Come chiunque può verificare che i numeri siano calcolati correttamente.

3.1

Metodologia pubblicata

La metodologia completa di calcolo degli indici è pubblicata nel White Paper e sintetizzata su ogni piattaforma nazionale. Questo include: la formula, il metodo per il calcolo dell'intervallo di confidenza, le soglie di pubblicazione, le regole di arrotondamento e i criteri per la segnalazione delle anomalie. Chiunque disponga degli input aggregati può verificare autonomamente il risultato.

3.2

Audit indipendenti

AGPT Ltd si impegna a condurre audit indipendenti periodici da parte di organizzazioni terze che coprono: sicurezza (test di penetrazione annuali), metodologia (revisione accademica), privacy (revisione dell'architettura di protezione dei dati) e conformità (revisione legale dell'aderenza al GDPR). I risultati degli audit vengono pubblicati.

3.3

Il Journal della piattaforma come registro delle modifiche

Ogni modifica all'algoritmo, alle soglie di pubblicazione o ai parametri operativi viene documentata nel Journal della piattaforma (teisond.com/journal) prima che entri in vigore. Il Journal è un registro pubblico, versionato e permanente. Non esistono aggiornamenti silenziosi.

4. Garanzie di indipendenza

4.1

Nessun finanziamento governativo

AGPT Ltd non riceve finanziamenti da alcun governo, organizzazione intergovernativa o entità affiliata allo Stato. Questo vale per tutte le giurisdizioni in cui opera la piattaforma.

4.2

Nessun accesso governativo ai dati

Nessun governo dispone di accesso privilegiato ai dati della piattaforma al di là di quanto è pubblicamente disponibile. Le richieste delle forze dell'ordine vengono gestite attraverso i normali procedimenti legali (ordini giudiziari) nella giurisdizione competente, e solo nella misura tecnicamente possibile – che è limitata, dato che la piattaforma non conserva dati personali identificabili.

4.3

Nessun interruttore di emergenza

L'architettura della piattaforma non prevede alcun meccanismo che consenta a un singolo attore (inclusa la direzione di AGPT Ltd) di spegnere, sospendere o modificare sostanzialmente il dispiegamento di un paese senza un processo documentato. Esistono procedure di emergenza per gli incidenti di sicurezza, ma sono registrate, verificabili e divulgate nel Journal della piattaforma.

4.4

Indipendenza dei ricavi

I ricavi della piattaforma provengono da abbonamenti a prezzo fisso pagati da funzionari e istituzioni. Le tariffe sono fisse per livello di autorità (1,90 €–19,90 €/mese), uniformi in tutti i 27 paesi UE, e non dipendono dal valore dell'indice. L'abbonamento acquista profondità di analisi, non influenza sui risultati.

4.5

Resilienza strutturale

Se AGPT Ltd dovesse cessare di operare, la metodologia (pubblicata nel White Paper), l'architettura del codice sorgente (documentata) e i dati aggregati (pubblici) esistono indipendentemente dall'azienda. La piattaforma è progettata in modo che i suoi risultati pubblici possano essere verificati, replicati o proseguiti da un altro gestore usando la stessa metodologia pubblicata.

Traiettoria della proprietà

La piattaforma è progettata per trasferirsi dal controllo del gestore alla proprietà dei cittadini. Non è una promessa futura – è un impegno architettonico presente. L'infrastruttura che si costruisce oggi è costruita per essere ceduta. Il calendario, il meccanismo e il percorso di governance sono documentati nel White Paper (Sezione 9).

Cosa questo Quadro non garantisce

Nessuna architettura tecnica elimina tutti i rischi. Questo Quadro è onesto sui propri limiti.

Campagne coordinate da parte di cittadini reali e verificati sono possibili. La piattaforma le rileva e le segnala, ma non può impedire ai cittadini di organizzarsi.

I governi possono tentare pressioni legali attraverso tribunali locali. AGPT Ltd opera ai sensi della legge del Regno Unito e mantiene riserve legali per le contestazioni giurisdizionali.

La piattaforma dipende dall'infrastruttura eID gestita dai governi nazionali. Se un governo degrada il proprio sistema eID, la qualità della verifica in quel paese potrebbe risentirne.

Questi sono rischi reali. Lo scopo del Quadro non è rivendicare la perfezione, ma garantire che il gestore della piattaforma non sia mai la fonte del problema.

Il Quadro di sovranità e fiducia è un documento pubblico permanente. Qualsiasi modifica viene pubblicata nel Journal della piattaforma con motivazione completa prima di entrare in vigore. Le versioni precedenti restano nell'archivio pubblico.

AGPT Ltd – Advanced Global Polling Technology Ltd, Regno Unito · teisond.com