Con l’adozione di un orientamento comune a dicembre 2022, il Consiglio europeo porta avanti la proposta della Commissione europea di introdurre (ambiziosamente) entro il 2024 un European Digital Identity Wallet, con l’obiettivo di aggiornare l’attuale quadro normativo previsto dal regolamento eIDAS e uniformare le soluzioni di identità digitale utilizzabili dai cittadini per accedere in sicurezza a servizi pubblici e privati su tutto il territorio europeo.
Un passo indietro: da dove nasce la proposta sull’European Digital Identity Wallet
La crescente digitalizzazione nella fornitura di servizi in ogni settore (dal commercio alla sanità, dal banking all’istruzione), accelerata in particolare dalla pandemia, e la conseguente richiesta di meccanismi certi e sicuri per l’identificazione remota degli utenti ha reso evidente la necessità di rafforzare e armonizzare a livello europeo il panorama di soluzioni di identità digitale oggi a disposizione degli utenti.
Il regolamento eIDAS (Regolamento (UE) 910/2014) ha per primo posto le basi per lo sviluppo e il mutuo riconoscimento di sistemi di identificazione elettronica tra Stati membri. In questo quadro, si collocano per esempio gli strumenti di identificazione introdotti dall’Italia come SPID, sistema pubblico di identità digitale (che conta più di 30 milioni di identità rilasciate) e CIE, carta di identità elettronica nazionale. Allo stesso tempo, il regolamento presenta limitazioni intrinseche (es. focus su sistemi nazionali; mancanza di standard uniformi e assenza di obblighi di interoperabilità) che hanno portato a un’applicazione differenziata e frammentaria della normativa in ciascun Paese – oggi 14 Paesi UE utilizzano 19 sistemi di identificazione digitale diversi. Questo ha ostacolato lo sviluppo di un sistema integrato di eID che permetta ai cittadini europei di accedere agevolmente a una serie di servizi online, indipendentemente dal Paese di residenza. A questo, si aggiunge il proliferare negli ultimi anni di una molteplicità di meccanismi di identificazione “non qualificati” per accedere a servizi privati (es. registrazione a siti web tramite account Facebook o Google). Questi sistemi, sicuramente più flessibili e user-friendly, sono però meno sicuri sia per gli utenti, che lasciano in mano ad attori privati come le big tech un pericoloso mezzo di controllo sull’identità dei singoli, sia per i fornitori di servizi, che non possono fare affidamento su schemi di identificazione con un livello di sicurezza certificato.
La proposta della Commissione europea presentata a dicembre 2021 (ribattezza “eIDAS 2.0”), su cui il Consiglio europeo ha adottato un primo orientamento comune a dicembre 2022, tenta di colmare queste lacune e di rispondere alle richieste del mercato di:
- mettere a disposizione soluzioni di identità digitale “flessibili”, connesse a una varietà di attributi identificativi, che consentano agli utenti di controllare la condivisione mirata di dati in base alle esigenze del servizio specifico;
- assicurare che tali soluzioni siano altamente sicure, interoperabili e riconosciute a livello europeo.
Il principale strumento con cui la proposta intende raggiungere i propri scopi è la creazione di un European Digital Identity Wallet, ossia un portafoglio di identità digitali personali altamente sicuro, certificato e riconosciuto dagli Stati membri.
Cos’è l’eID Wallet
Il portafoglio europeo di identità digitale è definito dalla proposta come un “prodotto e servizio che consente all’utente di conservare dati di identità, credenziali e attributi collegati alla sua identità, fornirli su richiesta alle parti facenti affidamento sulla certificazione e utilizzarli per l’autenticazione, online e offline, per un servizio […] nonché per creare firme elettroniche qualificate e sigilli elettronici qualificata”. L’eID Wallet si presenta quindi come un “archivio” centralizzato di dati e attributi identificativi, ma anche di attestati elettronici (es. patenti di guida, diploma universitario, qualifiche professionali, certificati medici o anche sistemi di pagamento), riconosciuti a livello europeo, che l’utente può utilizzare per autenticarsi in modo sicuro a servizi pubblici e privati, anche transfrontalieri, che richiedano prove di identità o attestati di attributi verificati.
In concreto, il portafoglio si sostanzierebbe in un’App accessibile da dispositivo mobile, secondo un meccanismo simile ai più comuni e-wallet di carte di pagamento (es. Apple Wallet), ma che a differenza di questi consentirebbe di archiviare una serie più ampia di informazioni e documenti personali, da condividere con uffici pubblici e provider privati. L’ambizione è che l’eID Wallet diventi un singolo strumento attraverso cui gli utenti possono compiere una varietà di attività, connesse a servizi pubblici (es. richiedere certificati di nascita e certificati medici o segnalare un cambio di indirizzo); aprire un conto corrente o iscriversi a un’università, ma anche noleggiare un’auto e fare check-in in hotel in qualsiasi paese dell’UE.
Il portafoglio sarebbe emanato o in ogni caso riconosciuto dagli Stati membri, per assicurare un livello di garanzia elevato in relazione ai requisiti per il controllo e la verifica dell’identità. Allo stesso tempo, in un’ottica di “self-sovereign identity”, l’utente avrebbe il pieno controllo del portafoglio e dei dati personali in esso contenuti, scegliendo in maniera selettiva a quali soggetti condividere le informazioni, in base alla tipologia di servizio richiesto.
Quali le criticità all’orizzonte per l’eID Wallet?
Lo sviluppo di un eID Wallet che aspiri a diventare strumento di autenticazione unico per i cittadini europei deve affrontare non pochi ostacoli, non solo tecnologici.
- Privacy e cybersecurity. Il primo fronte di preoccupazione riguarda i temi di sicurezza e rispetto della privacy del nuovo strumento. L’accentramento di dati personali che prevede il portafoglio espone inevitabilmente a un rischio elevato di attacchi informatici, violazioni e utilizzi di dati non autorizzati. Il rispetto dei principi GDPR per la tutela dati personali (in primis minimizzazione) fin dallo sviluppo del sistema stesso, in un’ottica di privacy-by-design, e l’allineamento della proposta ai nuovi requisiti europei in materia di cybersecurity (in particolare quelli dettati dal Cybersecurity Act) sono elementi preliminari e indispensabili per il successo del nuovo sistema.
- Standard e interoperabilità. Un altro tema caldo riguarda la scelta degli standard e delle tecnologie che dovranno supportare lo sviluppo del nuovo sistema, su cui gli operatori di settore stanno esprimendo tutte le loro perplessità. Vista la pluralità di standard e tecnologie su cui gli operatori stanno indirizzando i propri investimenti investono, la preoccupazione è che il nuovo regolamento accentri negli Stati il potere di decidere le modalità tecniche di sviluppo del nuovo sistema, potendo quindi imporre la scelta di uno standard o tecnologica specifica, con inevitabili impatti sul mercato. Allo stesso tempo, viene rappresentato il rischio di irrigidire eccessivamente il sistema, relegandolo a tecnologie o impostazioni oggi esistenti, che non tengono in considerazione i possibili futuri sviluppi tecnologici.
- Livelli di garanzia. Infine, ulteriore campo di battaglia riguarda al momento il livello di sciurezza che il nuovo strumento di identificazione deve garantire. Mentre infatti il regolamento eIDAS ammetteva che sistemi identificativi nazionali con livelli di sicurezza “sostanziali” e “elevati” avessero diritto a un equo riconoscimento tra Stati membri, la nuova proposta eIDAS 2.0 sembra intenzionata a innalzare la sicurezza dell’eID Wallet, richiedendo un livello sempre “elevato”. Questo potrebbe tuttavia escludere o notevolmente ridurre la possibilità di integrare o utilizzare strumenti di identificazione elettronica esistenti e ampiamente utilizzati dagli utenti nell’ambito del nuovo portafoglio digitale, disperdendo esperienze e sinergie già acquisite.
Cosa cambia per l’Italia
L’Italia è tra i paesi europei più all’avanguardia nell’adozione e utilizzo di soluzioni di identificazione digitale, in particolare SPID e CIE. La proposta dell’eID Wallet si inserisce quindi in un panorama normativo e applicativo strutturato e rodato, anche se in continua evoluzione. Sono per esempio di poche settimane fa le dichiarazioni del sottosegretario con delega dell’innovazione, Alessio Butti, che esprimevano l’intenzione del governo di “abbandonare” progressivamente lo SPID in favore della CIE, come unica identità nazionale gestita dallo Stato, sollevando non pochi dissensi tra gli operatori dell’attuale ecosistema SPID. Queste posizioni dovranno coordinarsi ora con la nuova proposta eIDAS 2.0.
Non è infatti al momento chiaro come le identità digitali nazionali in uso interagiranno con il “portafoglio”, se saranno integrate nello stesso o saranno forme di identificazione alternativa. Ugualmente, viste le dichiarazioni dell’attuale governo e l’incertezza europea sui livelli di sicurezza che il portafoglio dovrà garantire, non è chiaro nemmeno se o quale ruolo potrà giocare l’identità SPID.
Next steps
Se a livello istituzionale, l’adozione di un approccio generale consentirà al Consiglio di avviare i negoziati con il Parlamento europeo, una volta che quest’ultimo avrà adottato la propria posizione, parallelaemnte la Commissione europea sta già assegnato bandi per milioni di euro per finanziare progetti pilota che testino use cases reali per l’utilizzo eID Wallet. Tra i vincitori dei bandi si segnalano per la partecipazione italiana, il consorzio Potential (con focus nei settori bancario, della mobilità, della sanità e dell’amministrazione), NOBID (con focus sui pagamenti), EU Digital Identity Wallet Consortium (con focus su viaggi e servizi connessi) e Digital Credentials for Europe (con focus su formazione e previdenza).
Su un simile argomento può essere interessante l’articolo “Presentate le proposte di normativa europea sulla responsabilità per l’intelligenza artificiale e l’era digitale“.
Autore: Maria Chiara Meneghetti
