Negli ultimi anni, diverse iniziative sono state promosse dalla Commissione Europea per regolamentare e incentivare l’ecosistema dell’identità digitale (eID): dal regolamento eIDAS al finanziamento di molteplici progetti Horizon, gli sforzi normativi ed economici non sono mancati.
A livello nazionale, si sono osservate velocità realizzative differenti: se pionieri come Germania e Italia hanno da tempo notificato a livello cross-border i propri strumenti di identità, altri Paesi stanno mostrando minore reattività, come ad esempio la Francia, prossima a candidare nel 2021 il proprio FranceConnect come primo sistema di identità mutuamente riconosciuto. Altri ancora, come la Grecia, devono finalizzare le aggiudicazioni per le gare con cui approvigionarsi dei dispositivi sicuri (smartcard) su cui saranno basati i documenti di identità.
Il risultato netto è una roadmap di adozione di sistemi di identità digitale molto eterogenea tra i 27 Stati Membri, con alcune caratteristiche comuni:
- L’introduzione di uno strumento di identificazione elettronico per i propri cittadini, a prescindere dal suo riconoscimento cross-border;
- La riconosciuta importanza di un approccio “mobile first”;
- L’attenzione alla “user experience” durante l’utilizzo di questi sistemi negli accessi online;
- Il focus sull’offerta di servizi accessibili online tramite eID, sia nel settore pubblico che nel privato;
- L’interesse per estendere i casi d’uso di impiego di identità digitale cross-border, a oggi limitata ai soli servizi pubblici. Su quest’ultimo punto in particolare, anche in Italia si distinguono iniziative, come quella di #ClubTI4SPID, che lavorano per evidenziare le prospettive dell’adozione degli eID europei da parte dei service provider privati.
Le differenze più rilevanti si trovano nelle rispettive strategie di medio-lungo termine: solo due Paesi (Danimarca e Germania) hanno sviluppato una strategia dedicata all’implementazione e all’adozione dell’eID, identificandone obiettivi e deadline; la grande maggioranza (sedici, tra cui l’Italia) hanno dedicato all’identità digitale una specifica sezione della loro piano di digitalizzazione nazionale, puntando alternativamente sullo sviluppo di nuovi strumenti o sull’adozione di programmi di eGovernment dove l’eID gioca un ruolo determinante; i rimanenti nove Paesi hanno sviluppato o stanno sviluppando una strategia di digitalizzazione dove c’è qualche menzione delle tematiche di identità digitale, seppur non sviluppate compiutamente.
Luci e ombre
La consultazione pubblica lanciata dalla Commissione la scorsa estate sulla bozza del nuovo regolamento eIDAS ha consentito ai differenti stakeholders comunitari di esprimere la propria opinione su quello che potrebbe realmente dimostrarsi un game changer negli equilibri sovranazionali in questo settore. Molta la carne al fuoco: l’apparente apertura ai service provider privati e addirittura uno strumento di identificazione europeo unico, e nelle intenzioni compatibile con gli schemi già notificati, promettono di focalizzare grandi interessi e potenziali nuovi investimenti. Nel frattempo, aumentano i progetti e i casi d’uso in cui una identità digitale emessa da un certo Paese può essere utilizzata per l’accesso ai servizi online di altri Stati Membri. Tra i più interessanti citiamo:
- Iniziative promosse dall’eHealth Digital Service Infrastructure (eHDSI) per facilitare la trasmissione di dati sanitari cross-border, con alcune funzionalità già disponibili in alcuni Paesi (es. ePrescription/eDispensation). Progetti di recente introduzione finanziati dalla EC come X-eHealth mirano ad estendere l’onboarding degli Stati Membri e ad aggiungere casi d’uso, potendo contare su una considerevole “potenza di fuoco” composta da 36 aziende partecipanti, in rappresentanza di 21 Paesi;
- Progetti che mirano all’utilizzo delle identità digitali cross-border per servizi business, in particolar modo orientati a piccole-medie imprese, come GRIDS.
E’ dunque tutto oro ciò che luccica? Probabilmente no. Esistono alcune aree di miglioramento facilmente identificabili: oltre alla già citata necessità di spinta sul settore privato, meritano menzione una auspicabile razionalizzazione dei bandi di gara comunitari e degli investimenti, in quanto sovente progetti differenti tendono a sovrapporsi ed a produrre risultati (troppo) simili, e la necessità di passare dallo status di progetto a quello di prodotto: troppo spesso ci si “accontenta” di aver implementato un pilota, ovvero di aver realizzato “il compitino”, e non ci si sforza di ragionare in prospettiva, bloccando sul nascere una possibile diffusione e commercializzazione della soluzione realizzata.
Fare tesoro delle lessons learned
E’ interessante notare come alcuni temi presenti nella bozza del nuovo regolamento e caratterizzati da un grande hype mediatico siano in buona parte versioni “rivedute e corrette” di concetti già esplorati e in alcuni casi sperimentati nel passato. Un esempio significativo è il paradigma della SSI – Self Sovereign Identity, oggi di enorme attualità. L’idea sottostante è semplice: qualsiasi utente deve poter essere in grado di inviare al sito web (service provider) cui sta per accedere, solo i dati identificativi pertinenti e non eccedenti. Inoltre, questi dati devono essere in possesso e pieno controllo dell’utente stesso, magari memorizzati in un wallet, ed è lui stesso a deciderne la disclosure selettiva. Un semplice esempio per indirizzare lo scenario può essere il seguente: se un sito web ha un’area riservata cui si può accedere solo dimostrando la maggiore età, pensiamo ad esempio ad un sistema di online voting come quello realizzato in Estonia, deve essere sufficiente comporre e trasmettere una asserzione di identità contenente la sola data di nascita dell’utente, senza ulteriori dati anagrafici. Ancor prima della diffusione del termine SSI, diversi progetti Horizon hanno lavorato su questa intuizione, come CREDENTIAL: i dati di identità di ogni utente sono rilasciati da uno o più identity provider esterni e custoditi all’interno di un wallet, su cui l’utente stesso agisce nel momento in cui effettua un accesso autenticato a un servizio online. Particolari tecniche crittografiche (come la proxy re-encryption) sono estesamente impiegate per trattare i dati di identità esclusivamente nella loro forma cifrata.
Un secondo e ultimo esempio riguarda gli accessi cross-border nell’ambito healthcare, di cui si è anche discusso con Andrea Servida (Commissione Europea – DG CNECT) nel recente incontro promosso da ClubTIMilano nell’ambito del gruppo di lavoro aperto #ClubTI4SPID.
Partendo dal paradigma che qualsiasi cittadino europeo deve poter accedere, all’occorrenza, a cure sanitarie in ogni altro Stato Membro, è auspicabile che nuovi progetti possano vedere la luce prendendo stimolo dal nuovo regolamento eIDAS, ma notiamo che già in passato iniziative concrete sono state lanciate per consentire una identificazione cross-border del paziente, talvolta mediata da un operatore sanitario – tra gli altri ricordiamo ePSOS, e-SENS e soprattutto HEALTHeID, dove l’autenticazione veicolata tramite i nodi eIDAS ha consentito a un gruppo di Stati pilota (Italia, Portogallo, Repubblica Ceca, Grecia) di dimostrare anche a livello pratico l’efficacia di soluzioni di questo tipo, che idealmente devono essere completate da un importante tassello: a oggi, l’identificativo sanitario del paziente è spesso non incluso nella asserzione trasmessa dai nodi eIDAS attraverso i rispettivi strumenti di identificazione nazionali e, come risultato, sono necessarie azioni aggiuntive da parte del service provider “destinatario” dei dati utente per ottenerlo. In questo ambito, gli strumenti notificati dall’Italia non fanno eccezione: la CIE – Carta d’Identità Elettronica, quando impiegata in scenari cross-border, trasmette il codice fiscale dell’utente autenticato (che in Italia ricopre anche il ruolo di identificativo sanitario del paziente), mentre SPID no. Servizi healthcare di altri Stati Membri come – ad esempio – il Fascicolo Sanitario Svedese, che consentono l’accesso a utenti italiani sia con CIE che con SPID, avranno quindi set di dati differenti in funzione dello strumento scelto da un potenziale paziente italiano in fase di login. Questo è un ambito in cui una strategia di normalizzazione e standardizzazione è indispensabile, per consentire una piena interoperabilità di strumenti e servizi.
Conclusioni
Le risorse messe a disposizione in ambito comunitario per finanziare progetti innovativi, anche nell’ambito dell’identità digitale, sono considerevoli e come abbiamo visto hanno consentito di ottenere risultati tangibili e promettenti (anche se spesso senza la piena maturazione in prodotto). Parallelamente, uno sforzo normativo (regolamento eIDAS) ha consentito di creare uno “standard di fatto” e di non disperdere le forze in azioni di normalizzazione bilaterali o limitati ad alcuni Stati Membri.
Ulteriori iniziative come potrebbero rappresentare un cambio di passo significativo e di sicuro interesse per questo ecosistema:
- il coinvolgimento del settore privato
- l’estensione degli strumenti (eID) notificati ed interoperabili tra gli Stati Membri
- uno sforzo di normalizzazione strategico in alcuni settori (e-health in primis)
- valorizzare i risultati di progetti già realizzati, senza “reinventare la ruota”
