Il nuovo Regolamento europeo per un’identità digitale comune nel mercato interno che modifica quello noto come eIDAS (n. 910/2014) fa un importante passo in avanti con l’accordo raggiunto nel Consiglio Europeo. Questo accordo denominato “orientamento generale” scioglie una serie di nodi sul wallet/portafoglio europeo di identità digitale. In questa sede vengono descritti i termini dell’accordo raggiunto nel Consiglio e gli impatti sul sistema nazionale italiano dell’identità digitale.
I tempi di attuazione per i rilasci di wallet/portafogli saranno di 24 mesi a partire dalla adozione degli specifici atti di esecuzione. L’approvazione di questo testo conduce alla discussione a tre (Parlamento europeo, Commissione e Consiglio) che, a conclusione, porta al testo definitivo che poi viene pubblicato nella Gazzetta Ufficiale Comunitaria. L’attuale bozza di eIDAS II è ovviamente ricca di ulteriori novità e dettagli dopo il più volte citato documento di “orientamento generale”.
Carta d’identità elettronica, ora si fa sul serio: come sta evolvendo l’eID in Italia
Identità digitale europea, cosa dice la Commissione UE
Nel giugno del 2021 la Commissione ha proposto una bozza di Regolamento del Parlamento europeo e del Consiglio “che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea”. Come già evidente nel titolo, il fulcro della modifica è l’identità digitale comunitaria. Questo sistema consentirà di accedere a servizi e transazioni in rete in modalità transfrontaliera con un elevato livello di sicurezza.
L’elemento di base è il wallet/portafoglio definito, al momento, nel testo della bozza del regolamento come:
“un mezzo di identificazione elettronica che consente all’utente di conservare e consultare dati di identità, compresi dati di identificazione personale, e attestati elettronici di attributi collegati alla sua identità, fornirli su richiesta alle parti facenti affidamento sulla certificazione e utilizzarli per l’autenticazione, online e, se del caso, offline, per un servizio, conformemente all’articolo 6 bis, e che consente di firmare mediante firme elettroniche qualificate e apporre sigilli mediante sigilli elettronici qualificati”;
L’articolo 6 bis tratta delle caratteristiche e dei requisiti del wallet/portafoglio di identità digitale.
Come funziona il wallet
Per quanto di interesse in questa sede, ricordiamo che il wallet/portafoglio è emesso dagli Stati membri all’interno di uno scenario di regimi di identificazione notificati e che utilizzano norme tecniche comuni, sia ai fini dell’interoperabilità ma anche e, soprattutto, per la sicurezza cibernetica globale del sistema. Le regole comuni sono contenute in un documento che tratta dell’ARF (Architecture and Reference Framework).
EUDI, l’identità digitale europea: ecco le regole della Commissione UE per costruirla
Il gruppo di lavoro comunitario sta completando l’aggiornamento di questo documento, necessario per allinearlo al sopra citato accordo in Consiglio.
Come già detto l’aspetto peculiare della sicurezza cibernetica ha portato alla decisione di certificazione obbligatoria per il wallet/portafoglio.
L’obiettivo generale e strategico del wallet/portafoglio è quello di fornire ai cittadini e agli aventi diritto sulla base delle Legislazioni nazionali uno “strumento europeo di identità digitale armonizzato”. Questo strumento può diventare un mezzo di identificazione elettronica a sé stante basato, appunto, sul rilascio dei dati di identificazione personale e del portafoglio da parte degli Stati membri.
Gli aspetti di sicurezza: i “livelli di garanzia”
In questo scenario la sicurezza è valutata sulla base di “livelli di garanzia”. I livelli di garanzia si applicano ai regimi di identificazione elettronica e sono basso, significativo e alto. La loro definizione è la seguente:
“Il livello di garanzia basso si riferisce a mezzi di identificazione elettronica nel contesto di un regime di identificazione elettronica che fornisce un grado di sicurezza limitato riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre il rischio di uso abusivo o alterazione dell’identità.
Il livello di garanzia significativo si riferisce a mezzi di identificazione elettronica nel contesto di un regime di identificazione elettronica che fornisce un grado di sicurezza significativo riguardo all’identità pretesa o dichiarata di una persona ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di ridurre significativamente il rischio di uso abusivo o alterazione dell’identità.
il livello di garanzia elevato si riferisce a un mezzo di identificazione elettronica nel contesto di un regime di identificazione elettronica che fornisce riguardo all’identità pretesa o dichiarata di una persona un grado di sicurezza più elevato dei mezzi di identificazione elettronica aventi un livello di garanzia significativo ed è caratterizzato in riferimento a specifiche, norme e procedure tecniche a esso pertinenti, compresi controlli tecnici, il cui scopo è quello di impedire l’uso abusivo o l’alterazione dell’identità”.
Questi ultimi caratterizzano il livello di sicurezza nei mezzi di identificazione elettronica associando una garanzia valutabile all’asserzione di un soggetto che afferma di avere una determinata identità sia veramente le persona alla quale l’identità è stata assegnata. Il wallet/portafoglio deve quindi soddisfare i requisiti di livello di garanzia “elevato”.
Le regole per le certificazioni
Il livello di diffusione di requisiti di livello significativo negli Stati membri, che non potevano essere smantellati per oggettive esigenze di evoluzione del sistema hanno guidato nel recente accordo, la possibilità di utilizzare i mezzi di identificazione al livello “significativo” associati, in fase di onboarding, a ulteriori procedure utilizzate in modalità “da remoto” per ottenere il livello di garanzia elevato e il rilascio del wallet/portafoglio. Nell’accordo sono state aggiornate anche le regole per la certificazione di sicurezza e quanto necessario per il naturale coordinamento con le nuove norme comunitarie sulla sicurezza cibernetica (note anche come NIS 2) in fase di pubblicazione nella Gazzetta Ufficiale comunitaria.
La certificazione è obbligatoria, i livelli di garanzia sono univocamente attestati dalle regole e procedure di certificazione. Nella pratica, si amplia il perimetro di certificazione che adesso è solo per i dispositivi per la creazione della firma o del sigillo qualificato. L’attuale testo stabilisce esplicitamente che l’emissione, l’uso per l’autenticazione e la revoca del wallet/portafoglio dovrebbero essere gratuiti per le persone fisiche. Peraltro, non sono esclusi costi, ad esempio, per il rilascio di attributi elettronici.
Digital european wallet e DMA
Molto importante è anche il legame con il Regolamento sui Mercati Digitali (nr. 2022/1925). I fornitori di wallet/portafogli e gli emittenti di mezzi di identificazione elettronica notificati che agiscono a titolo commerciale o professionale sono utenti commerciali dei gatekeeper ai sensi della rispettiva definizione nella normativa sui mercati digitali. Nella nuova formulazione della specifica premessa al testo si illustrano le implicazioni dell’interconnessione con la normativa sui mercati digitali, vale a dire che i gatekeeper dovrebbero essere tenuti a garantire, a titolo gratuito, l’effettiva interoperabilità con lo stesso sistema operativo e le stesse componenti hardware o software disponibili o utilizzati nella fornitura dei suoi servizi complementari e di supporto, come pure a garantirne l’accesso ai fini dell’interoperabilità.
L’abbinamento delle registrazioni
Una modifica ulteriore è per la rubrica dell’articolo 11 bis originale che è stato rinominato “Abbinamento delle registrazioni” per descrivere meglio l’obiettivo della disposizione. Sulla base della discussione che ha portato all’accordo più volte già citato, il concetto di identificatore unico e persistente è stato mantenuto per il wallet/portafoglio. La rispettiva definizione chiarisce che l’identificatore può consistere in una combinazione di diversi dati di identificazione nazionali o settoriali, nella misura in cui persegue il suo scopo. È esplicitamente indicato che l’abbinamento delle registrazioni può essere agevolato da attestati elettronici di attributi qualificati.
All’articolo 11 bis è stata inserita una disposizione di salvaguardia secondo cui gli Stati membri garantiscono la protezione dei dati personali e impediscono la profilazione degli utenti. Infine, gli Stati membri, in qualità di parti facenti affidamento sulla certificazione, garantiscono l’abbinamento delle registrazioni.
Lo scenario in Italia
Per concludere qualche considerazione sull’impatto sullo scenario italiano. La parte sicurezza e certificazione è saldamente nelle mani dell’Agenzia per la Cybersicurezza Nazionale (ACN), anche per i rapporti con le organizzazioni comunitarie equivalenti. La NIS 2 quando sarà pienamente in vigore tra un paio d’anno fa diventare i prestatori di servizi fiduciari (Trust Service Provider) fornitori di servizi ad alta criticità, quindi le competenze di vigilanza, oggi in capo ad AgID dovrebbero passare all’ACN.
Il wallet/portafoglio influenza anche la parte delle firme e dei sigilli qualificati. Il testo proposto associa chiaramente al wallet/portafoglio anche le operazioni di firma e sigillatura dei documenti informatici. In questo senso il testo attuale dell’articolo 24, paragrafo 1 della bozza ha un impatto non positivo sul mercato italiano della firma remota. In Europa si sono levate numerose voci critiche sul tema.
Sul piano generale il wallet/portafoglio è fondamentale per la parte di aggregazione e omogeneizzazione delle identità digitali a livello europeo e per il coordinamento con le norme comunitarie sui mercati digitali e sulla sicurezza cibernetica. Sul piano operativo appare ambiziosa (ma non impossibile) la certificazione di sicurezza a livelli di garanzia elevati di dispositivi che sono prodotti prevalentemente dal mercato asiatico. In tal senso manca nel quadro generale un tassello che tenga conto della carente sovranità tecnologica dell’Italia ma anche dell’Europa. La certificazione ci vede sfavoriti nei confronti di francesi e tedeschi non tanto per OCSI, oggi confluito in ACN, ma per il piccolo numero di laboratori di valutazione Common Criteria (ISO/IEC 15408) presenti in Italia (11 comprese entità stabilite all’estero e accreditate in Italia).
Se il livello di garanzia richiesto è elevato poi non è facile disporre di competenze che su un tema così complesso non si inventano dall’oggi al domani. Il tempo a disposizione non è molto ma non è nemmeno al limite, quindi si deve agire rapidamente e con efficacia e efficienza. Il domani sembra lontano ma poi arriva presto.
