Il protagonista assoluto del nuovo regolamento europeo eIDAS 2, che riguarda l’istituzione di un quadro per l’identità digitale comunitaria, è il Portafoglio Europeo di Identità Digitale (European Digital Identity Wallet – EDIW).
In questa sede ne descriviamo sinteticamente le caratteristiche e le funzionalità sulla base dello schema di regolamento giunto alla fase finali di approvazione e, quindi, con il testo consolidato.
La politica di identità digitale UE
La base della politica comunitaria in tema di identità digitale può essere sintetizzata con il seguente estratto del discorso sullo Stato dell’Unione pronunciato il 16 settembre 2020 dalla Presidente della Commissione europea Ursula von der Leyen:
“Ogni volta che un’app o un sito web ci chiede di creare una nuova identità digitale o di accedere facilmente tramite una grande piattaforma, non abbiamo idea di cosa ne sia veramente dei nostri dati. Per questo motivo, la Commissione proporrà presto un’identità digitale europea sicura. Qualcosa di affidabile, che ogni cittadino potrà usare ovunque in Europa per fare qualsiasi cosa, da pagare le tasse a prendere a noleggio una bicicletta. Una tecnologia che ci consenta di controllare in prima persona quali dati vengono utilizzati e come”.
Queste parole hanno ispirato il nuovo regolamento europeo eIDAS che ha introdotto il EDIW.
La definizione del wallet
La bozza consolidata del testo del citato regolamento, definisce EDIW come:
“un mezzo di identificazione elettronica, che consente all’utente di archiviare, gestire e convalidare in modo sicuro i dati di identità e attestazioni elettroniche degli attributi, per fornirli alle parti che ne fanno affidamento e ad altri utenti dei Portafogli Europei di Identità Digitale e di firmare tramite firme elettroniche qualificate o di sigillare tramite sigilli elettronici qualificati”.
Portafoglio europeo di identità digitale, le regole operative
L’articolo 6 bis dello schema di regolamento stabilisce le regole operative per l’emissione del Portafoglio:
“1. Al fine di garantire che tutte le persone fisiche e giuridiche nell’Unione abbiano un accesso transfrontaliero sicuro, affidabile e senza interruzioni ai servizi pubblici e privati, pur avendo il pieno controllo sui propri dati, ciascuno Stato membro fornisce almeno un Portafoglio Europeo di identità digitale entro 24 mesi dall’entrata in vigore degli atti di esecuzione di cui al paragrafo 11 e all’articolo 6 quater, paragrafo 4.
2. I portafogli europei di identità digitale sono forniti:
a) direttamente da uno Stato membro;
b) su mandato di uno Stato membro;
c) indipendentemente da uno Stato membro ma riconosciuto da tale Stato membro.”
Dai primi paragrafi del testo normativo si rilevano alcuni importanti aspetti. Il EDIW è emesso obbligatoriamente entro 24 mesi dall’entrata in vigore delle regole tecniche e non dell’eIDAS 2.0. L’utente, persona fisica o giuridica, deve avere il pieno controllo dei propri dati e infine, se un EDIW è emesso da un soggetto privato questo portafoglio deve essere riconosciuto dallo Stato membro di utilizzo.
Le indicazioni sull’open source
Proseguiamo con l’analisi del testo del regolamento.
“2-bis. Il codice sorgente delle componenti software dei Portafogli Europei di Identità Digitale dovranno avere una licenza open source. Gli Stati membri possono prevedere che, per ragioni debitamente giustificate, componenti specifiche diverse da quelle installate sui dispositivi degli utenti non saranno divulgate.
3. I portafogli europei di identità digitale sono mezzi di identificazione elettronica che devono abilitare l’utente in modo che sia facile da usare, trasparente e tracciabile da parte dell’utente a:
a) richiedere, ottenere, selezionare, combinare, archiviare, eliminare, condividere e presentare in modo sicuro, sotto il controllo esclusivo dell’utente, dati identificativi delle persone ed. ove applicabile, in combinazione con le attestazioni elettroniche degli attributi, ad autenticarsi in rete presso le parti interessate e, ove appropriato, fuori rete allo scopo di utilizzare servizi pubblici e privati, garantendo nel contempo che sia possibile la divulgazione selettiva dei dati”.
La descrizione delle caratteristiche del EDIW prosegue con le regole sull’open source (da definire i dettagli tecnici) e con la possibile limitazione alla divulgazione di componenti in generale brevettate. Anche questo ultimo aspetto dovrà essere affrontato con attenzione soprattutto al fine di rispettare le regole sulla protezione dei dati personali stabilite nella lettera a) del paragrafo 3.
Questo paragrafo prosegue con l’obbligo di consentire all’utente la generazione di pseudonimi, la reciproca autenticazione di EDIW tra utenti per ricevere e condividere dati di identità e attestazione elettroniche di attributi tra i due portafogli in modo sicuro.
Gli aspetti privacy
In ottica protezione dati personali e controllo dei flussi dei propri dati, l’utente deve poter accedere ad un registro di tutte le transazioni effettuate tramite il EDIW. I dati sono presentati mediante un cruscotto dove sono riportati l’elenco aggiornato delle parti che fanno affidamento con le quali l’utente ha stabilito una connessione e, ove applicabile, i dati scambiati. Sempre tramite il cruscotto l’utente può richiedere la cancellazione dei dati personali alla parte facente affidamento che li detiene (articolo 17 del GDPR) e interagire con il Garante per la protezione dei personali a fronte di richieste di dati presumibilmente sospette o illecite.
L’utente deve poter firmare elettronicamente in modo qualificato e sempre in modo qualificato poter appore sigilli elettronici.
Le ultime due opzioni per l’utente riguardano la possibilità, nella misura in cui tecnicamente fattibile, di scaricare i dati e l’attestazione elettronica di attributi e configurazioni, la possibilità di portabilità dei dati. Nel primo caso si tratta di un’opzione per disporre di una copia di sicurezza del EDIW, nel secondo caso di esercitare un diritto dell’utente.
Le regole per il EDIW proseguono nei commi successivi stabilendo regole dettagliate per tutelare l’utente sulla circolazione dei dati personali, compresa l’attestazione elettronica degli attributi e la validità del EDIW. In questo caso le regole indicano cosa fare per gestire il ciclo di vita del Portafoglio dal punto di vista della normativa regolamentare.
La gratuità della firma elettronica qualificata
Un punto che ha suscitato perplessità e dibattito nel corso della discussione per l’approvazione del testo di eIDAS 2.0 è stabilito alla lettera e-bis) del paragrafo 4 nell’articolo 6-bis.
Gli Stati membri devono offrire la possibilità alle persone fisiche di sottoscrivere con firma elettronica qualificata in modo gratuito. Questa possibilità può essere gestita dallo Stato membro con misure proporzionate atte ad assicurare che l’uso gratuito delle firme da parte delle persone fisiche sia per scopi non professionali.
Lo spirito della limitazione è chiaro, la sua applicabilità è complessa da definire. I certificati qualificati per la firma dovranno essere emessi con limitazioni d’uso molto precise, supportate da regole standard che ne delimitino in modo certo il perimetro di applicazione.
Portafoglio Europeo di Identità Digitale, quali utilizzi
Un altro paragrafo importante nell’ambito del ciclo di vita del EDIW e del suo utilizzo è nel paragrafo 7-bis.
“7-bis. L’uso del Portafoglio Europeo di Identità Digitale è volontario. L’accesso ai servizi pubblici e privati, l’accesso al mercato del lavoro e la liberta d’impresa non deve essere in alcun modo limitata o resa svantaggiosa per le persone fisiche e giuridiche che non utilizzano il Portafoglio Europeo di Identità Digitale. Rimarrà possibile accedere ai servizi pubblici e privati tramite altri mezzi di identificazione e autenticazione esistenti.”
Questo paragrafo è probabilmente uno dei più importanti dell’eIDAS 2.0. Stabilisce che il EDIW non è obbligatorio supportando il messaggio democratico emerso durante l’approvazione del testo che il Portafoglio non deve essere visto come un mezzo di controllo della persona ma come uno strumento utile per cittadini e imprese. Su questo ultimo concetto e sulla sua comprensione sociale si basa il successo o il fallimento della diffusione del EDIW. La parola chiave per valutare questi aspetti è fiducia.
Cybersecurity, elenco pubblico e certificazioni
La descrizione delle regole per il EDIW prosegue in modo complesso e articolato sui temi della sicurezza cibernetica a sé stante o connessa alla protezione dei dati personali. Rileviamo gli obblighi sulla disponibilità di strumenti per il controllo della validità del Portafoglio, di revoca dello stesso e di conformità nell’utilizzo al regolamento 679/2016 (GDPR).
La Commissione dovrà provvedere ad un elenco pubblico di Portafogli attivi, validi o revocati e regole dettagliate sono stabilite anche per le parti facenti affidamento sul EDIW.
L’articolo 6-quater stabilisce regole per la certificazione dei Portafogli Europei di Identità Digitale. Queste regole sono importanti ma la loro applicazione è complessa e soprattutto costosa. Questi costi complicano la sostenibilità economica dei portafogli pubblici e privati anche perché le certificazioni si devono ottenere ma anche mantenere in un ciclo di vita continuo.
Come sarà il futuro con l’EDIW
Per concludere questa sintetica descrizione delle caratteristiche del EDIW e delle sue principali funzionalità è utile ipotizzare uno scenario di riferimento. La certezza è che ci sarà (ci dovrà essere) almeno un Portafoglio emesso dallo Stato membro. Non si può escludere che ci saranno altri Portafogli pubblici quantomeno per l’abitudine delle pubbliche amministrazioni di avere APP con il proprio logo in vista. Il Portafoglio pubblico italiano sarà connesso all’APP IO. Essendo il EDIW un strumento di identità digitale sarebbe naturale utilizzarlo per aggregare i servizi in rete e fuori rete in conformità ad eIDAS 2.0.
Ci saranno anche i Portafogli emessi da soggetti privati. Il loro numero potrebbe essere elevato. I costi di gestione fanno ipotizzare che solo “big player” possano scendere in campo, soprattutto i soggetti comunemente denominati “Big Tech”. Sappiamo già di Apple e Google ma non avrebbe senso pensare che non si siano anche i soliti noti.
Il rischio è che ci sia un portafoglio per soggetto, limitato ai propri servizi di riferimento con una proliferazione di strumenti con sviluppo verticale invece che orizzontale.
Le istituzioni comunitarie dovranno lavorare per gestire al meglio questa situazione. Rimanendo a fatti certi, senza dubbio il Portafoglio Europeo è il futuro dell’identità digitale e dei servizi in rete (e fuori rete). Questi verranno erogati in modo standard e con un elevato controllo dei nostri dati personali, conseguenza di una infrastruttura di sicurezza cibernetica allo stato dell’arte.
Come al solito saranno i fatti a stabilire il successo e la diffusione dello strumento a livello europeo dove usi e costumi e abitudini digitali differenti dei cittadini, delle imprese e dei professionisti dovranno trovare un’adeguata sintesi.
In Italia
In Italia ci sarà un’evoluzione della situazione attuale con la razionalizzazione delle varie identità digitali e la decisione operativa finale sul futuro del sistema SPID e la centralità del sistema di identità digitale basato sulla Carta d’Identità Elettronica.
La digitalizzazione è pervasiva e inevitabile, ma dimentichiamo che siamo in una società con l’età media in aumento con tantissimi utenti non operativamente digitali (ma che hanno un’identità digitale) e soprattutto che l’innovazione non deve essere fine a stessa ma servire a migliorare la vita delle persone in modo inclusivo.
