La proposta di Digital Wallet europeo, diffusa dalla Commissione Europea a inizio giugno 2021, ha sollevato pareri contrastanti tra gli esperti del settore. Alcuni di questi sembrano oggettivi (in primis la critica alla roadmap di implementazione e adozione, che sembra davvero troppo ottimistica), mentre altri hanno probabilmente un carattere più soggettivo, come il plauso all’approccio orientato alla self-sovereign identity, tema che ha certamente un grande hype mediatico ma che va ulteriormente approfondito in tutti i suoi aspetti.
Negli ultimi mesi, la Commissione Europea ha finalizzato la raccolta di feedback frutto di una consultazione pubblica, chiusa il 2 settembre, che ha avuto una significativa adesione, in particolar modo dal settore privato (piccole-medie imprese e grandi aziende, anche da oltreoceano). Questo articolo vuole rappresentare un riassunto critico e – per quanto possibile – organico di questi pareri, che hanno l’indiscutibile merito di sollevare spunti di riflessione sinora poco esplorati.
Il parere del settore privato
Il regolamento eIDAS nella sua forma attuale, emanato nel 2014, è caratterizzato da un esplicito rilievo ai service provider pubblici, mentre il settore privato viene sostanzialmente trascurato. Uno degli effetti di questa decisione è la penetrazione piuttosto limitata che ha avuto il cosiddetto “Login eIDAS” nel panorama comunitario: solamente il 14% dei servizi online europei consente uno scenario di autenticazione cross-border, quindi aperto anche ai cittadini europei di nazionalità “straniera” rispetto al service provider, mentre solo il 60% dei possessori è capace di utilizzarlo per accedere a servizi di un’altra nazione. Rileviamo anche che una ricerca di Eurobarometer indica che il 72% degli utenti di social media vorrebbero sapere come trattano i propri dati personali ed il 63% vogliono un sistema di identità digitale “sicuro” per tutti i servizi online, pubblici e privati.
La proposta di nuovo regolamento eIDAS prova a cambiare marcia: l’apertura ai service provider privati è completa, e addirittura si mira a rendere obbligatorio il riconoscimento del Digital Wallet anche per questa tipologia di servizi. Semplificando il concetto, un utente italiano potrebbe utilizzare il proprio Digital Wallet, magari basato su identità SPID, come suggeriamo con gli amici di #ClubTI4SPID, per accedere a una banca olandese e aprire online un conto corrente.
Come sono state accolte le novità
Ma come sono state accolte tutte queste novità? Su circa venti pareri ospitati nella pagina dedicata a questa consultazione pubblica, troviamo suggerimenti di vario tipo, di seguito i sei principali:
- È pressoché unanime l’auspicio di preservare i costi già sostenuti in questi anni dai 27 Stati membri: si raccomanda quindi che il nuovo Digital Wallet possa basarsi il più possibile sulla odierna infrastruttura eIDAS;
- Una notevole spinta evolutiva che vede il Digital Wallet come fattore abilitante per i pagamenti elettronici o addirittura come contenitore di strumenti di pagamento, in un ideale raccordo con la direttiva PSD2, in modo da ottimizzare l’esperienza d’uso nell’ecosistema degli ePayments;
- Il consiglio di “aprire” il Wallet anche alle legal persons oltre che alle persone fisiche;
- La preoccupazione di parte del settore privato relativo all’obbligo di accettare il Digital Wallet come strumento di autenticazione; si propone piuttosto di rendere facoltativa questa scelta, sulla base di diversi razionali (come l’esperienza d’uso utente o differenti requisiti di sicurezza);
- La proposta teorizza un livello di autenticazione “alto” (LoA high). Ciò potrebbe nascondere una sorta di vendor lock-in nel caso di Digital Wallet implementato su dispositivi mobili, in quanto oggi sono molto pochi i produttori di chip con certificazioni di sicurezza compatibili con questo obiettivo;
- La raccomandazione di prevedere una timeline di implementazione meno aggressiva di quella attuale (che vedrebbe i primi pilot disponibili nell’autunno 2022), consentendo una coesistenza di almeno 3 anni tra l’infrastruttura odierna e quella proposta.
Molte di queste raccomandazioni meriterebbero una trattazione approfondita. La sostenibilità economica del modello è evidentemente un fattore chiave: su questo aspetto, Bruxelles ha più volte evidenziato i potenziali vantaggi legati a una innovazione come quella del Wallet, bastino due esempi: un unico gateway di autenticazione comunitario potrebbe, secondo una stima del Parlamento Europeo, far risparmiare 855.000 ore ai cittadini europei ogni anno. Qualcuna delle raccomandazioni nasconde insidie, soprattutto se incrociata ad altre: ad esempio, come sarà possibile estendere il modello alle legal persons se il Wallet sarà basato su un paradigma “chip & SIM”, quindi evidentemente vincolato a un dispositivo personale?
I feedback da oltreoceano
Non sono mancati i pareri espressi da importanti player statunitensi, come Apple e Facebook, evidentemente interessati a comprendere le ripercussioni di questa proposta nel mercato comunitario. Come prevedibile, i due big hanno sottolineato alcuni aspetti per loro cruciali: Apple auspica una certificazione di sicurezza dei Digital Wallet che via via si renderanno disponibili, e sconsiglia di consentire ai Wallet di accedere all’hardware dei dispositivi mobile; Facebook vorrebbe affiancare l’adozione del Digital Wallet al proprio “social login”, teorizzando che quest’ultimo sia più consigliato per alcuni casi d’uso e su certe fasce d’età della popolazione (evidentemente, i giovani che utilizzano i loro servizi). Altri commenti si focalizzano sulla possibilità di aprire a soluzioni di Wallet in cloud, anche per svincolarsi dalla disponibilità di chip e processori certificati, in larga parte di provenienza extra-UE.
Conclusioni
Il tema del Digital Wallet si conferma stimolante e ripropone la dicotomia di luci e ombre già evidenziata in un precedente articolo ospitato su queste pagine. Rimane l’impressione che il tema debba essere affrontato con spirito strategico e di ampio respiro. Tempistiche di realizzazione troppo strette rischiano di minare questo proposito. Una suggestione aggiuntiva su tutte: e se il Wallet fosse lo strumento abilitante per il digital euro?
È altrettanto evidente che la vera partita si gioca con il settore privato, quello escluso dal primo regolamento eIDAS e che può mettere sul tavolo numeri importanti: se fosse adottato uno schema di autenticazione unico, stime parlano di un risparmio di 11 miliardi di euro alle imprese ogni anno e sei settimane in meno nei processi di adeguata verifica dell’identità di potenziali business partners.
