Quando parliamo di European Digital Identity Wallet, parliamo della possibilità di avere in futuro un’identità digitale uniforme per tutti i cittadini europei, in cui la gestione dei dati sarà sotto il controllo delle persone titolari dei dati stessi. Partiamo dalle origini del progetto, per comprenderne meglio le implicazioni e proviamo a capire come sarà l’IT Wallet e come si pone rispetto all’EUDI Wallet.
Il panorama nazionale e internazionale
I sistemi nazionali di identità digitale negli ultimi anni hanno avuto una forte fase di sviluppo. Essendo limitati da un “ceiling” (un tetto massimo da raggiungere, ovvero la popolazione della nazionale in cui sono utilizzati) il loro tasso di crescita sta rallentando e per alcune fasce d’età sono prossimi alla saturazione dei possibili utilizzatori. In altri ambiti, invece, il loro percorso di diffusione e consolidamento continua, sia tra imprese che tra cittadini.
A livello europeo sono stati notificati circa 35 schemi di identità, ognuno con le proprie caratteristiche. Un esercizio che riteniamo utile per avere una mappatura più chiara degli schemi utilizzati è quello di considerare le seguenti variabili:
– il Level of Assurance, che spesso determina la facilità nell’utilizzo dello strumento
– la diffusione in termini relativi e assoluti nella popolazione
– l’effettivo utilizzo da parte degli utenti.
In questo senso, analizzando i paesi più vicini e comparabili all’Italia possiamo notare alcuni elementi utili:
- in Italia esistono i due noti schemi SPID e CIE che hanno livelli di diffusione diversi e grazie ai quali possiamo vantare un assoluto primato in termini di frequenza di utilizzo grazie a SPID (LoA Substantial)
- in Francia esiste da tempo France Connect, che vede un significativo numero di utenti ma uno scarso utilizzo da parte degli stessi in termini di frequenza
- in Germania le identità digitali faticano decisamente a decollare e la percentuale di utilizzatori è decisamente inferiore rispetto a molti altri paesi Europei.
La diffusione di SPID e CIE
Per quanto riguarda l’Italia, abbiamo oltre 36 milioni di SPID e 37 milioni di CIE nelle mani degli italiani, con tassi di diffusione diversamente distribuiti nelle fasce di età (SPID: penetrazione di quasi il 100% nella fascia 18-24, mentre attorno al 25% per gli over 65 secondo i dati dell’Osservatorio del Politecnico di Milano).
I due dati sui milioni di utenti (36 versus 37) vanno poi letti considerando che gli utenti SPID sono cittadini maggiorenni (tolto qualche recente caso dall’attivazione di SPID per minori), che hanno deciso di investire tempo e soldi per dotarsene, e verosimilmente lo hanno pertanto dovuto utilizzare; il numero di CIE emesse, invece, riguarda anche minorenni e cittadini che si sono dovuti dotare di un documento d’identità che probabilmente non hanno mai avuto occasione di utilizzare in quanto identità digitale, ammesso che abbiano conservato il PIN o sappiano di poterlo recuperare con le nuove modalità previste.
L’adozione potrebbe aumentare grazie al fatto che i servizi pubblici, anche grazie agli avvisi padigitale2026.gov.it, dovrebbero progressivamente diventare sempre più standardizzati nel permettere l’accesso sia con SPID che con CIE (e meglio ancora anche con eIDAS) nonché aumentare in numero: l’accesso con SPID e CIE è obbligatorio per i servizi della PA, grazie al Decreto Semplificazioni, dal primo gennaio 2021.
Per quanto riguarda invece l’utilizzo di SPID e CIE, ovvero il numero di accessi complessivi, i cittadini hanno effettuato 1 miliardo di accessi con SPID nel 2022 e sono a 560 milioni nel 2023. Per CIE l’utilizzo si attesta a 22 milioni nel 2022, con un rapporto di accessi con SPID di 50:1 rispetto a CIE.
Inoltre, nel 2022 gli accessi sono avvenuti esclusivamente mediante CIEid e lettore NFC, modalità che certamente non hanno contribuito ad una ampia diffusione. Nel 2023 l’aggiunta dei livelli 1 e 2 – implementato ad aprile di quest’anno – fa presagire un aumento dell’utilizzo effettivo, sebbene il rapporto con SPID rimarrà probabilmente comunque nettamente a favore di SPID.
Il trend di crescita di utilizzo di SPID e CIE deriva anche dalla loro integrazione nei servizi digitali pubblici e dalle politiche di sostegno ai cittadini messe in atto durante la pandemia (green pass, lotteria degli scontrini, bonus, cash-back…). Secondo le stime di Intesa, a Kyndryl Company, effettuate utilizzando la media di frequenza di utilizzo di SPID come proxy per la stima degli utenti attivi della CIE, è ipotizzabile un numero di utenti attivi di CIE vicino al milione. Qualora confermato, equivarrebbe a circa 5 anni di gap rispetto a SPID in termini di adozione, senza gli effetti straordinari dovuti alla pandemia e agli incentivi dei precedenti governi.
Per quanto riguarda i servizi dei privati, invece, l’utilizzo di SPID e CIE è ancora molto ridotto: secondo l’ultimo censimento dell’Osservatorio Digital Identity (novembre 2022), il numero di Service Provider privati (ovvero le aziende che integrano l’accesso e l’identificazione con SPID e CIE nei propri servizi) contava 141 realtà per SPID e solo 19 per CIE. Tra i servizi privati sono molto più diffusi altri sistemi per l’identificazione digitale, con l’utilizzo di token o One Time Password mandati via sms.
Quando un sistema si diffonde come avviene per SPID e CIE, tipicamente emergono anche nuove possibilità di utilizzo e di superamento dei limiti tecnologici. Per questo le identità digitali nazionali stanno evolvendo, in modo unitario a livello europeo, verso un concetto di wallet di identità digitale, che permetta di raccogliere al tuo interno non solo i dati anagrafici ma anche certificati, pass e altri “attributi”.
Cos’è il digital wallet
L’European Digital Identity Wallet, definito nella bozza di revisione 2.0 del regolamento eIDAS uscita nel giugno 2021 e attualmente nella fase conclusiva di trilogo tra Commissione, Consiglio e Parlamento europei, è un’importante iniziativa della Commissione per definire nuovi ecosistemi di identità digitale caratterizzati dal controllo totale dei cittadini sui propri dati e dall’interoperabilità tra paesi dell’UE (tema rilevante considerando i 35 schemi di identità esistenti già citati). In questo contesto vanno inserite anche le “Big Tech”, che si propongono sempre più come partner tecnologici e abilitatori di questi wallet a tutti i livelli: l’obiettivo della Commissione Europea è anche quello di frenare le relative posizioni dominanti, garantendo la centralità della privacy degli utenti e la diffusione di wallet solidamente europei.
Ad oggi non c’è ancora un’implementazione definitiva e condivisa del wallet a livello europeo: sono in corso diverse sperimentazioni (4 consorzi pilota finanziati dalla commissione) che coinvolgono molti stati per capire quale può essere la “realizzazione” migliore del wallet per soddisfare le esigenze future di cittadini e imprese, nel rispetto di privacy e security.
Un esempio è il consorzio POTENTIAL, composto da 148 entità provenienti da 19 paesi oltre all’Ucraina, che si è recentemente riunito a Parigi con la presenza di molte istituzioni Europee. In questo gruppo sono presenti per l’Italia anche pagoPA con l’app IO, quale implementatore del Wallet, oltre che alcuni partner italiani come Aruba, IPZS, Intesa, a Kyndryl Company, PAT e FBK. Questo consorzio sperimenterà ben 6 diversi casi d’uso, dall’autenticazione per l’utilizzo di servizi governativi all’apertura di conti correnti, fino alla patente digitale da mostrare alle forze dell’ordine. Una sfida complessa: i lavori sono già partiti da qualche mese e i partecipanti italiani stanno portando l’esperienza concreta del nostro Paese su questi temi, in cui rappresentiamo un primato in Europa.
Come viene definito il wallet
Secondo l’ultima bozza pubblica di regolamento eIDAS, il wallet è “un mezzo di identificazione elettronica che archivia, gestisce e convalida in modo sicuro i dati di identità e le attestazioni elettroniche degli attributi per fornirli su richiesta alle parti interessate e ad altri utenti e per abilitare la creazione di firme e sigilli elettronici qualificati”.
L’Osservatorio Digital Identity del Politecnico di Milano definisce il wallet un “portafoglio elettronico per la memorizzazione e la condivisione sicura di documenti e certificati in formato digitale”. Viene tipicamente erogato in forma di applicazione mobile per smartphone.”
PagoPA s.p.a. aggiunge una visione funzionale: “Il portafoglio di identità digitale europea (Digital Wallet) offrirà ai cittadini e alle imprese un sistema semplice, affidabile e sicuro per identificarsi online e condividere una moltitudine di attributi e certificati, come ad esempio la patente di guida, il diploma o gli estremi del proprio conto bancario, con fornitori di servizi privati e pubblici.”
Una sorta di “super-App” la cui stesura del quadro di riferimento dell’architettura (abbreviato in “ARF”) è in corso di definizione da parte di un gruppo europeo di esperti e in continua evoluzione, con molti punti ancora da chiarire vista la complessità del tema e l’assenza di standard di riferimento.
Cosa conterrà il digital wallet
Il digital wallet permetterà di:
● identificarsi online e offline: questo comporterà l’inizializzazione del wallet tramite un’identità digitale con Level of Assurance High (quindi la CIE per l’Italia) e la possibilità di spendere alcuni dati anagrafici afferenti alla mera identità, quindi nome, cognome, data di nascita e un identificativo univoco ancora in corso di definizione
● raccogliere ulteriori dati personali quali il codice fiscale, il genere, il luogo di nascita, l’indirizzo di residenza
● avere con sé “attributi” elettronici autenticati e verificati, quali il numero di tessera sanitaria, le certificazioni di disabilità, la patente di guida, le certificazioni professionali o altri ancora veicolati dalle cosiddette “Attribute Authority”
Cosa cambierà con il digital wallet
Le caratteristiche e le funzionalità delle identità digitali come le conosciamo oggi:
● sono associate 1 a 1 ad un’identità fisica
● permettono di autenticarsi ad un servizio
● permettono di dare al servizio degli attributi (es. codice fiscale)
● possono avere 3 livelli di sicurezza (Level of Assurance, abbreviato LoA): low, low (username e password), substantial (con doppio fattore di autenticazione), high (con aggiunta di device fisico)
Il digital wallet sarà qualcosa di più.
Il digital wallet non sostituirà le identità digitali nazionali, ma le integrerà aggiungendo funzionalità, contenendo attestazioni di attributi (come ad esempio diplomi universitari, titoli professionali, permessi e licenze pubbliche, dati finanziari e aziendali). Oltre a questo potrà contenere attributi di vario tipo anche forniti da soggetti privati (es. attestati di rischio, codice iban).
Inoltre, ognuna di queste informazioni potrà essere condivisa su scelta del proprietario con chi ne ha necessità, permettendo un controllo capillare della diffusione delle proprie informazioni. La proprietà del dato sarà completamente sotto il controllo del proprietario del wallet.
Il digital wallet sarà transfrontaliero per natura, ovvero varrà in tutta Europa e sarà rilasciato da entità pubbliche o private riconosciute a livello europeo. Il wallet, dopo un rigido percorso di certificazione per gli aspetti di sicurezza, permetterà maggiore interoperabilità dei dati, in maniera semplice, sicura e GDPR compliant, pur mantenendo le caratteristiche delle identità digitali di base, ovvero autenticazione e possibilità di firma digitale.
La partita per i privati
La diffusione delle identità digitali nazionali è in crescita nei servizi pubblici e poco nei privati. Da una survey dell’Osservatorio Identità Digitale del Politecnico di Milano, risulta che molte aziende non hanno mai valutato l’integrazione con le identità digitali nazionali.
Ad esempio in ambito bancario, la mancanza di adozione deriva principalmente da tre considerazioni:
● rischi di sistema: oggi si spende per integrare SPID o CIE, domani il legislatore cambia le regole e non si ha più il controllo del cambiamento dovendo investire nuovamente
● rischi di trust: di chi è la responsabilità nel caso in cui si accetta l’autenticazione strong di un sistema terzo e l’autenticazione non è corretta o è stata compromessa?
● rischi di legislazione sovrapposta: come allineare regolamento eIDAS a norme bancarie (es. PSD2)?
Dal punto di vista dei costi, i pochi privati che hanno adottato le identità digitali segnalano, sempre secondo l’Osservatorio Identità Digitale del Politecnico di Milano, di aver avuto dei significativi risparmi rispetto ad un sistema proprietario.
Rimane sia per il mondo privato che pubblico un tema centrale. Anche laddove per l’autenticazione si utilizzino identità digitali nazionali oppure private, nelle fasi successive dei processi, ovvero nella verifica dati, viene ancora spesso utilizzato l’analogico (ad. esempio si predilige la scansione del documento) anche per necessità di regolamentazione specifica, come nel caso del mondo bancario. Il wallet e il regolamento eIDAS dovrebbero aiutare nel superamento degli elementi che rendono ancora i processi poco digitali.
Parlando invece di come i privati potrebbero generare business dal digital wallet, la sfida si sposta sui servizi trusted che potranno ampliare anche la propria attività in riferimento alla certificazione degli attributi.
IT Wallet
L’Italia essendo stata tra i primi stati a diffondere massicciamente l’identità digitale e gli schemi di identità federata, vuole anticipare i tempi mediante l’IT Wallet.
Se l’EUDI Wallet è previsto per fine 2026, la timeline dell’IT Wallet dovrebbe essere:
● primi test entro fine 2023
● primo rilascio versione alpha entro metà 2024
Lo strumento di accesso che permette l’identificazione e l’inizializzazione del wallet dovrebbe essere la CIE, contemplando solo per alcuni aspetti lo SPID. La piattaforma infrastrutturale sarà quella di PagoPA con l’app IO, forte della sua significativa diffusione tra i cittadini e apprezzata user experience. I fornitori di attributi, considerando la presenza di patente, tessera sanitaria e tessera della disabilità dovrebbero essere Sogei, Motorizzazione e INPS.
I primi test di fine anno dovrebbero quindi includere i documenti appena elencati.
Una volta completato il percorso, saranno da valutare la diffusione tra gli utenti e l’impatto sugli erogatori di servizi, tra cui circa 20.000 PA. Queste dovranno verosimilmente modificare le proprie integrazioni per accedere all’ulteriore identificazione con l’IT wallet prima e l’EUDI wallet poi. La speranza è che il Dipartimento di Trasformazione Digitale renda accessibili delle modalità semplici per seguire tecnologicamente e normativamente le strette evoluzioni in corso.
Conclusioni
In conclusione, l’ecosistema delle identità digitali sta cambiando velocemente, sia per adozione che per possibilità. L’identità digitale è ora davanti a un bivio:
● il wallet avrà successo e sarà considerato solo come un nuovo “contenitore” per identità digitali e credenziali esistenti, senza modificare la configurazione attuale del mercato e dell’offerta all’utente. Diventerà quindi una semplice estensione di quanto conosciamo;
● il wallet permetterà di raggiungere l’interoperabilità, sinergie tra servizi digitali in Stati diversi, capillarità in diversi ambiti applicativi e coinvolgimento di nuovi attori con competenze e asset nuovi, creando una rivoluzione reale del mondo dell’identità digitale e del suo utilizzo.
Alle sperimentazioni in corso, alle evoluzioni normative e alla necessità di maggiore controllo dei propri dati, oltre che al mercato, è destinata la scelta della direzione da prendere. Quale sarà lo scopriremo probabilmente nei prossimi 24-36 mesi.
Nel frattempo l’identità digitale sta subendo una metamorfosi: da semplice metodo di autenticazione sicuro, sta diventando una piattaforma di servizi europea. L’obiettivo definito del raggiungimento dell’80% dei cittadini europei entro il 2030 sarà una vera prova di sviluppo e crescita digitale per l’Europa e per tutti noi.
