La proposta di modifica del Regolamento europeo eIDAS (nr. 910/2014) ha come colonna portante il portafoglio di identità digitale europea (EDIW- European union Digital Identity Wallet). Questo è ampiamente pubblicizzato e occupa la quasi totalità della comunicazione europea sui temi dell’identità digitale e sul suo cruciale impatto sull’utilizzo dei servizi digitali.
EU Digital wallet, come funzionerà in pratica: tutti i dettagli operativi
Meno diffusa è al momento la letteratura disponibile sui principali aspetti funzionali e operativi dello EDIW; illustriamo qui alcuni punti cruciali riguardanti l’impatto sui sistemi esistenti, le funzionalità previste e alcune criticità da affrontare per favorire la diffusione del portafoglio presso i cittadini.
Alla data è in corso il cosiddetto trilogo, dibattito informale tra Commissione, Consiglio e Parlamento europeo. Al termine del dibattito, ipotizzato dalle istituzioni comunitarie per fine giugno 2023, il testo concordato sarà pronto per i passi formali successivi e la pubblicazione nella Gazzetta comunitaria.
In questa sede si fa riferimento al testo approvato dal Parlamento che è il più recente dei tre sopra citati.
La definizione del portafoglio nello schema di regolamento in discussione
Per iniziare è indispensabile citare la definizione del portafoglio nello schema di regolamento in discussione (traduzione non ufficiale): “un mezzo di identificazione elettronica, che conserva, gestisce e convalida in modo sicuro i dati dell’identità e gli attestati elettronici degli attributi per fornirli su richiesta alle parti facenti affidamento e altri utenti del EDIW e abilitare la creazione di firme elettroniche qualificate e sigilli elettronici qualificati”.
La definizione del portafoglio evidenzia immediatamente l’importanza della protezione dei dati personali e della conseguente sicurezza che deve essere attiva già nella struttura di base. Il concetto di riferimento è by design e by default, il portafoglio è sicuro per progettazione e per impostazione predefinita.
Le norme stabiliscono per il portafoglio una serie di requisiti funzionali e operativi.
I dati associati al portafoglio devono essere utilizzati sotto il totale controllo dell’utente che può essere sia una persona fisica che giuridica.
Il portafoglio è emesso e gestito da uno Stato membro, sotto il mandato di uno Stato membro, indipendente da uno Stato membro ma riconosciuto da quest’ultimo.
Il codice sorgente del portafoglio è in formato aperto ed è pubblicato a fini di revisione e verifica.
Il portafoglio deve consentire all’utente, in modalità facile da usare, una serie di funzionalità che partono dall’inizializzazione del mezzo fino agli usi di dettaglio che, come tali, possono essere specializzati.
Le principali funzionalità del wallet
Le principali funzionalità di base prevedono di richiedere, conservare, selezionare, combinare e condividere i dati necessari per l’identificazione dell’utente, che poi sono utilizzati per l’autenticazione sia online che offline ai servizi pubblici e privati.
Le operazioni devono essere sotto il controllo esclusivo dell’utente, gestiti in modo trasparente e tracciabili in modo completo.
Le attestazioni elettroniche degli attributi
Il portafoglio deve essere in grado di operare con le attestazioni elettroniche degli attributi. Gli attributi sono definiti come una prerogativa, una caratteristica o una qualità di una persona fisica o giuridica o di un’entità.
Le attestazioni elettroniche degli attributi sono gestite direttamente dall’utente che può emetterle o revocarle trattandole in modo completo nell’ambito del loro specifico ciclo di vita.
Il portafoglio può interagire in modo diretto con un altro portafoglio o con un soggetto facente affidamento sulla connessione. I dati di identificazione e autenticazione sono trattati in modo sicuro, tracciabile e trasparente anche nell’ambito di queste attività.
Tutte le transazioni sono registrate e consultabili tramite un cruscotto, tutto il contesto è soggetto alle regole del Regolamento europeo 679/2016 (GDPR) sulla protezione dei dati personali. Sono registrate anche eventuali irregolarità, illegalità e comportamenti scorretti nell’accesso ai dati che possono essere facilmente sottoposte alle autorità nazionali competenti.
Il portafoglio può recuperare i dati del titolare che può anche esercitare i suoi diritti di portabilità dei propri dati su un altro portafoglio di cui è titolare.
La firma digitale
Mediante il portafoglio deve essere possibile firmare in modo qualificato (firma digitale nel nostro attuale ordinamento) e gratuitamente. Quest’ultima prerogativa è oggetto di discussione perché in contraddizione con l’altra norma che stabilisce che i servizi fiduciari sono normalmente forniti contro pagamento.
Un’architettura comune e interoperabile
Le regole sul portafoglio oltre che alla sicurezza e alla protezione dei dati personali puntano su un’architettura comune e interoperabile. Questo con la previsione di protocolli e interfacce comuni e certificazione delle funzionalità basate su nuovi schemi di certificazione che sono basati sulle regole di sicurezza cibernetica stabilite nel regolamento nr. 881/2019 (regolamento sulla cybersicurezza nella versione in lingua italiana).
I portafogli approvati sono referenziati in un elenco pubblico che funzionalmente è analogo a quello stabilito nel regolamento 910/2014 (eIDAS vigente).
Il portafoglio, per i già esposti motivi di omogeneità e coordinamento tra le varie versioni, si basa su una struttura comune pubblicata in codice aperto con protocolli di rete definiti a priori e interfacce con design standard.
Le specifiche sono in fase di evoluzione all’interno di una serie di progetti pilota (Large Scale Pilots) finanziati dalla Commissione Europea e che hanno lo scopo di provare sul campo l’architettura e la struttura di base secondo un processo di miglioramento continuo all’interno del documento di riferimento che è “The European Digital Identity Wallet Architecture and Reference Framework” – ARF.
I progetti pilota
In questa sede può essere utile ricordare che nei progetti pilota verranno rilasciati l’infrastruttura del portafoglio, le modalità di inizializzazione e attivazione dello stesso e alcune funzionalità ritenute importanti in questa fase di sperimentazione. Le principali sono la digitalizzazione della patente di guida per autoveicoli, l’attivazione di credenziali bancarie, l’attivazione di una SIM telefonica, la gestione di prescrizioni elettroniche e l’apposizione di firme qualificate. Queste realizzazioni influenzeranno le successive versioni della specifica ARF che è progettata proprio per seguire i miglioramenti e le evoluzioni che scaturiranno dalla pratica e dall’operatività del mondo reale.
Le regole per la certificazione di sicurezza del portafoglio
In parallelo si stanno definendo le regole per la certificazione di sicurezza del portafoglio con ENISA, l’Agenzia europea per la sicurezza cibernetica e la partecipazione degli esperti degli Stati membri.
Si definiranno nuovi schemi di certificazione che, secondo quanto stabilito alla data negli schemi di regolamento eIDAS 2, saranno applicati secondo le regole già attive con il regolamento eIDAS vigente. Quindi accreditamenti nazionali di CAB (Conformity Assessment Bodies) che emettono CAR (Conformity Assessment Report) e li trasmettono all’organismo preposto all’approvazione (ancora da definire in Italia). I CAB dovranno anche certificare i wallet e le loro interazioni con il mondo esterno sulla base dei nuovi schemi in fase di definizione formale.
Conclusioni
Il portafoglio europeo di identità digitale è un sistema molto complesso e ad alta criticità in materia di protezione dei dati personali e sicurezza informatica.
Un approccio concreto e realistico ne favorirà il successo se la fiducia che gli utenti avranno nel suo utilizzo sarà di adeguato livello.
