la guida

Il wallet di identità digitale europea: i principali aspetti funzionali e operativi

Il portafoglio europeo di identità digitale è un sistema molto complesso e ad alta criticità in materia di protezione dei dati personali e sicurezza informatica. Una panoramica sull’impatto sui sistemi esistenti, le funzionalità previste e alcune criticità da affrontare per favorirne la diffusione

Pubblicato il 20 Apr 2023

Giovanni Manca

consulente, Anorc

A,Programmer,Is,Browsing,The,Internet,In,Smart,Phone,To

La proposta di modifica del Regolamento europeo eIDAS (nr. 910/2014) ha come colonna portante il portafoglio di identità digitale europea (EDIW- European union Digital Identity Wallet). Questo è ampiamente pubblicizzato e occupa la quasi totalità della comunicazione europea sui temi dell’identità digitale e sul suo cruciale impatto sull’utilizzo dei servizi digitali.

EU Digital wallet, come funzionerà in pratica: tutti i dettagli operativi

Meno diffusa è al momento la letteratura disponibile sui principali aspetti funzionali e operativi dello EDIW; illustriamo qui alcuni punti cruciali riguardanti l’impatto sui sistemi esistenti, le funzionalità previste e alcune criticità da affrontare per favorire la diffusione del portafoglio presso i cittadini.

Alla data è in corso il cosiddetto trilogo, dibattito informale tra Commissione, Consiglio e Parlamento europeo. Al termine del dibattito, ipotizzato dalle istituzioni comunitarie per fine giugno 2023, il testo concordato sarà pronto per i passi formali successivi e la pubblicazione nella Gazzetta comunitaria.

In questa sede si fa riferimento al testo approvato dal Parlamento che è il più recente dei tre sopra citati.

La definizione del portafoglio nello schema di regolamento in discussione

Per iniziare è indispensabile citare la definizione del portafoglio nello schema di regolamento in discussione (traduzione non ufficiale): “un mezzo di identificazione elettronica, che conserva, gestisce e convalida in modo sicuro i dati dell’identità e gli attestati elettronici degli attributi per fornirli su richiesta alle parti facenti affidamento e altri utenti del EDIW e abilitare la creazione di firme elettroniche qualificate e sigilli elettronici qualificati”.

La definizione del portafoglio evidenzia immediatamente l’importanza della protezione dei dati personali e della conseguente sicurezza che deve essere attiva già nella struttura di base. Il concetto di riferimento è by design e by default, il portafoglio è sicuro per progettazione e per impostazione predefinita.

Le norme stabiliscono per il portafoglio una serie di requisiti funzionali e operativi.

I dati associati al portafoglio devono essere utilizzati sotto il totale controllo dell’utente che può essere sia una persona fisica che giuridica.

Il portafoglio è emesso e gestito da uno Stato membro, sotto il mandato di uno Stato membro, indipendente da uno Stato membro ma riconosciuto da quest’ultimo.

Il codice sorgente del portafoglio è in formato aperto ed è pubblicato a fini di revisione e verifica.

Il portafoglio deve consentire all’utente, in modalità facile da usare, una serie di funzionalità che partono dall’inizializzazione del mezzo fino agli usi di dettaglio che, come tali, possono essere specializzati.

Le principali funzionalità del wallet

Le principali funzionalità di base prevedono di richiedere, conservare, selezionare, combinare e condividere i dati necessari per l’identificazione dell’utente, che poi sono utilizzati per l’autenticazione sia online che offline ai servizi pubblici e privati.

Le operazioni devono essere sotto il controllo esclusivo dell’utente, gestiti in modo trasparente e tracciabili in modo completo.

Le attestazioni elettroniche degli attributi

Il portafoglio deve essere in grado di operare con le attestazioni elettroniche degli attributi. Gli attributi sono definiti come una prerogativa, una caratteristica o una qualità di una persona fisica o giuridica o di un’entità.

Le attestazioni elettroniche degli attributi sono gestite direttamente dall’utente che può emetterle o revocarle trattandole in modo completo nell’ambito del loro specifico ciclo di vita.

Il portafoglio può interagire in modo diretto con un altro portafoglio o con un soggetto facente affidamento sulla connessione. I dati di identificazione e autenticazione sono trattati in modo sicuro, tracciabile e trasparente anche nell’ambito di queste attività.

Tutte le transazioni sono registrate e consultabili tramite un cruscotto, tutto il contesto è soggetto alle regole del Regolamento europeo 679/2016 (GDPR) sulla protezione dei dati personali. Sono registrate anche eventuali irregolarità, illegalità e comportamenti scorretti nell’accesso ai dati che possono essere facilmente sottoposte alle autorità nazionali competenti.

Il portafoglio può recuperare i dati del titolare che può anche esercitare i suoi diritti di portabilità dei propri dati su un altro portafoglio di cui è titolare.

La firma digitale

Mediante il portafoglio deve essere possibile firmare in modo qualificato (firma digitale nel nostro attuale ordinamento) e gratuitamente. Quest’ultima prerogativa è oggetto di discussione perché in contraddizione con l’altra norma che stabilisce che i servizi fiduciari sono normalmente forniti contro pagamento.

Un’architettura comune e interoperabile

Le regole sul portafoglio oltre che alla sicurezza e alla protezione dei dati personali puntano su un’architettura comune e interoperabile. Questo con la previsione di protocolli e interfacce comuni e certificazione delle funzionalità basate su nuovi schemi di certificazione che sono basati sulle regole di sicurezza cibernetica stabilite nel regolamento nr. 881/2019 (regolamento sulla cybersicurezza nella versione in lingua italiana).

I portafogli approvati sono referenziati in un elenco pubblico che funzionalmente è analogo a quello stabilito nel regolamento 910/2014 (eIDAS vigente).

Il portafoglio, per i già esposti motivi di omogeneità e coordinamento tra le varie versioni, si basa su una struttura comune pubblicata in codice aperto con protocolli di rete definiti a priori e interfacce con design standard.

Le specifiche sono in fase di evoluzione all’interno di una serie di progetti pilota (Large Scale Pilots) finanziati dalla Commissione Europea e che hanno lo scopo di provare sul campo l’architettura e la struttura di base secondo un processo di miglioramento continuo all’interno del documento di riferimento che è “The European Digital Identity Wallet Architecture and Reference Framework” – ARF.

I progetti pilota

In questa sede può essere utile ricordare che nei progetti pilota verranno rilasciati l’infrastruttura del portafoglio, le modalità di inizializzazione e attivazione dello stesso e alcune funzionalità ritenute importanti in questa fase di sperimentazione. Le principali sono la digitalizzazione della patente di guida per autoveicoli, l’attivazione di credenziali bancarie, l’attivazione di una SIM telefonica, la gestione di prescrizioni elettroniche e l’apposizione di firme qualificate. Queste realizzazioni influenzeranno le successive versioni della specifica ARF che è progettata proprio per seguire i miglioramenti e le evoluzioni che scaturiranno dalla pratica e dall’operatività del mondo reale.

Le regole per la certificazione di sicurezza del portafoglio

In parallelo si stanno definendo le regole per la certificazione di sicurezza del portafoglio con ENISA, l’Agenzia europea per la sicurezza cibernetica e la partecipazione degli esperti degli Stati membri.

Si definiranno nuovi schemi di certificazione che, secondo quanto stabilito alla data negli schemi di regolamento eIDAS 2, saranno applicati secondo le regole già attive con il regolamento eIDAS vigente. Quindi accreditamenti nazionali di CAB (Conformity Assessment Bodies) che emettono CAR (Conformity Assessment Report) e li trasmettono all’organismo preposto all’approvazione (ancora da definire in Italia). I CAB dovranno anche certificare i wallet e le loro interazioni con il mondo esterno sulla base dei nuovi schemi in fase di definizione formale.

Conclusioni

Il portafoglio europeo di identità digitale è un sistema molto complesso e ad alta criticità in materia di protezione dei dati personali e sicurezza informatica.

Un approccio concreto e realistico ne favorirà il successo se la fiducia che gli utenti avranno nel suo utilizzo sarà di adeguato livello.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2