Il Portafoglio Europeo di Identità Digitale (European Digital Identity Wallet – EUDIW) è un’iniziativa dell’Unione Europea che ha l’obiettivo di fornire a tutti i cittadini un’identità digitale unica, interoperabile e allo stato dell’arte in materia di sicurezza informatica e protezione dei dati personali.
La sua importanza è già evidente nel testo del regolamento europeo 2024/1183 (eIDAS 2.0) che introduce l’EUDIW. Quasi la metà dell’articolato di questo regolamento è dedicata al Portafoglio e le regole stabilite evidenziano la complessità del progetto e della messa in opera dello specifico ecosistema indispensabile per il corretto funzionamento e la conformità legale del Portafoglio.
Una insieme di ipotesi sull’ecosistema del EUDIW sono illustrate nel seguito.
Indice degli argomenti
Ecosistema e funzionalità del Portafoglio
Il Portafoglio è un’APP da utilizzare in mobilità per conservare e gestire come oggetti informatici i documenti di identità, gli attestati elettronici di attributi e altra documentazione ufficiale. La principale funzione è quella di dimostrare la propria identità in modo sicuro, accedere ai servizi in rete pubblici e privati, sia nazionali che comunitari, firmare in modo equivalente alla sottoscrizione autografa, il tutto con il massimo livello di sicurezza informatica a supporto del principio di protezione dei dati personali che prevede la loro condivisione solo per lo stretto necessario e in modo selettivo.
[Whitepaper] Migliora la sicurezza della tua azienda con una piattaforma di nuova generazione
Queste funzionalità richiedono un ecosistema che, mantenendo al centro il titolare del Portafoglio, che può essere sia una persona fisica che giuridica, si coordini in modo completo con l’esistente attraverso un piano di azione strutturato, in altre parole un progetto globale.
La struttura dell’ecosistema si può suddividere in Definizione della Governance, Pianificazione delle Attività, Adeguamento Normativo, Infrastruttura Tecnologica, Definizione delle Procedure, Aspetti di conformità, Formazione del Personale e degli Utenti, Assistenza e Comunicazione del Progetto. Questa suddivisione è solo un’ipotesi, in ogni caso la bussola e la mappa del progetto sono quelle base su questi temi: concezione/avvio, pianificazione, esecuzione, controllo e conclusione.
Iniziamo a illustrare i singoli punti dell’ipotesi di ecosistema.
Governance dell’EUDIW
La Governance nazionale, per la natura del progetto, è fisiologicamente in capo al Dipartimento per la Trasformazione Digitale (DTD) della Presidenza del Consiglio dei Ministri che ne dovrebbe essere il Coordinatore. Le attività dovrebbero fare capo a una Cabina di Regia come soggetto di indirizzo delle indicazioni politiche del Comitato Interministeriale per la Transizione Digitale. In questo scenario i soggetti operativi coinvolti e in prima fila sono oltre al DTD, i soggetti regolamentatori e controllori AgID e ACN e i soggetti attuatori IPZS e PagoPA. AgID e ACN, al momento condividono ruoli normativi tecnici e di vigilanza e controllo.
Nell’ambito della cabina di regia ci dovrebbe essere un comitato tecnico che riunisce gli stakeholder pubblici e privati almeno in forma consultiva. Come soggetto osservatore, se disponibile allo scopo, si può coinvolgere il Garante per la Protezione dei Dati Personali che, in ogni caso è soggetto indispensabile visti i requisiti legali e tecnici del Portafoglio.
Pianificazione delle attività
La pianificazione delle attività è soggetta ai limiti temporale stabiliti nel regolamento 2024/1183. In particolare, in conformità all’articolo 5 bis, paragrafo 1 del citato regolamento:
“1. Al fine di garantire che tutte le persone fisiche e giuridiche dell’Unione abbiano un accesso transfrontaliero sicuro, affidabile e senza soluzione di continuità a servizi pubblici e privati, mantenendo nel contempo il pieno controllo dei loro dati, ciascuno Stato membro fornisce almeno un portafoglio europeo di identità digitale entro 24 mesi dalla data di entrata in vigore degli atti di esecuzione di cui al paragrafo 23 del presente articolo e all’articolo 5 quater, paragrafo 6”.
L’applicazione del regolamento, trattandosi comunque di termini ordinatori, indica la fine del 2026 come termine minimo per il Portafoglio istituzionale ed obbligatorio per il singolo Stato membro.
In questi limiti temporali devono essere pianificate le varie attività.
Adeguamento normativo
L’adeguamento normativo coinvolge senza dubbio il Codice dell’Amministrazione Digitale (decreto legislativo 7 marzo 2005 e successive modificazioni – CAD) che deve essere aggiornato anche sulla base dei nuovi servizi fiduciari stabiliti nel regolamento eIDAS, per esempio l’archiviazione elettronica e la gestione dei dispositivi per la firma a distanza. Gli altri adeguamenti riguardano l’allineamento con i nuovi requisiti di protezione dei dati personali, linee guida sulla gestione dei dati, regolamenti interni alle pubbliche amministrazioni, linee guida sulle procedure di monitoraggio e controllo, ecc.
L’esistenza del cosiddetto IT Wallet, anticipazione nazionale dell’EUDIW, richiede ulteriore attenzione sul coordinamento dei progetti, al fine di ottimizzare il passaggio, evitando le duplicazioni di attività.
Infrastruttura tecnologica
L’infrastruttura tecnologica dell’EUDIW è già definita e si basa sull’APP IO. L’IT Wallet opera nell’ambito di quest’ultima e si interfaccia con i fornitori istituzionali di documenti e di attributi (patente di guida, tessera sanitaria – TSN e attestato di disabilità). L’EUDIW è regolamentato all’interno dell’Architecture Reference Framework (ARF) che trova applicazione normativa comunitaria nei Regolamenti di esecuzione stabiliti dalla Commissione europea.
L’IT Wallet si sviluppa sulla base delle identità digitali basate su SPID e CIE. L’evoluzione all’EUDIW richiede lo sviluppo dell’interoperabilità in conformità ai Regolamenti di esecuzione con i “pilastri” delle informazioni pubbliche contenuti nelle banche dati di riferimento (ANPR, FSE, Fisco, Previdenza, ecc.) che si dovranno adeguare in modo coordinato.
Un grande impegno sarà necessario per i fornitori di attestati elettronici di attribuiti e in particolare per le cosiddette fonti autentiche. L’adeguamento delle regole tecniche è naturale conseguenza della pubblicazione degli standard e delle specifiche europee. Nell’ambito dell’infrastruttura tecnologica è corretto includere anche le procedure di certificazione di sicurezza dell’EUDIW stabilite nel Regolamento di esecuzione 2024/2981 emesso dalla Commissione europea.
Definizione delle procedure
Questa attività riguarda prevalentemente il classico “chi fa che cosa e in che tempi” coinvolge tutto l’ecosistema. In questa sede ci limitiamo a un paio di esempi importanti. Una procedura urgente è la definizione delle modalità di ingresso nell’ecosistema di eventuali fornitori di portafogli di natura privata. Bisogna evitare l’eccessiva proliferazione che incide negativamente sull’unicità dell’identità digitale e tempi di valutazione lunghi che potrebbero penalizzare operatori di mercato. Si ricorda che i Portafogli Europei possono essere forniti anche indipendentemente da uno Stato membro pur essendo riconosciuti da quest’ultimo. La procedura di riconoscimento (e di accettazione nel singolo Stato) ha un importante grado di criticità.
Un’altra procedura cruciale è quella della certificazione dei fornitori degli attestati elettronici di attributi. I soggetti coinvolti nella pubblica amministrazione sono praticamente tutti (a parte i già citati “pilastri”) quindi prima si comincia il lavoro procedurale e meglio è.
Aspetti di conformità
In questo specifico contesto, che richiede realizzazioni allo stato dell’arte per sicurezza informatica e protezione dei dati personali ma anche conformità operative di natura applicativa, la messa in opera di regole di monitoraggio e controllo è indispensabile. I protagonisti di queste attività sono prevalentemente (e non solo per il Portafoglio) ACN, AgID e il Garante per la Protezione dei Dati Personali.
In questa sede ci si limita ad una sola considerazione. Gli aspetti di conformità nei confronto dei soggetti pubblici e privati devono essere rigorosi ma anche coordinati tra loro, per evitare duplicazione di regole e ripetizione di controlli. L’attuale situazione su questi temi può essere migliorata e queste novità sono la migliore occasione per farlo. Il potenziale ed elevato ammontare delle nuove sanzioni è poi fonte fisiologica di contenzioso, quindi agire con rigore è indispensabile, lo è anche l’agire ordinato e chiaro.
Formazione del personale e degli utenti
Gli aspetti di Formazione del Personale pubblico e privato sono da sempre un significativo problema, in particolare sui temi tecnologici e di sicurezza informatica. La concentrazioni di funzioni sul portafoglio lo rende utile, quanto critico nell’ambito di una corretta attuazione della protezione dei dati personali. Quest’ultima è valida se può contare su un livello di sicurezza informatica allo stato dell’arte ed è questo che stabilisce il regolamento eIDAS.
Nel caso degli utenti la formazione è ancora più importante perché il Portafoglio amplifica tematiche già critiche allo stato attuale sul tema del furto dell’identità digitale. In altre parole, certificazioni, crittografie, parole chiave ed altro sono inutili se l’utente “lascia la porta aperta”.
Assistenza e comunicazione del progetto
La comunicazione del progetto ha scopi informativi: cosa è il Portafoglio, cosa ci faccio, come lo devo utilizzare, come lo uso in modo sicuro, cosa devo fare se qualcosa non mi convince, a chi mi rivolgo se qualcosa non funziona.
Nei fatti niente di nuovo se non fosse che i soggetti coinvolti sono numerosi e quindi serve un’assistenza complessa e strutturata. I principi operativi sono già stati attuati con l’IT Wallet ma l’EUDIW è più complicato e strutturato.
Il successo di ogni novità è anche nella fiducia che si dimostra nei confronti degli utenti tramite l’efficacia e l’efficienza dei servizi offerti.
EUDIW e firma elettronica
Il lettore attento ma anche quello distratto hanno compreso che l’ecosistema dell’EUDIW è estremamente complesso. In questa sede sono stati illustrati i punti principali e un’ipotesi generale di ecosistema. Meritano attenzione specifica la disponibilità della firma elettronica qualificata, che il Portafoglio europeo deve fornire gratuitamente (con apposita norma nazionale solo per uso non professionale) e l’uso facoltativo (nel testo in lingua inglese: voluntary) del EUDIW per i cittadini.
Nel primo caso dovranno essere ben chiariti gli usi non professionali e la puntuale verifica della sottoscrizione al fine di controllarne l’uso nel contesto corretto. Per l’uso facoltativo si ritiene utile riportare l’articolo 5 bis, paragrafo 15 :
“15. L’uso dei portafogli europei di identità digitale è facoltativo. L’accesso ai servizi pubblici e privati e al mercato del lavoro nonché la libertà d’impresa non sono in alcun modo limitati o resi svantaggiosi per le persone fisiche o giuridiche che non utilizzano i portafogli europei di identità digitale. Resta possibile accedere ai servizi pubblici e privati con altri mezzi di identificazione e autenticazione esistenti”.
Cosa ci aspetta
La normativa comunitaria è chiara, ci dovranno essere due diverse attuazioni dell’identità digitale. Una è quella utilizzata tramite l’EUDIW, l’altra è quella che è già attiva con l’IT Wallet ? L’ipotesi è molto più che ragionevole e al più presto se ne avranno evidenza e certezza.
Note
L’autore ringrazia Andrea Caccia per lo scambio di idee su quanto illustrato.
[Infografica] Digitalizza il percorso del paziente