eIDAS 2.0: l’attesa è finita, in arrivo il Portafoglio Europeo di Identità Digitale (EUDI Wallet)

L’attesa è finita. Il voto positivo del Parlamento europeo alla Risoluzione legislativa del 29 febbraio 2024 sulla proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identità digitale europea avvia le fasi finali per questa norma, che attende solo la ratifica del Consiglio, la pubblicazione nella Gazzetta Comunitaria e il classico periodo di 20 giorni dopo la pubblicazione per l’entrata in vigore.

Il protagonista assoluto di questo provvedimento è il Portafoglio Europeo di Identità Digitale (EUDI Wallet) che ha lo scopo (come esposto nel Considerando (4) del regolamento) “di soddisfare il diritto di ogni persona di avere accesso a tecnologie, prodotti e servizi digitali che siano sicuri e protetti e tutelino la vita privata fin dalla progettazione. Ciò include la garanzia che a tutte le persone che vivono nell’Unione sia offerta un’identità digitale accessibile, sicura e affidabile che dia accesso a un’ampia gamma di servizi online e offline, protetti contro i rischi di cibersicurezza e la criminalità informatica, anche per quanto riguarda le violazioni dei dati e i furti o le manipolazioni dell’identità”.

La fonte di questi principi è “la dichiarazione europea sui diritti e i principi digitali per il decennio digitale 2030”. In questo ambito non poteva mancare il principio, ribadito nel considerando, che “ogni persona ha diritto alla protezione dei propri dati personali. Tale diritto comprende il controllo su come i dati sono utilizzati e con chi sono condivisi”.

Il regolamento attua in maniera articolata e, ovviamente tecnologicamente neutra, i principi appena esposti.

Il Portafoglio Europeo di Identità Digitale (EUDI Wallet)

I principi comunitari sul tema dell’identità digitale possono essere estratti dal discorso sullo Stato dell’Unione pronunciato il 16 settembre 2020 dalla Presidente della Commissione europea Ursula von der Leyen:

“Ogni volta che un’app o un sito web ci chiede di creare una nuova identità digitale o di accedere facilmente tramite una grande piattaforma, non abbiamo idea di cosa ne sia veramente dei nostri dati. Per questo motivo, la Commissione proporrà presto un’identità digitale europea sicura. Qualcosa di affidabile, che ogni cittadino potrà usare ovunque in Europa per fare qualsiasi cosa, da pagare le tasse a prendere a noleggio una bicicletta. Una tecnologia che ci consenta di controllare in prima persona quali dati vengono utilizzati e come”.

Il nuovo regolamento definisce cos’è un Portafoglio europeo nell’articolo 3, al punto 42):

“un mezzo di identificazione elettronica, che consente all’utente di conservare, gestire e convalidare in modo sicuro dati di identità personale e attestati elettronici di attributi, al fine di fornirli alle parti facenti affidamento sulla certificazione e agli altri utenti dei portafogli europei di identità digitale, e di firmare mediante firme elettroniche qualificate o apporre sigilli mediante sigilli elettronici qualificati”. (Il testo di questa definizione e tutti i testi tratti dal regolamento sono presentati nella traduzione in italiano resa disponibile dalle istituzioni comunitarie al Parlamento europeo per il voto sopra citato).

L’articolo 5 bis dello schema di regolamento stabilisce le regole operative per l’emissione del Portafoglio:

“1. Al fine di garantire che tutte le persone fisiche e giuridiche nell’Unione abbiano un accesso transfrontaliero sicuro, affidabile e senza soluzione di continuità a servizi pubblici e privati, mantenendo nel contempo il pieno controllo dei loro dati, ciascuno Stato membro fornisce almeno un Portafoglio Europeo di identità digitale entro 24 mesi dalla data di entrata in vigore degli atti di esecuzione di cui al paragrafo 23 del presente articolo e all’articolo 5 quater, paragrafo 6.

2. I portafogli europei di identità digitale sono forniti:

            a) direttamente da uno Stato membro;

            b) su incarico di uno Stato membro;

            c) indipendentemente da uno Stato membro pur essendo riconosciuti da quest’ultimo”.

Dai primi paragrafi del testo normativo si rilevano alcuni importanti aspetti. Il Portafoglio Europeo è emesso obbligatoriamente entro 24 mesi dall’entrata in vigore delle regole tecniche e non del regolamento; la scelta è ragionevole.

L’utente, persona fisica o giuridica, deve avere il pieno controllo dei propri dati e infine, se un Portafoglio è emesso da un soggetto privato questo portafoglio deve essere riconosciuto dallo Stato membro di utilizzo.

Questo principio nasce dalla necessità di mantenere il controllo diretto dello Stato sui Portafogli emessi in altri Stati come estensione dei principi, già attivi con il primo regolamento eIDAS, di revisione paritaria tra Stati.

Proseguiamo con l’analisi del testo del regolamento.

“3. Il codice sorgente dei componenti software dell’applicazione dei portafogli europei di identità digitale è caratterizzato da una licenza open source. Gli Stati membri possono prevedere che, per motivi debitamente giustificati, il codice sorgente di componenti specifici diversi da quelli installati sui dispositivi degli utenti non sia divulgato.

4. I portafogli europei di identità digitale consentono all’utente, in modo intuitivo, trasparente e tracciabile da quest’ultimo, di:

            a) richiedere, ottenere, selezionare, combinare, conservare, cancellare, condividere e presentare in modo sicuro, con il controllo esclusivo dell’utente, dati di identificazione personale e, se del caso, in combinazione con attestati elettronici di attributi, necessari per l’autenticazione delle parti facenti affidamento sulla certificazione online e, se del caso, in modalità offline, al fine di accedere ai servizi pubblici e privati, garantendo nel contempo che sia possibile la divulgazione selettiva dei dati”.

La descrizione delle caratteristiche del Portafoglio Europeo prosegue con numerose altre regole, tra le quali ricordiamo l’obbligo di consentire all’utente la generazione di pseudonimi, la reciproca autenticazione di Portafogli tra utenti, per ricevere e condividere dati di identificazione personale e attestati elettronici di attributi in modo sicuro tra i due portafogli.

In ottica di protezione dei dati personali e controllo dei flussi degli stessi, l’utente deve poter accedere ad un registro di tutte le transazioni effettuate tramite il Portafoglio.

I dati sono presentati mediante un cruscotto nel quale sono riportati l’elenco aggiornato delle parti che fanno affidamento sulla certificazione, con le quali l’utente ha stabilito una connessione e, ove applicabile, i dati scambiati.

Sempre tramite il cruscotto, l’utente può richiedere la cancellazione dei dati personali alla parte facente affidamento sulla certificazione che li detiene (articolo 17 del GDPR) e interagire con l’Autorità Nazionale preposta alla protezione dei dati personali a fronte di richieste di dati presumibilmente sospette o illecite.

L’utente deve poter firmare elettronicamente in modo qualificato e sempre in modo qualificato poter appore sigilli elettronici.

Le ultime due opzioni per l’utente riguardano la possibilità, nella misura in cui tecnicamente fattibile, di scaricare i dati e gli attestati elettronici di attributi e configurazioni, la possibilità di portabilità dei dati.

Nel primo caso si tratta di un’opzione per disporre di una copia di sicurezza del Portafoglio, nel secondo caso di esercitare un diritto dell’utente.

Ulteriori regole stabiliscono le modalità operative atte a tutelare l’utente sulla circolazione dei dati personali, compresi gli attestati elettronici degli attributi e la validità del Portafoglio. In questo caso le regole indicano cosa fare per gestire il ciclo di vita del Portafoglio dal punto di vista della normativa regolamentare.

Un punto che ha suscitato perplessità e dibattito nel corso della discussione per l’approvazione del nuovo testo del regolamento è stabilito alla lettera g) del paragrafo 5, nell’articolo 5 bis.

Gli Stati membri, tramite i Portafogli, devono offrire la possibilità alle persone fisiche di sottoscrivere con firma elettronica qualificata per impostazione predefinita e gratuitamente. Questa possibilità può essere gestita dallo Stato membro con misure proporzionate per garantire che l’uso gratuito delle firme elettroniche qualificate da parte delle persone fisiche sia limitato a scopi non professionali.

Lo spirito della limitazione è chiaro, la sua applicabilità è complessa da definire. I certificati qualificati per la firma dovranno essere emessi con limitazioni d’uso molto precise, supportate da regole standard che ne delimitino in modo certo il perimetro di applicazione in tutto il mercato interno. Una pratica operativa che dovrà essere adattata al nuovo scenario è quella della verifica della firma; infatti, sarà indispensabile verificare anche il contesto di utilizzo della sottoscrizione oltre che l’ovvia validità di base della firma qualificata (integrità del documento e validità delle credenziali di firma).

Un altro paragrafo importante nell’ambito del ciclo di vita del Portafoglio e del suo utilizzo è nel paragrafo 15.

“15. L’uso dei portafogli europei di identità digitale è facoltativo. L’accesso ai servizi pubblici e privati e al mercato del lavoro nonché la libertà d’impresa non sono in alcun modo limitati o resi svantaggiosi per le persone fisiche o giuridiche che non utilizzano i portafogli europei di identità digitale. Resta possibile accedere ai servizi pubblici e privati con altri mezzi di identificazione e autenticazione esistenti”.

Questo paragrafo è probabilmente uno dei più importanti del nuovo regolamento. Stabilisce che l’uso del Portafoglio Europeo non è obbligatorio, supportando il principio emerso durante l’approvazione del testo. Il Portafoglio deve gestire la scuola di pensiero che lo vede come un mezzo di controllo della persona mentre, invece, si pone come uno strumento utile per cittadini e imprese. Su questo ultimo concetto e sulla sua comprensione sociale si basa il successo o il fallimento della diffusione del Portafoglio. La parola chiave per valutare questi aspetti è fiducia nello strumento e nel suo utilizzo in rapporto ai dati utilizzati.

La descrizione delle regole per il Portafoglio Europeo prosegue in modo complesso e articolato sui temi della sicurezza cibernetica (viene sdoganato nella traduzione in italiano il termine “cibersicurezza”) a sé stante o connessa alla protezione dei dati personali. Rileviamo gli obblighi sulla disponibilità di strumenti per il controllo della validità del Portafoglio, di revoca dello stesso e di conformità nell’utilizzo al regolamento 679/2016 (GDPR).

La Commissione dovrà provvedere ad un elenco pubblico di Portafogli attivi, validi o revocati e regole dettagliate sono stabilite anche per le parti facenti affidamento sul EDIW.

L’articolo 5 quater stabilisce regole per la certificazione dei Portafogli Europei di Identità Digitale. Queste regole sono importanti ma la loro applicazione è complessa e soprattutto costosa. Questi costi complicano la sostenibilità economica dei portafogli pubblici e privati anche perché le certificazioni si devono ottenere ma anche mantenere in un ciclo di vita continuo.

Prospettive e criticità dei Portafogli

Per concludere questa sintetica descrizione delle caratteristiche del Portafoglio Europeo e delle sue principali funzionalità è utile ipotizzare uno scenario di riferimento.

La certezza è che ci sarà (ci dovrà essere) almeno un Portafoglio emesso dallo Stato membro. L’Italia anticipa il percorso europeo con il Sistema di portafoglio digitale italiano – Sistema IT-Wallet stabilito nel Decreto Legge 2 marzo 2024, n. 19 che a tal fine modifica il Codice dell’Amministrazione Digitale (CAD).

Non si può escludere che ci saranno altri Portafogli pubblici quantomeno per l’abitudine delle pubbliche amministrazioni di avere APP con il proprio logo in vista. Il Portafoglio digitale italiano sarà associato all’APP IO.

Ci saranno anche i Portafogli emessi da soggetti privati. Il loro numero potrebbe essere elevato.
I costi di gestione fanno ipotizzare che solo “big player” possano scendere in campo, soprattutto i soggetti comunemente denominati “Big Tech”. Sappiamo già di Apple e Google, ma è facile ipotizzare che saranno presenti tutti i soggetti che fanno parte del gruppo GAFAM.

Il rischio è che ci sia un portafoglio per soggetto emettitore, limitato ai propri servizi di riferimento con una proliferazione di strumenti con sviluppo verticale invece che orizzontale.

Le istituzioni comunitarie e nazionali dovranno lavorare per gestire al meglio questa situazione.

Rimanendo nell’ambito dello scenario, senza dubbio il Portafoglio Europeo è il futuro dell’identità digitale e dei servizi in rete (e fuori rete). Questi verranno erogati in modo standard, interoperabile, sicuro e con un elevato controllo sui nostri dati personali, conseguenza di una infrastruttura di sicurezza cibernetica allo stato dell’arte.

Come al solito saranno i fatti a stabilire il successo e la diffusione dello strumento a livello europeo dove usi e costumi e abitudini digitali differenti dei cittadini, delle imprese e dei professionisti dovranno trovare un’adeguata sintesi.

In Italia ci sarà un’evoluzione della situazione attuale con la razionalizzazione delle varie identità digitali e la decisione operativa finale sul futuro del sistema SPID in relazione alla nuova centralità del sistema di identità digitale che si basa sulla Carta d’Identità Elettronica.

La digitalizzazione è pervasiva e inevitabile, ma non dobbiamo dimenticare che siamo in una società con l’età media della popolazione in aumento, con tantissimi utenti non operativamente digitali (ma che hanno un’identità digitale) e soprattutto che l’innovazione non deve essere fine a stessa ma servire a migliorare la vita delle persone, in modo inclusivo.