Lo scorso 3 giugno, la Commissione europea ha presentato una proposta di Regolamento relativo alla creazione di un framework per una Identità Digitale Europea. La proposta di Regolamento modificherebbe il vigente Regolamento eIDAS (Regolamento EU 910/2014) introducendo, fra le altre, un sistema informatico per la raccolta unificata di informazioni e documenti che i cittadini europei e i residenti nell’Unione europea possano utilizzare per effettuare l’autenticazione quando usufruiscono di servizi digitali pubblici e privati. Il sistema – denominato “European Digital Identity Wallet” – è pensato per funzionare come un vero e proprio “digital wallet” governativo, che possa essere usato dai cittadini europei come alternativa, teoricamente più sicura e trasparente, a servizi simili che attualmente sono offerti da soggetti privati.
La proposta è a dir poco ambiziosa: lo European Digital Identity Wallet unirebbe, in ambiente mobile, le soluzioni di identificazione elettronica governative introdotte finora dagli stati membri sotto il vigente Regolamento eIDAS (per intenderci, in Italia è lo SPID) all’attestazione digitale di altri attributi personali, come ad esempio: patente di guida, titoli di studio, prescrizioni mediche. A livello operativo, la proposta di regolamento impone agli Stati Membri l’obbligo (non più, dunque, la mera facoltà) di sviluppare la propria soluzione sulla base degli standard tecnici comuni che verranno pubblicati dalla Commissione entro 6 mesi dall’entrata in vigore del Regolamento, che definiranno i requisiti tecnici di interoperabilità e di sicurezza[1].
European Digital Identity Wallet, la sfida della fattibilità pratica
Se l’obiettivo è dunque certamente condivisibile e molto interessante sia a livello strategico che per le imprese europee, la fattibilità pratica costituirà la vera sfida in cui dovrà cimentarsi l’Unione Europea.
Innanzitutto, bisognerà garantire l’interoperabilità fra gli European Digital Identity Wallet sviluppati dai vari Stati Membri e fra i wallet e le piattaforme che offrono i servizi a cui gli utenti potrebbero avere accesso tramite tali wallet. Infatti, la proposta di Regolamento impone l’accettazione dello European Digital Identity Wallet per l’autenticazione degli utenti:
- alle pubbliche amministrazioni degli Stati membri, anche se lo European Digital Identity Wallet è rilasciato da un altro Stato Membro;
- ai fornitori privati di servizi che utilizzino, in virtù di obblighi di legge o di contratto, sistemi di autenticazione forte (cd. strong authentication); e
- alle piattaforme online di grandi dimensioni (come saranno definite nel Digital Service Act).[2]
Per assicurare uniformità di approccio, la proposta prevede che gli Stati membri debbano notificare alla Commissione l’implementazione del rispettivo European Digital Identity Wallet[3]. Sono inoltre previste procedure di revisione da parte della stessa Commissione[4] e di peer-review, anche mediante l’implementazione di sandbox condivise fra più Stati membri e con le imprese[5].
La sfida non è però di poco conto: basti pensare che allo stato attuale, a fronte di 14 Stati Membri che hanno notificato alla Commissione dei mezzi di identificazione elettronica in base al Regolamento eIDAS, solamente il 14% dei fornitori di servizi pubblici essenziali nell’Unione Europea consente l’autenticazione transfrontaliera tramite un mezzo di identificazione elettronica rilasciato da un altro Stato Membro[6].
Gli Stati Membri devono infatti intervenire su sistemi esistenti sviluppati nel corso di anni in totale autonomia e che possono essere enormemente diversificati fra loro. Inoltre, lo European Digital Identity Wallet presuppone sistemi per la digitalizzazione dei sistemi più disparati: solo per citare gli esempi riportati sopra nel contesto italiano, lo European Digital Identity Wallet dovrà “parlare” con il sistema del fascicolo sanitario elettronico, o con la motorizzazione civile per la patente di guida, con i sistemi scolastici per le qualifiche accademiche, e via dicendo.
Il nodo della conservazione dei dati e della sicurezza
La seconda grande sfida è connessa alla conservazione dei dati salvati nello European Digital Identity Wallet e alla loro sicurezza.
Se da un lato infatti l’utilizzo dello European Digital Identity Wallet minimizzerà la necessità di comunicare i dati personali degli utenti ai fornitori dei servizi digitali più disparati, dall’altro lato la creazione di un sistema unico che contenga non soltanto le identità digitali dei cittadini europei e dei residenti all’interno dell’Unione europea ma anche altri dati personali (anche estremamente sensibili) e documenti, deve garantire un livello di sicurezza molto elevato per scongiurare i rischi di accesso e utilizzo abusivo delle informazioni e furto di identità.
Sul punto, la proposta di Regolamento si mantiene abbastanza generica, rimandando di fatto in toto agli standard comuni che saranno individuati dalla Commissione. Le previsioni prescrittive più rilevanti prevedono soltanto conseguenze in caso di security breach[7], quali ad esempio la revoca della validità dello European Digital Identity Wallet che subisca un incidente di sicurezza che ne comprometta l’affidabilità, e la possibilità di sfruttare i meccanismi di certificazione cybersecurity che saranno previsti nella nuova direttiva NIS2. Di fatto, le parti più interessanti sono forse proprio nei considerando, in cui si fa riferimento alla già menzionata possibilità di ricorrere a sandbox (anche per testare i requisiti di sicurezza più appropriati) e alla biometria come mezzo di autenticazione che garantisca un adeguato livello di sicurezza, in particolare se utilizzato in combinazione con altri elementi di autenticazione[8].
Considerando l’enorme importanza del tema, sarebbe forse stato opportuno inserire nella proposta qualche previsione di indirizzo in più sugli approcci da seguire in tema di sicurezza informatica. Per esempio, considerando che lo European Digital Identity Wallet sostituirà ex lege sistemi di strong authentication “proprietari”, è ragionevole aspettarsi che esso dovrà assicurare livelli simili di sicurezza (se non maggiori), anche alla luce del considerando 11 sopra menzionato. Un riferimento più esplicito nel testo della proposta sarebbe stato dunque quantomeno auspicabile, anche per ragioni di trasparenza e di chiarezza nei confronti dei cittadini europei.
L’incognita degli operatori privati e dell’uso da parte dei cittadini
Resta infine l’incognita dell’implementazione del sistema da parte degli operatori privati e dell’effettivo utilizzo da parte dei cittadini europei (anche se in Italia, vista la strategia seguita con SPID, potremmo effettivamente essere avvantaggiati da questo punto di vista).
Per far sì che il progetto possa effettivamente decollare, particolare attenzione dovrà infatti essere dedicata alla comunicazione e alla trasparenza circa la sicurezza e l’affidabilità di un progetto che richiede ai cittadini di consegnare a un unico soggetto pubblico una quantità significativa di dati personali, anche estremamente sensibili. Come dimostra il caso Immuni italiano, il rischio che i cittadini abbiano la percezione di un “Big Brother” può seriamente compromettere l’effettiva diffusione di strumenti del genere fra la cittadinanza. Le istituzioni europee dovranno quindi valutare strategie comunicative adeguate, che non potranno e non dovranno prescindere dalla trasparenza circa i requisiti di sicurezza che gli Stati Membri dovranno poi applicare in maniera efficace.
L’iniziativa di una identità digitale unica per l’Europa è dunque enormemente ambiziosa e complessa. La proposta di Regolamento è probabilmente solo il primo tassello di un quadro che andrà definendosi gradualmente col procedere dei lavori. Perché la montagna non partorisca un topolino, sarebbe tuttavia auspicabile un intervento in sede di esame della proposta che chiarisca, almeno in linea generale e di principio, i punti sopra delineati.
Note
- Articolo 7 della proposta di Regolamento. [1]
- Articolo 16 della proposta di Regolamento. [2]
- Articolo 7 della proposta di Regolamento. [3]
- Articolo 16 della proposta di Regolamento. [4]
- Considerando 12 della proposta di Regolamento. [5]
- https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_en#why-is-it-needed[6]
- Articolo 11 della proposta di Regolamento. [7]
- Considerando 11 della proposta di Regolamento. [8]