Identità digitale europea, come migliorare l’accesso alla PA in tutta Europa

Come funziona l'identità digitale a disposizione di tutti gli europei, che consente l'accesso ai servizi digitali in tutta l'UE e il controllo delle informazioni

Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Pubblicato: 8 Maggio 2023 14:12

I sistemi nazionali di identità digitale negli ultimi anni hanno avuto una forte fase di sviluppo. Limitati dallo spazio geografico nazionale in cui sono utilizzati il loro tasso di crescita è in alcuni casi prossimo alla saturazione in termini di utilizzabilità, mentre in altri contesti appare sempre più diffuso e consolidato.

Il quadro aggiornato dell’identità digitale europea

Il regolamento del 2014 sull’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno (regolamento eIDAS o eIDAS) può essere considerata la prima legislazione sull’identità digitale a fornire la base per l’identificazione elettronica transfrontaliera, autenticazione e certificazione in tutta l’UE.

L’applicazione di eIDAS è stata mista. Tuttavia, la pandemia ha aumentato la necessità di mettere in atto tali soluzioni per accedere ai servizi pubblici e privati.

Il 3 giugno 2021 la Commissione ha presentato una proposta basata sul quadro eIDAS, con l’obiettivo di dare ad almeno l’80 % dei cittadini la possibilità di utilizzare un’identità digitale per accedere ai servizi pubblici chiave entro il 2030 e di farlo attraverso i confini dell’UE.

Il quadro aggiornato dell’identità digitale europea consentirebbe ai cittadini di identificarsi e autenticarsi online tramite il proprio portafoglio di identità digitale europea, senza dover ricorrere a fornitori commerciali, che sollevano problemi di fiducia, sicurezza e privacy.

Parallelamente la Commissione ha adottato una raccomandazione per la progettazione di una toolbox in modo da evitare la frammentazione e le barriere dovute a norme divergenti.

In seno al Parlamento europeo, il fascicolo è stato assegnato alla commissione per l’industria, la ricerca e l’energia (ITRE).

Il Parlamento ha approvato la sua posizione negoziale pochi giorni fa, dopo che il Consiglio aveva approvato la sua posizione nel dicembre 2022. I negoziati interistituzionali sono iniziati nel marzo 2023.

La fornitura di identità digitale sta subendo cambiamenti fondamentali

Dall’inizio della pandemia, la fornitura di servizi pubblici e privati è diventata sempre più digitale. La digitalizzazione può consentire la fornitura continua di servizi spesso vitali, ad esempio nel settore sanitario.

La pandemia ha notevolmente accelerato la digitalizzazione, con uno sprint equivalente a 7 anni, secondo alcuni analisti.

Questa rapida digitalizzazione dei servizi ha conseguentemente sensibilizzato la domanda di credenziali digitali da parte degli utenti con lo scopo di identificarsi e autenticarsi online.

I governi e le imprese devono adattarsi e servire i clienti e i cittadini in modo digitale.

Questa risposta alla società deve determinare che l’accesso ai servizi pubblici e a determinati settori richiede l’identificazione o lo scambio di attribuzioni con un elevato livello di sicurezza e affidabilità, anche in termini di protezione dei dati. Mentre i sistemi di identificazione sicuri sono talvolta obbligatori per legge, vi è anche una maggiore domanda per loro, in quanto la maggior parte dei cittadini dell’UE vorrebbe l’accesso a un’identità digitale sicura da utilizzare per i servizi online.

Inoltre, secondo l’Europol, la pandemia ha aumentato in modo significativo le frodi di identità online e altri tipi di criminalità informatica.

Enti come banche, fornitori di servizi di comunicazione elettronica e società di servizi, alcuni dei quali sono tenuti per legge a raccogliere attributi di identità, stanno sfruttando le loro procedure per agire come fornitori verificati di identità.

Tuttavia, la maggior parte sono limitati all’uso nazionale e non disponibili in tutta l’UE.

Analogamente, anche gli intermediari di Internet, comprese le principali piattaforme di social media e le società di browser Internet, forniscono ai loro utenti servizi di identità digitale, principalmente sotto forma di portafogli digitali.

Secondo Eurostat, nel 2022, l’88,6 % della popolazione nell’UE-27 è costituito da utenti che usano regolarmente Internet almeno una volta alla settimana e circa il 68 % ordina o acquista beni o servizi su Internet per uso privato.

Con una maggiore connettività, gli utenti richiedono comodità e facilità d’uso. Le soluzioni di portafoglio digitale esistenti sono in genere collegate a soluzioni di pagamento (come ApplePay, GooglePay) e consentono agli utenti di archiviare e collegare i dati in un unico ambiente senza soluzione di continuità sui loro telefoni cellulari.

Tuttavia, alcuni sostengono che questa convenienza ha come contropartita la perdita del controllo sui dati personali divulgati, mentre queste soluzioni sono scollegate da un’identità fisica verificata, che, secondo la Commissione europea, rende più difficili le frodi e le minacce alla sicurezza informatica.

In tale contesto, la Commissione ha presentato una proposta di regolamento su un quadro per un’identità digitale europea (EU ID).

L’identità digitale europea

Per questa iniziativa, la Commissione si è basata sul regolamento esistente sui servizi di identificazione elettronica e trust service (regolamento eIDAS, in breve eIDAS). Adottato nel 2014, fornisce la base per l’identificazione elettronica transfrontaliera, l’autenticazione e la certificazione dei siti web all’interno dell’UE.

Prima dell’entrata in vigore del regolamento, nell’UE non esisteva un quadro completo transfrontaliero o intersettoriale per transazioni elettroniche sicure, affidabili e facili da usare che comprendessero l’identificazione elettronica (eID), l’autenticazione e i servizi fiduciari.

Tuttavia, la regolamentazione si basa su sistemi nazionali di identificazione elettronica che seguono standard diversi e si concentra su un segmento relativamente piccolo delle esigenze di identificazione elettronica dei cittadini e delle imprese, vale a dire l’accesso transfrontaliero sicuro ai servizi pubblici.

Inoltre, attualmente non vi è alcun obbligo per gli Stati membri dell’UE di sviluppare un ID digitale nazionale e di renderlo interoperabile con quelli di altri Stati membri, il che porta a grandi discrepanze tra i paesi.

Attualmente, 14 Stati membri utilizzano 19 sistemi di identificazione digitale. Inoltre, il regolamento non contiene disposizioni sull’uso di tale identificazione per servizi privati o device mobili, il che porta a differenze tra i paesi.

Allo stato attuale, la domanda non può essere soddisfatta dai mezzi eID e dai trust service regolamentati da eIDAS, date le sue attuali limitazioni.

Servizi di autenticazione di terze parti di facile utilizzo sono comuni per l’accesso a servizi online privati non regolamentati, che non richiedono un elevato livello di sicurezza, ma non possono offrire lo stesso livello di certezza del diritto, protezione dei dati e privacy, principalmente perché sono auto-dichiarati e non forniscono un collegamento a eID governativi affidabili e sicuri.

La relazione del gruppo di esperti della Commissione sugli ostacoli normativi all’innovazione finanziaria (ROFIEG) e le relazioni del gruppo di esperti su eID e i processi know-your-customer (KYC) hanno riconosciuto che gli organismi nazionali di regolamentazione in tutta l’UE hanno standard diversi per quanto riguarda la conformità delle soluzioni tecniche per la verifica dell’identità digitale.

Il 9 marzo 2021 la Commissione ha presentato la sua visione per la trasformazione digitale dell’Europa entro il 2030.

La sua comunicazione sul “2030 Digital Compass: the European way for the Digital Decade” ha annunciato un aggiornamento della strategia digitale globale della Commissione a partire da febbraio 2020.

Nel dicembre 2021, la Commissione ha pubblicato la sua proposta di istituire il programma politico Path to the Digital Decade per raggiungere gli obiettivi.

Il Consiglio e il Parlamento hanno raggiunto un accordo provvisorio su questo programma politico nel luglio 2022. L’atto finale è stato pubblicato nella Gazzetta ufficiale dell’UE nel dicembre 2022.

La dichiarazione europea sui diritti e i principi digitali, firmata nel dicembre 2022, prevede anche che ai cittadini che vivono nell’UE sia offerta la possibilità di utilizzare un’identità digitale accessibile, volontaria, sicura e affidabile che dia accesso a un’ampia gamma di servizi online.

Durante la plenaria di marzo 2023, il Parlamento europeo ha fissato la propria posizione riguardo alla proposta di aggiornamento del quadro europeo sull’identità digitale.

Cos’è l’identità digitale europea

L’identità digitale europea (e-ID) permette la reciproca identificazione transfrontaliera dei sistemi di identificazione elettronica nazionali. Questo consente ai cittadini europei di identificarsi online senza doversi rivolgere a fornitori commerciali.

L’identità digitale consente, inoltre, ai cittadini europei di accedere ai servizi online di altri Stati membri dell’UE tramite il semplice utilizzo della propria carta d’identità elettronica nazionale.

I vantaggi dell’identità digitale europea

L’identità digitale europea può essere utilizzata in vari ambiti:

  • servizi pubblici (come certificati di nascita, certificati medici, cambi di indirizzo)
  • servizi bancari
  • presentazione delle dichiarazioni dei redditi
  • presentazione delle domande di studio in Università nel proprio paese o altri paesi dell’UE
  • registrare ricette mediche utilizzabili ovunque in Europa
  • certificati anagrafici
  • noleggio auto (tramite patente di guida digitale)
  • check-in dell’hotel

Miglioramento delle regole

Il regolamento sull’identificazione elettronica e i servizi fiduciarie IDAS (Electronic Identification, Authentication and Trust Services) del 2014 impone agli Stati membri dell’UE di istituire sistemi nazionali di identificazione elettronica che soddisfino determinati standard tecnici e di sicurezza. Successivamente i sistemi nazionali vengono collegati tra loro, consentendo ai cittadini di utilizzare la loro identità elettronica nazionale per accedere ai servizi online in altri paesi dell’UE.

La relazione sull’aggiornamento proposto, approvata dalla Commissione per l’industria, la ricerca e l’energia, sottolinea che i sistemi nazionali dovrebbero funzionare insieme, essere facili da usare e permettere ai cittadini il controllo dei propri dati personali.

Il testo è stato approvato in plenaria e adesso gli eurodeputati sono pronti per avviare i negoziati con il Consiglio sulla veste finale del regolamento.

Il Parlamento ha confermato, con 418 voti a favore, 103 contrari e 24 astensioni, il mandato negoziale per i colloqui con gli Stati membri dell’UE sulla revisione della nuova direttiva eID.

Darebbe, inoltre, agli utenti il pieno controllo dei loro dati e permetterebbe loro di decidere quali informazioni condividere e con chi.

Il Regolamento eIDAS

eIDAS è un fattore chiave per transazioni transfrontaliere sicure.

Il regolamento sull’identificazione elettronica e i servizi fiduciari per le transazioni elettroniche nel mercato interno (regolamento eIDAS) è una pietra miliare verso la creazione di un contesto normativo prevedibile. Il regolamento eIDAS aiuta le imprese, i cittadini e le autorità pubbliche a realizzare interazioni elettroniche sicure e senza soluzione di continuità.

Il regolamento eIDAS:

  • garantisce che le persone e le imprese possano utilizzare i propri sistemi nazionali di identificazione elettronica (eID) per accedere ai servizi pubblici disponibili online in altri paesi dell’UE;
  • crea un mercato interno europeo per i servizi fiduciari garantendo che essi lavorino a livello transfrontaliero e abbiano lo stesso status giuridico dei loro equivalenti tradizionali basati su carta.

Solo fornendo certezza sulla validità giuridica di tali servizi, le imprese e i cittadini utilizzeranno naturalmente le interazioni digitali.

Vantaggi di eIDAS

Il regolamento eIDAS apporta benefici alle imprese, ai cittadini e ai servizi governativi europei.

Con eIDAS l’UE è riuscita a stabilire le giuste basi e un quadro giuridico chiaro per le persone, le imprese e le pubbliche amministrazioni per accedere in modo sicuro ai servizi e effettuare transazioni online in un solo clic. In effetti, la diffusione di eIDAS significa maggiore sicurezza e maggiore convenienza per qualsiasi attività online, come la presentazione di dichiarazioni fiscali, l’iscrizione a un’università straniera, l’apertura a distanza di un conto bancario, la creazione di un’attività in un altro Stato membro, l’autenticazione per i pagamenti via Internet, l’offerta per la gara online e altro ancora.

L’identità digitale europea sarà disponibile ai cittadini, ai residenti e alle imprese dell’UE che desiderano identificarsi o confermare determinate informazioni personali. Può essere utilizzata per i servizi pubblici e privati sia online che offline in tutta l’UE.

Ogni cittadino e residente dell’UE potrà utilizzare un portafoglio digitale personale.

Vantaggi dell’identità digitale europea

Si garantirebbe il diritto di ogni persona di avere un’identità digitale riconosciuta ovunque nell’UE.

Rappresenta un modo semplice e sicuro di controllare quante informazioni ognuno di noi desidera condividere con i servizi che richiedono la condivisione di informazioni.

Uno strumento che funziona tramite portafogli digitali disponibili su applicazioni per telefoni cellulari e altri dispositivi per:

  • identificarsi online e offline
  • conservare e scambiare informazioni fornite dai governi, ad esempio nome, cognome, data di nascita, cittadinanza
  • conservare e scambiare le informazioni fornite da fonti private affidabili
  • utilizzare le informazioni per confermare il diritto di soggiornare, lavorare o studiare in un determinato Stato membro.

Piattaforma di consultazione online sui portafogli europei di identità digitale

La Commissione ha lanciato una piattaforma online per raccogliere le osservazioni di tutti coloro che sono interessati a plasmare i futuri portafogli europei di identità digitale.

La piattaforma online resterà aperta alle osservazioni durante i negoziati legislativi e fino a quando gli Stati membri non avranno sviluppato il pacchetto di strumenti comuni, per rendere i portafogli europei di identità digitale uno strumento davvero pratico per tutti.

Perché ne abbiamo bisogno

Attualmente solo il 60% circa della popolazione dell’UE in 14 Stati membri è in grado di utilizzare la propria carta d’identità elettronica (eID) nazionale a livello transfrontaliero.

Solo il 14% dei fornitori dei principali servizi pubblici in tutti gli Stati membri consente l’autenticazione transfrontaliera con un’e-ID, ad esempio per dimostrare l’identità di una persona su Internet senza bisogno di una password. Il numero di autenticazioni transfrontaliere andate a buon fine ogni anno è molto ridotto, anche se in aumento.

Il 72% degli utenti desidera sapere come vengono trattati i propri dati quando utilizzano gli account dei social media. Il 63% dei cittadini dell’UE desidera disporre di un’identità digitale unica sicura per tutti i servizi online (sondaggio di Eurobarometro).

A disposizione di qualsiasi cittadino dell’UE, residente o impresa nell’UE e’ utilizzabile ampiamente per identificarsi o dimostrare determinate informazioni personali, per poter accedere a servizi digitali pubblici e privati in tutta l’UE.

Offre agli utenti la possibilità di scegliere autonomamente quali aspetti della loro identità, dati e certificati condividere con terzi, conservando anche traccia di tale condivisione.

Uso pratico

L’identità digitale europea può essere utilizzata in molti casi diversi, ad esempio per:

  • usufruire di servizi pubblici, come richiedere un certificato di nascita o certificati medici oppure segnalare un cambio di indirizzo
  • aprire un conto in banca
  • presentare la dichiarazione dei redditi
  • iscriversi a un’università, nel proprio paese o in un altro Stato membro
  • conservare una ricetta medica utilizzabile ovunque in Europa
  • dimostrare la propria età
  • noleggiare un’automobile usando una patente di guida digitale
  • fare il check-in in albergo.

Il wallet di identità digitale europea

Il portafoglio europeo di identità digitale è un sistema molto complesso e ad alta criticità in materia di protezione dei dati personali e sicurezza informatica.

La proposta di modifica del Regolamento europeo eIDAS ha come pilastro il portafoglio di identità digitale europea (EDIW- European union Digital Identity Wallet) e stabilisce una serie di requisiti funzionali e operativi.

La definizione del portafoglio

La definizione del portafoglio che si evince evidenzia l’importanza della protezione dei dati personali e della sicurezza.

Deve essere un portafoglio sicuro per progettazione e impostazione predefinita (by design e by default), emesso e gestito da uno Stato membro, sotto il mandato di uno Stato membro, indipendente da uno Stato membro, riconosciuto da quest’ultimo.

I dati associati devono essere utilizzati sotto il totale controllo dell’utente che può essere sia una persona fisica che giuridica.

Il codice sorgente del portafoglio è open ed è pubblicato a fini di revisione e verifica, con protocolli di rete definiti a priori e interfacce con design standard.

Deve consentire all’utente una serie di funzionalità.

Le principali funzionalità del wallet

Le funzionalità di base prevedono di “richiedere, conservare, selezionare, combinare e condividere i dati necessari per l’identificazione dell’utente, che poi sono utilizzati per l’autenticazione sia online che offline ai servizi pubblici e privati”.

Le operazioni devono essere sotto il controllo esclusivo dell’utente, gestiti in modo trasparente e tracciabili in modo completo.

Il portafoglio deve essere in grado di operare con le attestazioni elettroniche degli attributi, gestite direttamente dall’utente, che può emetterle o revocarle trattandole in modo completo nell’ambito del loro specifico life-cycle.

Tutte le transazioni sono registrate e consultabili tramite un cruscotto.

Tutto il contesto è soggetto alle regole del Regolamento europeo 679/2016 (GDPR) sulla protezione dei dati personali. Sono registrate anche eventuali irregolarità, illegalità e comportamenti scorretti nell’accesso ai dati che possono essere facilmente sottoposte alle autorità nazionali competenti.

Mediante il portafoglio deve essere possibile firmare in modo qualificato e gratuitamente.

Le regole sul portafoglio, oltre che alla sicurezza e alla protezione dei dati personali, puntano su un’architettura comune e interoperabile, con la previsione di protocolli e interfacce comuni e certificazione delle funzionalità basate su nuovi schemi di certificazione che sono basati sulle regole di sicurezza cibernetica stabilite nel regolamento nr. 881/2019

Si stanno definendo le regole per la certificazione di sicurezza del portafoglio con ENISA, l’Agenzia europea per la sicurezza cibernetica e la partecipazione degli esperti degli Stati membri.

Al termine del dibattito, ipotizzato dalle istituzioni comunitarie per fine giugno 2023, il testo concordato sarà pronto per i passi formali successivi e la pubblicazione nella Gazzetta comunitaria.