L’Italia corre parallelamente al sistema europeo e approva il Sistema di portafoglio digitale italiano, il Sistema IT Wallet, stabilito nel Decreto Legge 2 marzo 2024, n. 19 che modifica il Codice dell’Amministrazione Digitale (CAD). E in Europa? EUDI Wallet è il protagonista indiscusso del nuovo regolamento europeo eIDAS 2.
Indice
Il programma per il decennoi digitale 2030
Il programma strategico per il decennio digitale 2030 individua le finalità e gli obiettivi digitali che dovrebbero condurre entro il 2030 a un’ampia diffusione di un‘identità digitale affidabile, volontaria e controllata dagli utenti, riconosciuta in tutta l’Unione europea e che consente a ciascun utente di controllare i propri dati in tutte le interazioni online.
La “dichiarazione europea sui diritti” e i “principi digitali per il decennio digitale” sottolineano il diritto di ogni persona ad avere accesso a tecnologie, prodotti e servizi digitali, che siano sicuri, protetti e tutelino la vita privata fin dalla progettazione.
A questo si aggiunge la garanzia che a tutte le persone che vivono nell’Unione sia offerta un’identità digitale accessibile, sicura e affidabile che dia accesso a un’ampia gamma di servizi online e offline, protetti contro i rischi di cybersicurezza e la criminalità informatica, anche per quanto riguarda le violazioni dei dati e i furti o le manipolazioni dell’identità.
La “dichiarazione europea dei diritti” stabilisce, inoltre, che ogni persona ha diritto alla protezione dei propri dati personali. Tale diritto comprende il controllo su come i dati sono utilizzati e con chi sono condivisi.
Il portafoglio europeo
Il voto espresso positivamente dal Parlamento europeo alla Risoluzione legislativa sulla proposta di regolamento del Parlamento europeo e del Consiglio che modifica il regolamento (UE) n. 910/2014, per quanto riguarda l’istituzione di un quadro per un’identità digitale europea, avvia le fasi finali per questa norma, che attende solo la ratifica del Consiglio, la pubblicazione nella Gazzetta Comunitaria e lo scorrere del periodo di 20 giorni dopo la pubblicazione per l’entrata in vigore.
Per il nuovo regolamento un Portafoglio europeo è “un mezzo di identificazione elettronica, che consente all’utente di conservare, gestire e convalidare in modo sicuro dati di identità personale e attestati elettronici di attributi, al fine di fornirli alle parti facenti affidamento sulla certificazione e agli altri utenti dei portafogli europei di identità digitale, e di firmare mediante firme elettroniche qualificate o apporre sigilli mediante sigilli elettronici qualificati”.
Diritto a una identità digitale
I cittadini e i residenti dell’Unione dovrebbero avere il diritto a un’identità digitale che sia sotto il loro controllo esclusivo e che consenta loro di esercitare i propri diritti nell’ambiente digitale e di partecipare all’economia digitale. Per conseguire tale obiettivo è opportuno istituire un quadro europeo relativo a un’identità digitale che consenta di accedere a servizi pubblici e privati online e offline in tutta l’Unione.
Un quadro armonizzato relativo all’identità digitale contribuirebbe alla creazione di un’Unione più integrata dal punto di vista digitale, riducendo gli ostacoli digitali tra gli Stati membri e consentendo ai cittadini e ai residenti dell’Unione di godere dei vantaggi della digitalizzazione, aumentando, nel contempo, la trasparenza e la protezione dei loro diritti.
Il portafoglio europeo di identità digitale dovrebbe fornire alle persone fisiche e giuridiche di tutta l’Unione un mezzo di identificazione elettronica armonizzato che consenta l‘autenticazione e la condivisione dei dati collegati alla loro identità.
Tutti dovrebbero poter accedere a servizi pubblici e privati in modo sicuro, sulla base di un ecosistema migliorato per i servizi fiduciari e su prove dell’identità e attestati elettronici di attributi verificati, come qualifiche accademiche, compresi diplomi universitari o altri titoli di studio o qualifiche professionali.
Il quadro europeo relativo a un’identità digitale consente il passaggio dalla dipendenza esclusiva da soluzioni di identità digitale nazionali alla fornitura di attestati elettronici di attributi validi e legalmente riconosciuti in tutta l’Unione. Questi fornitori dovrebbero beneficiare di un insieme di norme chiaro e uniforme, mentre le amministrazioni pubbliche dovrebbero potersi avvalere di documenti elettronici in un formato prestabilito.
Per sostenere la competitività delle imprese dell’Unione, i prestatori di servizi sia online che offline dovrebbero potersi avvalere di soluzioni di identità digitale riconosciute in tutta l’Unione, indipendentemente dallo Stato membro in cui tali soluzioni sono fornite, traendo in tal modo vantaggio da un approccio armonizzato a livello dell’Unione in materia di fiducia, sicurezza e interoperabilità. Sia gli utenti che i prestatori di servizi dovrebbero poter beneficiare in tutta l’Unione dello stesso valore giuridico conferito agli attestati elettronici di attributi.
Un quadro armonizzato in materia di identità digitale ha l’obiettivo di creare valore economico fornendo un accesso più agevole a beni e servizi e riducendo in modo significativo i costi operativi legati alle procedure di identificazione e autenticazione elettroniche
I portafogli europei di identità digitale
I portafogli europei di identità digitale dovrebbero:
- facilitare l’applicazione del principio “una tantum”, in modo da ridurre gli oneri amministrativi
- sostenere la mobilità transfrontaliera per i cittadini e i residenti dell’Unione e le imprese in tutta l’Unione
- promuovere lo sviluppo di servizi interoperabili di e-government in tutta l’Unione.
I portafogli europei di identità digitale dovrebbero disporre, tra le proprie funzioni, di un pannello di gestione comune incorporato nella progettazione, al fine di garantire un livello più elevato di trasparenza, di tutela della vita privata e di controllo sui dati personali da parte degli utenti. Tale funzione dovrebbe prevedere un’interfaccia semplice e di facile utilizzo con una panoramica di tutte le parti facenti affidamento sulla certificazione con cui l’utente condivide dati, inclusi gli attributi, e del tipo di dati condivisi con ciascuna parte.
Si dovrebbe consentire agli utenti di tracciare tutte le transazioni eseguite tramite il portafoglio europeo di identità digitale con almeno i seguenti dati:
- l’ora e la data della transazione
- l’identificazione della controparte
- i dati personali richiesti
- i dati condivisi.
Tali informazioni dovrebbero essere memorizzate anche se la transazione non è stata conclusa. Non dovrebbe essere possibile contestare l’autenticità delle informazioni contenute nella cronologia delle transazioni. Tale funzione dovrebbe essere attiva per impostazione predefinita.
Si dovrebbe consentire agli utenti di chiedere facilmente che una parte facente affidamento sulla certificazione cancelli immediatamente dati personali e di segnalare facilmente la parte facente affidamento sulla certificazione all’autorità nazionale di protezione dei dati competente, in caso di ricezione di una richiesta di dati personali asseritamente illecita o sospetta, direttamente tramite il portafoglio europeo di identità digitale.
Gli Stati membri dovrebbero integrare nel portafoglio europeo di identità digitale diverse tecnologie che preservino la riservatezza, come ad esempio la dimostrazione a conoscenza zero. Tali metodi crittografici dovrebbero consentire a una parte facente affidamento sulla certificazione di convalidare la veridicità di una determinata dichiarazione sulla base dei dati di identificazione e dell’attestato di attributi della persona in questione, senza rivelare alcun dato su cui si basa tale dichiarazione, così da preservare la vita privata dell’utente.
Condizioni armonizzate
Tutti i cittadini e i residenti dell’Unione dovrebbero poter richiedere, selezionare, combinare, conservare, cancellare, condividere e presentare in sicurezza i dati relativi alla loro identità e richiedere la cancellazione dei loro dati personali in modo pratico e intuitivo, con il controllo esclusivo dell’utente, consentendo al contempo la divulgazione selettiva dei dati personali. Le tecnologie utilizzate per conseguire tali obiettivi dovrebbero essere sviluppate cercando di ottenere il massimo livello di sicurezza, riservatezza, praticità per gli utenti, accessibilità, ampia utilizzabilità e interoperabilità senza soluzione di continuità.
Gli Stati membri dovrebbero garantire a tutti i loro cittadini e residenti la parità di accesso all’identificazione elettronica. Gli Stati membri non dovrebbero limitare, direttamente o indirettamente, l’accesso a servizi pubblici o privati da parte di persone fisiche o giuridiche che scelgono di non utilizzare i portafogli europei di identità digitale e dovrebbero mettere a disposizione soluzioni alternative adeguate.
Sarebbe auspicabile che la fornitura di portafogli europei di identità digitale provenga direttamente da uno Stato membro, sotto il mandato di uno Stato membro o indipendentemente da uno Stato membro, ma riconosciuti da tale Stato membro.
Ai fini della registrazione, le parti facenti affidamento sulla certificazione dovrebbero fornire le informazioni necessarie a consentire la loro identificazione e autenticazione elettroniche nei portafogli europei di identità digitale.
Proteggere i cittadini e i residenti dell’Unione dall’uso non autorizzato o fraudolento dei portafogli europei di identità digitale è di grande importanza al fine di garantire la fiducia negli stessi e la più ampia diffusione.
Garantire una protezione efficace
E’ importante che agli utenti venga garantita una protezione efficace contro un uso improprio. In particolare, ove nel contesto di un’altra procedura un’autorità giudiziaria nazionale accerti la sussistenza di fatti alla base di un uso fraudolento o in altro modo illecito di un portafoglio europeo di identità digitale, gli organismi di vigilanza responsabili per gli emittenti di portafogli europei di identità digitale dovrebbero, previa notifica, adottare le misure necessarie per garantire che la registrazione della parte facente affidamento sulla certificazione e l’inclusione delle parti facenti affidamento sulla certificazione nel meccanismo di autenticazione siano ritirate o sospese fino a quando l’autorità che ha effettuato la notifica confermi che è stato posto rimedio alle irregolarità rilevate.
L’autenticazione
Tutti i portafogli europei di identità digitale dovrebbero consentire agli utenti di identificarsi e autenticarsi elettronicamente in modalità online e offline a livello transfrontaliero per accedere a un’ampia gamma di servizi pubblici e privati.
L’autenticazione in modalità offline sarebbe importante in molti settori, compreso il settore sanitario nel quale i servizi sono spesso forniti mediante interazioni faccia a faccia, e per le ricette elettroniche dovrebbe essere possibile avvalersi di codici QR o tecnologie simili che consentano di verificarne l’autenticità.
Contando su un livello di garanzia elevato per quanto riguarda i regimi di identificazione elettronica, i portafogli europei di identità digitale dovrebbero sfruttare il potenziale offerto da soluzioni a prova di manomissione quali gli elementi sicuri al fine di rispettare i requisiti di sicurezza ai sensi del presente regolamento.
I portafogli europei di identità digitale dovrebbero, inoltre, consentire agli utenti di creare e utilizzare firme e sigilli elettronici qualificati accettati in tutta l’Unione. Una volta effettuato l’onboarding in un portafoglio europeo di identità digitale, le persone fisiche dovrebbero poterlo utilizzare per firmare con firme elettroniche qualificate, per impostazione predefinita e gratuitamente, senza dover sottostare a ulteriori procedure amministrative. Gli utenti dovrebbero poter apporre firme o sigilli su attributi o dichiarazioni autocertificati.
Al fine di conseguire vantaggi in termini di semplificazione e riduzione dei costi per le persone e le imprese in tutta l’Unione, anche mediante la concessione di poteri di rappresentanza e mandati elettronici, gli Stati membri dovrebbero fornire portafogli europei di identità digitale che si basano su norme comuni e specifiche tecniche per garantire un’interoperabilità senza soluzione di continuità e aumentare adeguatamente la sicurezza informatica, rafforzare la solidità contro gli attacchi informatici e in tal modo ridurre significativamente i potenziali rischi che la digitalizzazione in atto pone a cittadini e a residenti dell’Unione e alle imprese. Solo le autorità competenti degli Stati membri possono fornire un livello elevato di sicurezza nella determinazione dell’identità di una persona e garantire quindi che la persona che rivendica o afferma una determinata identità sia effettivamente la persona che dice di essere.
È, pertanto, necessario che la fornitura di portafogli europei di identità digitale si basi sull’identità giuridica dei cittadini dell’Unione, dei residenti dell’Unione o delle persone giuridiche.
La flessibilità
L’uso di una firma elettronica qualificata dovrebbe essere gratuito per tutte le persone fisiche a fini non professionali. Gli Stati membri dovrebbero poter prevedere misure che impediscano l’uso gratuito di firme elettroniche qualificate da parte di persone fisiche a fini professionali, garantendo al contempo che tali misure siano proporzionate ai rischi individuati e siano giustificate.
È utile facilitare l’adozione e l’uso dei portafogli europei di identità digitale integrandoli senza soluzione di continuità con l’ecosistema dei servizi digitali pubblici e privati già attuati a livello nazionale, locale o regionale. Per conseguire tale obiettivo, gli Stati membri dovrebbero poter prevedere misure giuridiche e organizzative al fine di aumentare la flessibilità per i fornitori dei portafogli europei di identità digitale e consentire funzionalità aggiuntive dei portafogli europei di identità digitale, anche attraverso una maggiore interoperabilità con i mezzi nazionali di identificazione elettronica esistenti. Tali funzionalità aggiuntive non dovrebbero in alcun modo andare a scapito delle funzioni fondamentali dei portafogli europei di identità digitale, né promuovere le soluzioni nazionali esistenti rispetto ai portafogli europei di identità digitale.
I portafogli europei di identità digitale dovrebbero includere una funzionalità per generare pseudonimi scelti e gestiti dall’utente ai fini dell’autenticazione in caso di accesso a servizi online.
La conformità dei portafogli europei di identità digitale a tali requisiti dovrebbe essere certificata da organismi accreditati di valutazione della conformità designati dagli Stati membri.
Al fine di valutare e attenuare costantemente i rischi connessi alla sicurezza, i portafogli europei di identità digitale certificati dovrebbero essere oggetto di valutazioni periodiche delle vulnerabilità volte a rilevarle nei componenti certificati connessi ai prodotti, nei componenti certificati connessi ai processi e nei componenti certificati connessi ai servizi del portafoglio europeo di identità digitale.
L’onboarding
L’onboarding nel portafoglio europeo di identità digitale dei cittadini e dei residenti dell’Unione dovrebbe essere agevolato ricorrendo a mezzi di identificazione elettronica rilasciati a un livello di garanzia elevato.
I mezzi di identificazione elettronica rilasciati a un livello di garanzia significativo dovrebbero essere utilizzati solo laddove le specifiche e procedure tecniche armonizzate che utilizzano mezzi di identificazione elettronica rilasciati a un livello di garanzia significativo in combinazione con mezzi complementari di verifica dell’identità consentano di soddisfare i requisiti per quanto riguarda il livello di garanzia elevato.
I portafogli europei di identità digitale dovrebbero essere sicuri fin dalla progettazione e dovrebbero attuare caratteristiche di sicurezza avanzate per proteggere dal furto di identità e di altri dati, dal diniego di servizio (denial of service) e da qualsiasi altra minaccia informatica.
Tale sicurezza dovrebbe includere metodi di cifratura e archiviazione all’avanguardia che siano accessibili solo all’utente, e decifrabili solo da quest’ultimo, e che si basino sulla comunicazione cifrata end-to-end con altri portafogli europei di identità digitale e parti facenti affidamento sulla certificazione.
I portafogli europei di identità digitale dovrebbero, inoltre, richiedere la conferma sicura, esplicita e attiva dell’utente per le operazioni effettuate tramite i portafogli europei di identità digitale.
L’utilizzo gratuito dei portafogli europei di identità digitale non dovrebbe comportare il trattamento di dati al di là di quanto necessario per la fornitura dei servizi dei portafogli europei di identità digitale. La trasparenza dei portafogli europei di identità digitale e l’obbligo di rendiconto dei loro fornitori sono elementi chiave per creare fiducia sociale e promuovere l’accettazione del quadro.
A tal fine, gli Stati membri dovrebbero divulgare il codice sorgente dei componenti software dell’applicazione utente dei portafogli europei di identità digitale, compresi quelli connessi al trattamento dei dati personali e dei dati delle persone giuridiche. La pubblicazione di tale codice sorgente nell’ambito di una licenza open source dovrebbe consentire alla società, utenti e sviluppatori compresi, di comprenderne il funzionamento e di sottoporre il codice ad audit e a esame. Ciò aumenterebbe la fiducia degli utenti nell’ecosistema e contribuirebbe alla sicurezza dei portafogli europei di identità digitale consentendo a chiunque di segnalare vulnerabilità ed errori nel codice e incentiverebbe i fornitori a offrire e mantenere un prodotto altamente sicuro.
Procedure semplici e sicure
L’utilizzo dei portafogli europei di identità digitale così come l’interruzione del loro utilizzo dovrebbero essere un diritto e una scelta esclusivi degli utenti. Gli Stati membri dovrebbero elaborare procedure semplici e sicure con cui gli utenti possano richiedere la revoca immediata della validità dei portafogli europei di identità digitale, anche in caso di perdita o furto.
Dovrebbe essere istituito un meccanismo che, in caso di morte dell’utente o di cessazione dell’attività di una persona giuridica, consenta all’autorità preposta al regolamento della successione della persona fisica o dei beni della persona giuridica di richiedere la revoca immediata del portafoglio europeo di identità digitale.
Al fine di promuovere la diffusione dei portafogli europei di identità digitale e un uso più ampio delle identità digitali, gli Stati membri dovrebbero non solo promuovere i benefici dei servizi pertinenti, ma anche, in cooperazione con il settore privato, i ricercatori e il mondo accademico, sviluppare programmi di formazione volti a rafforzare le competenze digitali dei loro cittadini e residenti, in particolare per i gruppi vulnerabili, quali le persone con disabilità e gli anziani. Gli Stati membri dovrebbero, inoltre, sensibilizzare in merito ai benefici e ai rischi dei portafogli europei di identità digitale mediante campagne di comunicazione.
Le sanzioni
È opportuno stabilire un limite minimo per il livello massimo di sanzioni amministrative per i prestatori di servizi fiduciari sia qualificati che non qualificati. Gli Stati membri dovrebbero prevedere sanzioni effettive, proporzionate e dissuasive. Nel determinare le sanzioni è opportuno tenere debitamente conto delle dimensioni dei soggetti interessati, dei loro modelli di business e della gravità delle violazioni.
Gli Stati membri dovrebbero stabilire norme relative alle sanzioni applicabili a violazioni quali le pratiche dirette o indirette che generano confusione tra servizi fiduciari non qualificati e servizi fiduciari qualificati o l’uso abusivo del marchio di fiducia Ue da parte di prestatori di servizi fiduciari non qualificati. Il marchio di fiducia Ue non dovrebbe essere utilizzato in condizioni che, direttamente o indirettamente, inducano a ritenere che i servizi fiduciari non qualificati offerti da tali prestatori siano qualificati.
La scelta tra i portafogli europei di identità digitale
E’ importante promuovere la scelta tra i portafogli europei di identità digitale e la possibilità di passare da uno all’altro, qualora uno Stato membro abbia approvato più di una soluzione di portafoglio europeo di identità digitale nel proprio territorio.
Al fine di evitare effetti di lock-in in tali situazioni, se tecnicamente possibile i fornitori di portafogli europei di identità digitale dovrebbero garantire l’effettiva portabilità dei dati su richiesta degli utenti dei portafogli europei di identità digitale e non dovrebbero essere autorizzati a utilizzare ostacoli contrattuali, economici o tecnici per impedire o scoraggiare l’effettivo passaggio tra diversi portafogli europei di identità digitale.
Al fine di garantire il corretto funzionamento dei portafogli europei di identità digitale, i fornitori di portafogli europei di identità digitale necessitano di interoperabilità effettiva e di condizioni eque, ragionevoli e non discriminatorie affinché i portafogli europei di identità digitale possano accedere a specifici componenti hardware e software dei dispositivi mobili.
Questi componenti dovrebbero includere in particolare antenne NFC (near field communication) ed elementi sicuri, tra cui carte universali a circuiti integrati, elementi sicuri integrati, schede micro SD e Bluetooth a bassa energia.
L’accesso a tali componenti potrebbe avvenire sotto il controllo di operatori di reti mobili e costruttori di apparecchiature. Pertanto, i costruttori di apparecchiature originali di dispositivi mobili o i prestatori di servizi di comunicazione elettronica non dovrebbero rifiutare l’accesso a tali componenti, se necessario ai fini della prestazione dei servizi dei portafogli europei di identità digitale. Per garantire che i dati trasmessi mediante servizio elettronico di recapito certificato qualificato giungano al destinatario corretto, i servizi elettronici di recapito certificato qualificati dovrebbero garantire con assoluta certezza l’identificazione del destinatario, mentre per quanto riguarda l’identificazione del mittente basterebbe un elevato livello di sicurezza.
Gli Stati membri dovrebbero incoraggiare i prestatori di servizi elettronici di recapito certificato qualificati a rendere i loro servizi interoperabili con i servizi elettronici di recapito certificato qualificati prestati da altri prestatori di servizi fiduciari qualificati, al fine di trasferire facilmente dati elettronici registrati tra due o più prestatori di servizi fiduciari qualificati e di promuovere pratiche leali nel mercato interno.
Per aumentare l’accessibilità e l’uso delle firme elettroniche, gli Stati membri sono incoraggiati a valutare l’uso di firme elettroniche avanzate nelle transazioni quotidiane, per le quali essi forniscono un livello sufficiente di sicurezza e affidabilità.
I servizi di archiviazione
Molti Stati membri hanno introdotto requisiti nazionali per i servizi che forniscono un’archiviazione elettronica sicura e affidabile al fine di consentire la conservazione a lungo termine di dati elettronici e documenti elettronici, nonché per i servizi fiduciari associati. Per garantire la certezza giuridica, la fiducia e l’armonizzazione in tutti gli Stati membri, è opportuno istituire un quadro giuridico per i servizi di archiviazione elettronica qualificati.
Il quadro giuridico per i servizi di archiviazione elettronica qualificati dovrebbe offrire ai prestatori di servizi fiduciari e agli utenti un pacchetto di strumenti efficiente che comprenda requisiti funzionali per il servizio di archiviazione elettronica, nonché chiari effetti giuridici in caso di utilizzo di un servizio di archiviazione elettronica qualificato. Tali disposizioni dovrebbero applicarsi ai dati elettronici e ai documenti elettronici creati in forma elettronica e ai documenti cartacei che sono stati scannerizzati e digitalizzati. Ove necessario, tali disposizioni dovrebbero consentire che i dati elettronici e i documenti elettronici conservati siano trasferiti su supporti o formati diversi al fine di estenderne la durabilità e la leggibilità oltre il periodo di validità tecnologica, evitando, nel contempo, nella misura del possibile, le perdite e le alterazioni.
Quando i dati elettronici e i documenti elettronici trasmessi al servizio di archiviazione elettronica contengono una o più firme elettroniche qualificate ovvero uno o più sigilli elettronici qualificati, il servizio dovrebbe utilizzare procedure e tecnologie in grado di estendere la loro affidabilità per il periodo di conservazione di tali dati, eventualmente ricorrendo all’uso di altri servizi fiduciari qualificati. Per la creazione delle prove di conservazione in caso di utilizzo di firme elettroniche, sigilli elettronici o validazioni temporali elettroniche, è opportuno utilizzare servizi fiduciari qualificati. Le attività degli archivi nazionali e delle istituzioni della memoria, in qualità di organizzazioni preposte alla conservazione del patrimonio documentario nell’interesse pubblico, sono generalmente disciplinate dal diritto nazionale.