Identità digitale europea, un portafoglio digitale sicuro e affidabile entro il 2030

Il Consiglio ha adottato un nuovo quadro per un'identità digitale europea (e-ID), volontaria e controllata dagli utenti entro il 2030

Foto di Donatella Maisto

Donatella Maisto

Esperta in digital trasformation e tecnologie emergenti

Dopo 20 anni nel legal e hr, si occupa di informazione, ricerca e sviluppo. Esperta in digital transformation, tecnologie emergenti e standard internazionali per la sostenibilità, segue l’Innovation Hub della Camera di Commercio italiana per la Svizzera. MIT Alumni.

Pubblicato: 4 Aprile 2024 10:55

Il programma strategico per il decennio digitale 2030 stabilisce le finalità e gli obiettivi digitali di un quadro dell’Unione che dovrebbe condurre entro il 2030 a un’ampia diffusione di un’identità digitale affidabile, volontaria e controllata dagli utenti, che sia riconosciuta in tutta l’Unione e consenta a ciascun utente di controllare i propri dati nelle interazioni online.

La “dichiarazione europea sui diritti e i principi digitali per il decennio digitale” sottolinea il diritto di ogni persona di avere accesso a tecnologie, prodotti e servizi digitali che siano sicuri e protetti e tutelino la vita privata fin dalla progettazione. Ciò include la garanzia che a tutte le persone che vivono nell’Unione sia offerta un’identità digitale accessibile, sicura e affidabile che dia accesso a un’ampia gamma di servizi online e offline, protetti contro i rischi di cibersicurezza e la criminalità informatica, anche per quanto riguarda le violazioni dei dati e i furti o le manipolazioni dell’identità.

La dichiarazione stabilisce, inoltre, che ogni persona ha diritto alla protezione dei propri dati personali. Tale diritto comprende il controllo su come i dati sono utilizzati e con chi sono condivisi.

L’esigenza di un quadro armonizzato

I cittadini e i residenti dell’Unione devono avere il diritto a un’identità digitale che sia sotto il loro controllo esclusivo e che consenta loro di esercitare i propri diritti nell’ambiente digitale e di partecipare all’economia digitale. Per conseguire tale obiettivo è opportuno istituire un quadro europeo relativo a un’identità digitale che consenta ai cittadini e ai residenti dell’Unione di accedere a servizi pubblici e privati online e offline in tutta l’Unione.

Un quadro armonizzato relativo all’identità digitale contribuirebbe alla creazione di un’Unione più integrata dal punto di vista digitale, riducendo gli ostacoli digitali tra gli Stati membri, consentendo ai cittadini e ai residenti dell’Unione di godere dei vantaggi della digitalizzazione, aumentando, nel contempo, la trasparenza e la protezione dei loro diritti.

Un approccio maggiormente armonizzato all’identificazione elettronica dovrebbe ridurre i rischi e i costi dell’attuale frammentazione dovuta all’uso di soluzioni nazionali divergenti oppure, in alcuni Stati membri, all’assenza di tali soluzioni di identificazione elettronica.

Tutti dovrebbero poter accedere a servizi pubblici e privati in modo sicuro, sulla base di un ecosistema migliorato per i servizi fiduciari e su prove dell’identità e attestati elettronici di attributi verificati, come qualifiche accademiche, compresi diplomi universitari o altri titoli di studio o qualifiche professionali.

Il riconoscimento a livello europeo

Il quadro europeo relativo a un’identità digitale vuole consentire il passaggio dalla dipendenza esclusiva da soluzioni di identità digitale nazionali alla fornitura di attestati elettronici di attributi validi e legalmente riconosciuti in tutta l’Unione.

I fornitori di attestati elettronici di attributi beneficeranno di un insieme di norme chiaro e uniforme, mentre le amministrazioni pubbliche dovrebbero si avvarranno di documenti elettronici in un formato prestabilito.

I portafogli europei di identità digitale faciliteranno l’applicazione del principio “una tantum”, in modo da ridurre gli oneri amministrativi e sostenere la mobilità transfrontaliera per i cittadini e i residenti dell’Unione e le imprese in tutta l’Unione e promuovere lo sviluppo di servizi interoperabili di e-government in tutta l’Unione.

L’adozione del regolamento sull’identità digitale europea è una pietra miliare nella trasformazione digitale della nostra società.Incentrandosi sui cittadini, il regolamento sull’identità digitale europea contribuisce, inoltre, a migliorare e semplificare in modo significativo l’accesso ai servizi pubblici, in modo che i cittadini non si fanno carico di oneri dovuti alla complessità amministrativa e istituzionale.

Un chiaro cambio di paradigma

Il regolamento riveduto costituisce un chiaro cambiamento di paradigma per l’identità digitale in Europa. Mira a garantire che le persone e le imprese in tutta Europa abbiano accesso universale a un’identificazione e un’autenticazione elettroniche sicure e affidabili.
A norma del nuovo regolamento, gli Stati membri offriranno ai cittadini e alle imprese portafogli digitali in grado di collegare le loro identità digitali nazionali ad altri attributi personali, come la patente di guida, qualifiche, conto bancario.
I cittadini potranno dimostrare la propria identità e condividere documenti elettronici dal proprio portafoglio digitale in modo semplice, utilizzando il loro cellulare. I nuovi portafogli europei di identità digitale consentiranno a tutti i cittadini di accedere a servizi online mediante la loro identificazione digitale nazionale, che sarà riconosciuta in tutta l’Ue, senza dover utilizzare metodi di identificazione privati o condividere inutilmente dati personali.
Il controllo degli utenti garantisce che siano condivise solo le informazioni che è necessario condividere.

Elementi principali del nuovo regolamento

I colegislatori hanno mantenuto l’impostazione generale della proposta della Commissione relativa a un quadro aggiornato che migliori l’efficacia e estenda i benefici di un’identità digitale sicura e pratica al settore privato e all’utilizzo mobile. Le discussioni interistituzionali hanno portato a un rafforzamento del regolamento in vari settori importanti per i cittadini.

Il portafoglio conterrà un pannello di gestione di tutte le transazioni, cui il titolare potrà accedere sia online che offline, offrirà la possibilità di segnalare eventuali violazioni della protezione dei dati e consentirà l’interazione tra portafogli.

Inoltre, i cittadini potranno eseguire l’onboarding nel portafoglio utilizzando i regimi di identificazione elettronica nazionali esistenti e potranno beneficiare del servizio gratuito di firma elettronica a fini non professionali.

Gli elementi principali del regolamento riveduto possono essere così sintetizzati:

  • entro il 2026 ciascuno Stato membro deve mettere a disposizione dei cittadini un portafoglio di identità digitale e accettare portafogli europei di identità digitale di altri Stati membri
  • sono state previste garanzie sufficienti per evitare la discriminazione di chi scelga di non ricorrere al portafoglio, il cui utilizzo rimarrà sempre volontario
  • il modello di business del portafoglio. L’emissione, l’uso e la revoca saranno gratuiti per tutte le persone fisiche
  • la convalida di attestati elettronici di attributi. Gli Stati membri devono fornire meccanismi di convalida gratuiti solo per verificare l’autenticità e la validità del portafoglio e dell’identità delle parti facenti affidamento sulla certificazione
  • il codice dei portafogli. I componenti software per le applicazioni saranno open source, ma agli Stati membri è concesso un margine di manovra affinché, per motivi giustificati, non sia necessario divulgare componenti specifici diversi da quelli installati sui dispositivi dell’utente
  • è stata garantita la coerenza tra il portafoglio come mezzo di identificazione elettronica e il sistema nell’ambito del quale è stato emesso.

Infine, il regolamento riveduto chiarisce l’ambito di applicazione dei certificati qualificati di autenticazione di siti web, il che garantisce che gli utenti possano verificare chi è l’amministratore di un determinato sito web, preservando nel contempo le norme e gli standard di sicurezza ben consolidati vigenti nel settore.

I portafogli europei di identità digitale

I portafogli europei di identità digitale devono disporre, tra le proprie funzioni, di un pannello di gestione comune incorporato nella progettazione, al fine di garantire un livello più elevato di trasparenza, di tutela della vita privata e di controllo sui dati personali da parte degli utenti.

Tale funzione dovrebbe prevedere un’interfaccia semplice e di facile utilizzo con una panoramica di tutte le parti facenti affidamento sulla certificazione con cui l’utente condivide dati, inclusi gli attributi, e del tipo di dati condivisi con ciascuna parte facente affidamento sulla certificazione. Dovrebbe consentire agli utenti di tracciare tutte le transazioni eseguite tramite il portafoglio europeo di identità digitale con almeno i seguenti dati:

  • l’ora e la data della transazione
  • l’identificazione della controparte
  • i dati personali richiesti e i dati condivisi.

Tali informazioni dovrebbero essere memorizzate anche se la transazione non è stata conclusa. Non dovrebbe essere possibile contestare l’autenticità delle informazioni contenute nella cronologia delle transazioni. Tale funzione dovrebbe essere attiva per impostazione predefinita e dovrebbe consentire agli utenti di chiedere facilmente la cancellazione immediata dei dati personali.

Gli Stati membri dovrebbero integrare nel portafoglio europeo di identità digitale diverse tecnologie che preservino la riservatezza, come ad esempio la dimostrazione a conoscenza zero. Tali metodi crittografici dovrebbero consentire a una parte facente affidamento sulla certificazione di convalidare la veridicità di una determinata dichiarazione sulla base dei dati di identificazione e dell’attestato di attributi della persona in questione, senza rivelare alcun dato su cui si basa tale dichiarazione, così da preservare la vita privata dell’utente.

Cosa possono fare gli utenti

Il regolamento stabilisce le condizioni armonizzate per l’istituzione di un quadro per i portafogli europei di identità digitale che saranno forniti dagli Stati membri.

Tutti i cittadini e i residenti dell’Unione, quali definiti dal diritto nazionale, dovrebbero poter richiedere, selezionare, combinare, conservare, cancellare, condividere e presentare in sicurezza i dati relativi alla loro identità e richiedere la cancellazione dei loro dati personali in modo pratico e intuitivo, con il controllo esclusivo dell’utente, consentendo al contempo la divulgazione selettiva dei dati personali.

Il regolamento riflette i valori europei condivisi e rispetta i diritti fondamentali, le garanzie giuridiche e la responsabilità, proteggendo in tal modo le società democratiche, i cittadini e i residenti dell’Unione. Le tecnologie utilizzate per conseguire tali obiettivi dovrebbero essere sviluppate cercando di ottenere il massimo livello di sicurezza, riservatezza, praticità per gli utenti, accessibilità, ampia utilizzabilità e interoperabilità senza soluzione di continuità.

Gli Stati membri dovrebbero garantire a tutti i loro cittadini e residenti la parità di accesso all’identificazione elettronica. Gli Stati membri non dovrebbero limitare, direttamente o indirettamente, l’accesso a servizi pubblici o privati da parte di persone fisiche o giuridiche che scelgono di non utilizzare i portafogli europei di identità digitale e dovrebbero mettere a disposizione soluzioni alternative adeguate.

La protezione dei cittadini

Proteggere i cittadini e i residenti dell’Unione dall’uso non autorizzato o fraudolento dei portafogli europei di identità digitale è di grande importanza al fine di garantire la fiducia negli stessi e la loro ampia diffusione.

Agli utenti dovrebbe essere garantita una protezione efficace contro tale uso improprio. In particolare, ove nel contesto di un’altra procedura un’autorità giudiziaria nazionale accerti la sussistenza di fatti alla base di un uso fraudolento o in altro modo illecito di un portafoglio europeo di identità digitale, gli organismi di vigilanza responsabili per gli emittenti di portafogli europei di identità digitale dovrebbero, previa notifica, adottare le misure necessarie per garantire che la registrazione della parte facente affidamento sulla certificazione e l’inclusione delle parti facenti affidamento sulla certificazione nel meccanismo di autenticazione siano ritirate o sospese fino a quando l’autorità che ha effettuato la notifica confermi che è stato posto rimedio alle irregolarità rilevate.

Tutti i portafogli europei di identità digitale dovrebbero consentire agli utenti di identificarsi e autenticarsi elettronicamente in modalità online e offline a livello transfrontaliero per accedere a un’ampia gamma di servizi pubblici e privati.

Fatte salve le prerogative degli Stati membri per quanto riguarda l’identificazione dei loro cittadini e residenti, i portafogli europei di identità digitale possono anche rispondere alle esigenze istituzionali delle amministrazioni pubbliche, delle organizzazioni internazionali e delle istituzioni, degli organi e degli organismi dell’Unione.

L’autenticazione in modalità offline sarebbe importante in molti settori, compreso il settore sanitario nel quale i servizi sono spesso forniti mediante interazioni faccia a faccia, e per le ricette elettroniche dovrebbe essere possibile avvalersi di codici QR o tecnologie simili che consentano di verificarne l’autenticità.

Un livello di garanzia elevato

Contando su un livello di garanzia elevato per quanto riguarda i regimi di identificazione elettronica, i portafogli europei di identità digitale dovrebbero sfruttare il potenziale offerto da soluzioni a prova di manomissione quali gli elementi sicuri al fine di rispettare i requisiti di sicurezza ai sensi del presente regolamento.

I portafogli europei di identità digitale dovrebbero, inoltre, consentire agli utenti di creare e utilizzare firme e sigilli elettronici qualificati accettati in tutta l’Unione. Una volta effettuato l’onboarding in un portafoglio europeo di identità digitale, le persone fisiche dovrebbero poterlo utilizzare per firmare con firme elettroniche qualificate, per impostazione predefinita e gratuitamente, senza dover sottostare a ulteriori procedure amministrative.
Gli utenti dovrebbero poter apporre firme o sigilli su attributi o dichiarazioni autocertificati.

Al fine di conseguire vantaggi in termini di semplificazione e riduzione dei costi per le persone e le imprese in tutta l’Unione, anche mediante la concessione di poteri di rappresentanza e mandati elettronici, gli Stati membri dovrebbero fornire portafogli europei di identità digitale che si basano su norme comuni e specifiche tecniche per garantire un’interoperabilità senza soluzione di continuità e aumentare adeguatamente la sicurezza informatica, rafforzare la solidità contro gli attacchi informatici e in tal modo ridurre significativamente i potenziali rischi che la digitalizzazione in atto pone a cittadini e a residenti dell’Unione e alle imprese.

Ulteriori facilitazioni

L’uso di una firma elettronica qualificata dovrebbe essere gratuito per tutte le persone fisiche a fini non professionali.

È utile facilitare l’adozione e l’uso dei portafogli europei di identità digitale integrandoli senza soluzione di continuità con l’ecosistema dei servizi digitali pubblici e privati già attuati a livello nazionale, locale o regionale.

Per conseguire tale obiettivo, gli Stati membri dovrebbero poter prevedere misure giuridiche e organizzative al fine di aumentare la flessibilità per i fornitori dei portafogli europei di identità digitale e consentire funzionalità aggiuntive dei portafogli europei di identità digitale rispetto a quelle previste dal regolamento, anche attraverso una maggiore interoperabilità con i mezzi nazionali di identificazione elettronica esistenti. Tali funzionalità aggiuntive non dovrebbero in alcun modo andare a scapito delle funzioni fondamentali dei portafogli europei di identità digitale, né promuovere le soluzioni nazionali esistenti rispetto ai portafogli europei di identità digitale.

I portafogli europei di identità digitale dovrebbero includere una funzionalità per generare pseudonimi scelti e gestiti dall’utente ai fini dell’autenticazione in caso di accesso a servizi online.

Al fine di evitare approcci divergenti e armonizzare l’attuazione dei requisiti stabiliti dal regolamento, è opportuno che la Commissione, ai fini della certificazione dei portafogli europei di identità digitale, adotti atti di esecuzione per stabilire un elenco di norme di riferimento e stabilire, se necessario, specifiche e procedure allo scopo di definire specifiche tecniche dettagliate relative a tali requisiti.

Valutazioni periodiche

I portafogli europei di identità digitale certificati dovrebbero essere oggetto di valutazioni  periodiche delle vulnerabilità volte a rilevare eventuali vulnerabilità nei componenti certificati connessi ai prodotti, nei componenti certificati connessi ai processi e nei componenti certificati connessi ai servizi del portafoglio europeo di identità digitale.

La trasparenza dei portafogli europei di identità digitale e l’obbligo di rendiconto dei loro fornitori sono elementi chiave per creare fiducia sociale e promuovere l’accettazione del quadro. Il funzionamento dei portafogli europei di identità digitale dovrebbe pertanto essere trasparente e, in particolare, consentire un trattamento verificabile dei dati personali.

A tal fine, gli Stati membri dovrebbero divulgare il codice sorgente dei componenti software dell’applicazione utente dei portafogli europei di identità digitale, compresi quelli connessi al trattamento dei dati personali e dei dati delle persone giuridiche.

La pubblicazione di tale codice sorgente nell’ambito di una licenza open source dovrebbe consentire alla società, utenti e sviluppatori compresi, di comprenderne il funzionamento e di sottoporre il codice ad audit e a esame. Ciò aumenterebbe la fiducia degli utenti nell’ecosistema e contribuirebbe alla sicurezza dei portafogli europei di identità digitale consentendo a chiunque di segnalare vulnerabilità ed errori nel codice. Nel complesso ciò incentiverebbe i fornitori a offrire e mantenere un prodotto altamente sicuro.

In taluni casi tuttavia, gli Stati membri, per motivi debitamente giustificati, soprattutto per motivi di pubblica sicurezza, potrebbero limitare la divulgazione del codice sorgente per le librerie utilizzate, il canale di comunicazione o altri elementi non ospitati sul dispositivo dell’utente.

L’utilizzo dei portafogli europei di identità digitale così come l’interruzione del loro utilizzo dovrebbero essere un diritto e una scelta esclusivi degli utenti. Gli Stati membri dovrebbero elaborare procedure semplici e sicure con cui gli utenti possano richiedere la revoca immediata della validità dei portafogli europei di identità digitale, anche in caso di perdita o furto.Dovrebb e essere istituito un meccanismo che, in caso di morte dell’utente o di cessazione dell’attività di una persona giuridica, consenta all’autorità preposta al regolamento della successione della persona fisica o dei beni della persona giuridica di richiedere la revoca immediata del portafoglio europeo di identità digitale.

Codici di condotta

Il regolamento dovrebbe promuovere la scelta tra i portafogli europei di identità digitale e la possibilità di passare da uno all’altro, qualora uno Stato membro abbia approvato più di una soluzione di portafoglio europeo di identità digitale nel proprio territorio.

Al fine di evitare effetti di lock-in in tali situazioni, se tecnicamente possibile, i fornitori di portafogli europei di identità digitale dovrebbero garantire l’effettiva portabilità dei dati su richiesta degli utenti dei portafogli europei di identità digitale e non dovrebbero essere autorizzati a utilizzare ostacoli contrattuali, economici o tecnici per impedire o scoraggiare l’effettivo passaggio tra diversi portafogli europei di identità digitale.

Al fine di garantire il corretto funzionamento dei portafogli europei di identità digitale, i fornitori di portafogli europei di identità digitale necessitano di interoperabilità effettiva e di condizioni eque, ragionevoli e non discriminatorie affinché i portafogli europei di identità digitale possano accedere a specifici componenti hardware e software dei dispositivi mobili.

Tali componenti dovrebbero includere in particolare antenne NFC (Near Field Communication) ed elementi sicuri, tra cui carte universali a circuiti integrati, elementi sicuri integrati, schede micro SD e Bluetooth a bassa energia. L’accesso a tali componenti potrebbe avvenire sotto il controllo di operatori di reti mobili e costruttori di apparecchiature. Pertanto, i costruttori di apparecchiature originali di dispositivi mobili o i prestatori di servizi di comunicazione elettronica non dovrebbero rifiutare l’accesso a tali componenti, se necessario ai fini della prestazione dei servizi dei portafogli europei di identità digitale.

È opportuno elaborare codici di condotta a livello dell’Unione per contribuire all’ampia disponibilità e utilizzabilità dei mezzi di identificazione elettronica, compresi i portafogli europei di identità digitale che rientrano nell’ambito di applicazione del regolamento.

I codici di condotta dovrebbero facilitare un’ampia accettazione dei mezzi di identificazione elettronica, compresi i portafogli europei di identità digitale, da parte dei prestatori di servizi che non sono considerati piattaforme di dimensioni molto grandi e che si avvalgono di servizi di identificazione elettronica di terzi per l’autenticazione degli utenti.