Digital Identity Wallet europeo e IT Wallet: cosa sono e come funzionano

Gli strumenti per attestare la propria identità online sono diventati sempre più indispensabili, a tutti i livelli. L’era digitale ha portato profonde trasformazioni nei modi in cui interagiamo, lavoriamo e ci relazioniamo con il mondo circostante. In questo contesto, l’identità digitale è diventata un elemento fondamentale, consentendo alle persone di accedere a servizi online, autenticarsi in modo sicuro e partecipare attivamente alle dinamiche digitali. Il Digital Identity Wallet è uno strumento nuovo che mira a mettere un ordine tra i tanti sistemi di attestazione dell’identità digitale utilizzati nei vari Paesi europei, Italia compresa.

Da dove nasce il Digital Identity Wallet: il Regolamento eIDAS

Il Regolamento eIDAS (n. 910/2014) è un atto legislativo dell’Unione Europea che definisce un quadro normativo per l’identificazione elettronica (eID) e i servizi fiduciari nell’ambito delle transazioni elettroniche all’interno del mercato unico europeo. La sigla eIDAS sta per “identificazione elettronica e servizi fiduciari per le transazioni elettroniche nel mercato interno“.

La prima versione del Regolamento non obbligava gli Stati membri a sviluppare una specifica soluzione di identificazione elettronica rendendola interoperabile con quella delle altre nazioni europee. L’Italia ha puntato su SPID, Sistema Pubblico di Identità Digitale: il sistema ha riscosso un successo straordinario tanto che, secondo AgID (Agenzia per l’Italia Digitale), sono ormai quasi 36 milioni (dato di fine luglio 2023) le identità digitali SPID sino ad oggi attivate.

La diatriba italiana: SPID o CIE

SPID non è un “unicum” tutto italiano: è stato infatti sviluppato sulla base delle prescrizioni contenute proprio nel Regolamento eIDAS. Non è vero, inoltre, come erroneamente sostenuto da molti, che SPID non offre il livello 3 per la sicurezza delle credenziali. Tutti i principali Identity Provider accreditati da AgID offrono infatti la possibilità di abilitare e utilizzare SPID di livello 3.

Lo SPID 3 è richiesto per l’accesso a servizi che trattano dati sensibili e informazioni riservate: è quindi studiato per garantire il massimo livello di sicurezza durante la procedura di autenticazione. Oltre al nome utente e la password, diversamente rispetto a livello 2 (che ad esempio prevede l’utilizzo di un codice OTP come secondo fattore), SPID 3 richiede un supporto fisico come una smart card o un dispositivo per la firma digitale remota, erogato dall’Identity Provider stesso.

Secondo quanto emerso ad agosto 2023, il Governo italiano preferisce invece virare in futuro verso l’autenticazione mediante CIE (Carta d’identità elettronica) perché l’utilizzo di un simile strumento già fornisce un’autenticazione di livello 3 mentre la maggior parte delle identità digitali SPID si fermano oggi al livello 2. In un altro articolo abbiamo messo in evidenza le principali differenze tra SPID e CIE.

I numeri di SPID e CIE in Italia

Nonostante la volontà di spingere in futuro sulla CIE, il Governo ha messo sul piatto ulteriori 40 milioni di euro per sostenere SPID lungo un ulteriore biennio. I 12 Identity Provider accreditati potranno quindi accedere ai nuovi fondi per proseguire le attività di gestione delle identità digitali SPID. Non è escluso che al termine dei due anni possa comunque esservi un ulteriore investimento su SPID.

D’altra parte i numeri parlano chiaro: secondo stime recenti, gli utenti attivi che utilizzano cioè CIE per accedere ai servizi digitali in Italia sarebbero appena 1 milione circa rispetto agli oltre 30 milioni nel caso di SPID.

eIDAS 2.0: la revisione del Regolamento introduce il Portafoglio Europeo di Identità Digitale

Dal 2014, il Regolamento eIDAS non era mai stato oggetto di alcuna revisione. Sebbene l’Italia si collochi tra i Paesi più virtuosi (sono appena 14 gli Stati membri che hanno notificato alla Commissione Europea l’utilizzo di almeno un sistema per la gestione delle identità digitali dei cittadini), come abbiamo brevemente evidenziato in precedenza, permangono problemi di interoperabilità, livelli di sicurezza differenti e difformità sul piano della user experience.

Con eIDAS 2.0 l’Europa intende puntare sull’interoperabilità e possibilmente anche sull’integrazione tra i servizi fiduciari in uso all’interno dell’Unione. Per questo motivo, un forte impulso è impresso sull’approvazione, in tempi brevi, del nuovo Digital Identity Wallet europeo.

Cos’è il Digital Identity Wallet europeo o EUDI Wallet

Il Portafoglio Europeo di Identità Digitale (European Digital Identity Wallet, EUDI Wallet) è un’iniziativa dell’Unione Europea per sviluppare e promuovere un sistema utile per la gestione dell’identità personale dei cittadini europei. Questo portafoglio digitale consente di salvare e gestire in modo sicuro una serie di informazioni personali, documenti e certificati, come ad esempio documenti d’identità, patenti di guida, passaporti, certificati di vaccinazione e altri dati importanti.

L’obiettivo principale di questo progetto è offrire un modo sicuro ed efficiente per condividere informazioni personali online, semplificando processi come la verifica dell’identità o la presentazione di documenti in ambito digitale. Ciò potrebbe avere un impatto significativo in diversi settori, come la sanità, il settore pubblico, i viaggi e molto altro.

Caratteristiche basilari del Digital Identity Wallet europeo

Le caratteristiche chiave che ci si aspetta da un Digital Identity Wallet europeo o EUDI Wallet includono:

• Sicurezza. L’aspetto più critico di un portafoglio digitale dell’identità è la sicurezza. Dovrebbe essere protetto da rigorose misure di crittografia e autenticazione per evitare accessi non autorizzati.
• Interoperabilità. Il portafoglio dovrebbe essere compatibile con la maggior parte dei servizi e piattaforme online, in modo che gli utenti possano utilizzarlo senza problemi ovunque sia richiesta la loro identificazione.
• Privacy. Dovrebbe essere garantita una gestione adeguata delle informazioni personali, dando agli utenti il controllo su quali dati vogliono condividere e con chi.
• Facilità d’uso. L’interfaccia del portafoglio dovrebbe essere intuitiva e di facile utilizzo, in modo che sia accessibile anche a utenti poco esperti in ambito tecnologico.
• Conservazione di certificati digitali. Il portafoglio potrebbe contenere certificati digitali, come quelli di vaccinazione o di qualificazione professionale, che possono essere condivisi in modo sicuro.
• Supporto Blockchain. Alcune iniziative potrebbero integrare tecnologie blockchain per garantire l’immunità da frodi e manipolazioni.

Obiettivo del Digital Identity Wallet

L’obiettivo primario del Portafoglio Europeo di Identità Digitale (European Digital Identity Wallet, EUDI Wallet) è garantire l’accesso a identità digitali affidabili per tutti gli europei, consentendo agli utenti di controllare le proprie interazioni e la presenza online.

EUDI Wallet mira a fornire una piattaforma integrata per richiedere, ottenere e conservare in modo sicuro le proprie informazioni. Consente agli utenti di accedere a servizi online, presentare dati su di sé e firmare o “sigillare” documenti in formato elettronico.

I principali casi d’uso dell’EUDI Wallet

Identificazione sicura e affidabile per l’accesso a servizi online. EUDI Wallet facilita l’autenticazione sicura degli utenti e consente alle parti che fanno affidamento su di esso di identificare e autenticare gli utenti con un elevato livello di garanzia.

Mobilità e patente di guida digitale. Il nuovo strumento mira a promuovere l’utilizzo di una Patente di Guida Europea completamente digitale sia per scenari online che offline. Può supportare attestazioni aggiuntive relative a requisiti legali e aziendali nell’ambito del trasporto stradale.

Salute. EUDI Wallet potrebbe consentire un facile accesso ai dati sanitari, come riepiloghi dei pazienti ed “ePrescrizioni“, sia in contesti nazionali che transfrontalieri.

Credenziali educative e qualifiche professionali. La soluzione proposta in sede europea può fungere da deposito per le credenziali digitali educative, consentendo agli utenti di presentare attestazioni digitali di diploma in un formato verificabile e affidabile. Ciò può facilitare le procedure di riconoscimento delle qualifiche per utenti finali, aziende, datori di lavoro e istituti accademici.

Finanza digitale. EUDI Wallet mira a facilitare il rispetto dei requisiti di autenticazione forte dei clienti nell’ambito della finanza digitale.

Credenziali di viaggio in digitale. Tra i possibili casi d’uso dell’EUDI Wallet è citata anche la possibilità di memorizzare e conservare i titoli di viaggio in formato digitale (si pensi ai biglietti dei vari mezzi di trasporto). Proprio questo scenario è riassunto in un’infografica pubblicata sul sito della Commissione Europea.

La toolbox che definisce le basi per il funzionamento dell’EUDI Wallet

Il documento dal titolo “The Common Union Toolbox for a Coordinated Approach Towards a European Digital Identity Framework” fornisce specifiche e linee guida per lo sviluppo del portafoglio digitale per l’identità digitale europea (EUDI Wallet) basato su standard e pratiche comuni.

Il testo definisce gli obiettivi del portafoglio EUDI e presenta l’ecosistema del portafoglio digitale per l’identità digitale europea. Vengono descritti i vari ruoli all’interno dell’ecosistema, come gli utenti, i fornitori (EUDI Wallet Provider), i fornitori di dati di identificazione personale (PID Provider), i fornitori di attestazioni elettroniche qualificate e non qualificate, i fornitori di certificati elettronici qualificati e non qualificati e altre entità coinvolte.

Cosa sono EUDI Wallet Provider e PID Provider

Nello specifico, i cosiddetti EUDI Wallet Provider sono gli Stati membri oppure i soggetti incaricati o riconosciuti dagli Stati membri che mettono a disposizione degli utenti finali il Portafoglio di Identità Digitale Europea. In pratica, i portafogli EUDI Wallet possono essere creati e gestiti sia dallo Stato ma anche da altre entità accreditate (questa seconda opzione è ciò che avviene oggi con SPID).

I PID Provider, invece, sono “entità fidate” incaricate di verificare l’identità dell’utente possessore di un Portafoglio di Identità Digitale Europea in conformità con i requisiti di livello 3. Questi soggetti condividono i Dati di Identificazione della Persona (PID) con il Portafoglio di Identità Digitale Europea in un formato armonizzato e comune. Inoltre, i PID Provider mettono a disposizione delle parti, tutte le informazioni necessarie al fine di verificare la validità del PID stesso. I termini e le condizioni di questi servizi sono definiti da ciascuno Stato membro, si legge nel documento.

In sintesi, gli EUDI Wallet Provider sono responsabili di rendere disponibile il Portafoglio di Identità Digitale Europea; i PID Provider sono chiamati a verificare l’identità dell’utente ed emettere il PID corrispondente.

Il documento fornisce anche requisiti e specifiche per il portafoglio EUDI, come i formati di attestazione supportati, i protocolli di scambio di attestazioni, i modelli di dati, i protocolli di emissione e i requisiti di configurazione. Si fa inoltre presente, ed è questa una novità molto importante, che il processo di certificazione dei fornitori del portafoglio EUDI deve essere armonizzato tra gli Stati membri.

L’ultima parte del testo descrive il processo di sviluppo del framework di riferimento specificando che i contenuti saranno comunque aggiornati sulla base dell’esito delle negoziazioni legislative alla promozione di un quadro europeo sull’identità digitale.

SPID e CIE come PID Provider

Ciò che spesso non è evidenziato con sufficiente chiarezza è che la toolbox presentata dalla Commissione Europea lascia a ciascuno Stato membro l’onere di definire i PID Provider necessari per fornire attestazione dell’identità di ogni utente dell’EUDI Wallet.

Ancora una volta, quindi, l’Italia potrebbe utilizzare SPID e CIE come PID Provider per concedere l’accesso al Portafoglio Europeo di Identità Digitale. CIE, come abbiamo osservato nell’introduzione, offre già il livello di sicurezza 3 (Level of Assurance, LoA High) mentre la maggior parte delle utenze SPID in uso nel nostro Paese si ferma al momento al livello 2 (LoA Substantial).

I PID provider serviranno una tantum per inizializzare gli EUDI Wallet: per gli utilizzi successivi, questi ultimi potranno sfruttare altri metodi di autenticazione forte. Questi strumenti consentiranno di aggiungere ulteriori “attributi” ai semplici dati anagrafici di ciascun utente aprendo le porte ad ulteriori utili funzionalità.

Gli attributi addizionali che gli utenti possono comunicare a una terza parte appoggiandosi al loro Wallet personale sono ad esempio, una certificazione ISEE, un’attestazione dei titoli di studio, l’iscrizione ad albi professionali, la rappresentatività di persone giuridiche, la certificazione di disabilità o altre certificazioni prodotte da entità pubbliche e private.

IT Wallet: quali differenze con l’EUDI Wallet e quando sarà utilizzabile

Ad agosto 2023 è giunta la conferma del lavoro che in Italia si sta svolgendo su IT Wallet. Si tratta di un portafoglio digitale che poggia sui principi di massima proposti dalla Commissione Europea con l’EUDI Wallet e che di fatto ne anticipa l’entrata in vigore.

Il progetto italiano IT Wallet dovrebbe debuttare nel corso del 2024, probabilmente tra giugno e settembre, mentre EUDI Wallet non arriverà “nelle mani” dei cittadini europei prima del 2026.

Come EUDI Wallet, anche IT Wallet permette di conservare in un unico “contenitore” dati sanitari, certificazioni legate all’educazione e alla professione, certificazioni vaccinali, patenti, documenti di viaggio e molto altro.

In primo tempo, IT Wallet sarà integrato nell’app IO sviluppata da PagoPA, soluzione installabile sui dispositivi mobili che da qualche tempo permette anche di firmare i documenti della Pubblica Amministrazione. L’idea alla base di IT Wallet sembra essere quella di “bruciare le tappe”, per arrivare ad abbracciare definitivamente EUDI Wallet non appena le specifiche saranno approvate in via definitiva: nella pagina GitHub del progetto sarà condiviso il codice riutilizzabile dagli Stati membri per sviluppare sistema compatibili ed interoperabili.

Con il via libera del 31 gennaio 2024 da parte del Consiglio dei Ministri italiano, IT Wallet si configura come uno strumento in grado di raccogliere carta d’identità, tessera sanitaria e carta della disabilità, patente, passaporto e ricette mediche per tutti i maggiorenni.

I professionisti possono ottenere l’accesso a pagamento a servizi come candidature ai bandi pubblici, fornitura di attestazioni elettroniche, gestione dei curriculum vitae e delle relazioni tecniche professionali (ad esempio perizie con apposizione della firma digitale).

Le fasi per il dispiegamento dell’IT Wallet italiano

L’introduzione del portafoglio IT Wallet avverrà lungo tre fasi distinte. La prima fase coinvolgerà poche persone (probabilmente qualche centinaio) e consentirà agli utenti di caricare, in via sperimentale, tessera sanitaria e carta della disabilità. Nella fase due, che inizierà non prima del 30 giugno (ma che potrebbe slittare a settembre 2024), i cittadini potranno caricare entrambi i documenti (tessera sanitaria e carta della disabilità), dotati di firma elettronica. Al massimo entro il mese di ottobre 2024, dovrebbe essere possibile avere a disposizione anche la carta d’identità elettronica sempre tramite app IO.

Tra il prossimo autunno e l’inizio del 2025 si aprirà la terza fase: l’IT Wallet si arricchirà di documenti personali come la patente di guida, il passaporto, la tessera elettorale e altri ancora (ad esempio alcune tipologie di documenti giuridici).

Come abbiamo evidenziato in precedenza, IT Wallet farà inizialmente perno sulla nota e apprezzata app IO. Per attivare il proprio portafoglio digitale, tuttavia, il cittadino dovrà sempre autenticarsi mediante CIE o SPID.

Credit immagine in apertura: iStock.com/imaginima